簡單說,就是客戶端發起正常的一次dns請求,得到的確是乙個異常或者不真實的dns資訊。一般造成這樣的情況,很有可能dns資訊在某個環節被通過某種方式篡改。
主要的方式,可以歸納為如下兩種:
方式一、攻擊者監測到dns查詢的請求報文時,偽裝成dns伺服器向發出請求主機傳送響應報文。因為dns報文通常是無連線的udp報文,沒有確認機制,源主機不能識別出這個報文並非出自dns伺服器。攻擊者並不需要丟棄真正dns伺服器發回來的響應報文,因為dns的機制會導致源主機只接受最先到達的響應報文(甚至不管是誰發的)而忽略後繼到達的其他報文。這樣,源主機得到的就是攻擊者偽造的網域名稱解析結果。
條件:1、攻擊者能截獲客戶的資料報。2、能最短時間接替返回訊息
方式二、本地dns伺服器的快取已受到汙染,裡面快取的是錯誤的結果。dns伺服器通常將dns查詢的結果快取在本地一段時間,這本意是為了減少重複dns查詢,從而降低dns報文占用的網路頻寬。可如果某次dns查詢的結果受到汙染,則後繼一段時間內向該dns伺服器查詢的結果都會受到汙染。
條件:1、本地dns存在攻擊漏洞 2、本地dns成為被汙染的物件
我們可以拿訪問google 、facebook來演示:
[email protected]:/opt# nslookup www.google.com 8.8.8.8 #使用nds8.8.8.8 解析 www.google.com
server:8.8.8.8
address:8.8.8.8#53
non-authoritative answer:
name:www.google.com
address: 37.61.54.158
[email protected]:/opt# nslookup -vc www.google.com 8.8.8.8 #同樣,不過改使用tcp的方式解析
server:8.8.8.8
address:8.8.8.8#53
non-authoritative answer:
name:www.google.com
address: 216.58.221.228
#我們再同樣查查臉書
[email protected]:/opt# nslookup www.facebook.com 8.8.8.8
server:8.8.8.8
address:8.8.8.8#53
non-authoritative answer:
name:www.facebook.com
address: 37.61.54.158 #發現什麼了?dns受到了汙染。
我們仔細來查查這個什麼玩意位址37.61.54.158
DNS 劫持和DNS 汙染
dns 是domain name server 的簡稱。當然如果你搜尋到這篇文章,那麼我猜測你可能對dns也有一定的了解了。所以對dns的基本知識我就不在介紹了。舉個例子,說到劫持,我們可能聯想到乙個壞蛋劫持了dns伺服器,拿著刀架在脖子上。這時候你問dns伺服器,博主帥嗎?發出請求 dns伺服器聽...
DNS劫持原理 DNS 汙染的原理
dns劫持原理 dns劫持就是dns系統被入侵或人為的修改某些記錄,如a記錄,用專業的術語來講就是通過某些手段取得某網域名稱的解析記錄控制權,進而修改此網域名稱的解析結果,導致對該網域名稱的訪問由原ip位址轉入到修改後的指定ip,其結果就是對特定的 不能訪問或訪問的是假 dns 汙染的原理 現行標準...
網域名稱遭遇DNS汙染
費勁九牛二虎之力,終於將在萬網註冊的wangyueblog.com這個網域名稱轉移到godaddy,然而舒心的日子沒有幾天,麻煩又來了,由於日益嚴重的dns汙染,網域名稱常常出現解析錯誤,真是屋漏偏逢連夜雨,不過,blogging還得繼續,所以還是得想辦法,在這裡將想法和辦法分享,僅供參考。什麼是d...