DNS欺騙及防禦技術

2022-08-18 01:39:12 字數 1342 閱讀 6019

一、dns工作原理

1、dns:網域名稱服務協議,提供主機網域名稱和ip位址之間的轉換。

屬應用層協議,埠號為53。dns資料通過無連線的udp協議傳遞

2、過程:

二、dns欺騙原理原理及實現

1、dns欺騙原理

當客戶主機向本地dns伺服器查詢網域名稱的時候,如果伺服器的快取中已經有相應記錄,dns伺服器就不會再向其他伺服器進行查詢,而是直接將這條記錄返回給使用者。

2、dns欺騙實現方法

當主機向某乙個dns伺服器傳送解析請求時,攻擊者冒充被請求方,向請求方返回乙個被篡改了的應答,從而請求方訪問了被篡改後的ip位址

3、實現步驟

第一種情況:

(1)攻擊者控制了某個網域名稱伺服器

直接在其資料庫增加一條記錄,將攻擊者目標的網域名稱指向攻擊者的ip位址。

第二種情況:

(2)攻擊者控制某個伺服器所在網路的某台主機

首先,攻擊者要冒充某個網域名稱伺服器的ip

其次,要**目標伺服器所傳送的dns資料報的id號(關鍵)

兩種方法:

在某個擁有dns伺服器的網路中嗅探

向遠端dns伺服器傳送乙個對本地網域名稱的解析請求,遠端dns伺服器一定會轉到本地網域名稱伺服器上,於是攻擊者通過遠端伺服器向本地伺服器傳送的請求包就能知道id號了

無法監聽某個擁有dns伺服器的網路

攻擊者x向目標dns伺服器b傳送乙個不存在的網域名稱的請求解析,由於目標dns伺服器b在快取中找不到對應關係,進而向另乙個dns伺服器c請求。

此時,攻擊者冒充dns伺服器c向目標dns伺服器傳送多個應答包,將源位址設為c的ip位址,偽造網域名稱j的ip位址為x的ip位址,資料報id號依次增加。

然後,攻擊者再向dns伺服器b傳送對網域名稱j的解析請求,有返回結果表示攻擊者猜測的id號在正確的範圍內;否則可再次嘗試。

三、dns欺騙攻擊的防禦

1、侷限性

(1)攻擊者不能替換快取中已存在的記錄

(2)dns伺服器快取時間重新整理

2、防禦措施

配置時應注意:

(1)使用最新版本的dns伺服器軟體,及時安裝補丁

(2)關閉dns伺服器的遞迴功能

(3)限制區域傳輸範圍

(4)限制動態更新

(5)採用分層的dns體系結構

IP欺騙攻擊及防禦

指行動產生的 ip 資料報為偽造的源 ip 位址,以便冒充其他系統或發件人的身份。這是一種駭客的攻擊形式,駭客使用一台計算機上網,而借用另外一台機器的 ip 位址,從而冒充另外一台機器與伺服器打交道。防火牆可以識別這種 ip 欺騙。按照 internet protocol ip 網路互聯協議,資料報...

如何防禦DNS陷阱?黑客常用3種DNS欺騙手法

dns如何被利用?那麼這個系統如何讓使用者變得脆弱?通常解析器會告訴每個dns伺服器你正在尋找哪個網域名稱。此請求有時會包含您的完整ip位址。或者,如果不是您的完整ip位址,請求中通常會包含您的大部分ip位址,這些ip位址可以輕鬆地與其他資訊結合起來以找出您的身份。中國知名黑客組織東方聯盟揭秘了以下...

中間人攻擊 DNS欺騙的原理 實戰及防禦

0 01.1 網域名稱系統 domain name system dns 即 domain name system 的縮寫,網域名稱系統以分布式資料庫的形式將網域名稱和ip位址相互對映。dns協議即網域名稱解析協議,簡單的說 dns是用來解析網域名稱的。有了dns我們就不用再記住煩人的ip位址,用相...