定義: DNS欺騙就是攻擊者冒充域名服務(wù)器的一種欺騙行為。
原理:如果可以冒充域名服務(wù)器,然后把查詢的IP地址設(shè)為攻擊者的IP地址,這樣的話,用戶上網(wǎng)就只能看到攻擊者的主頁(yè),而不是用戶想要取得的網(wǎng)站的主頁(yè)了,這就是DNS欺騙的基本原理。DNS欺騙其實(shí)并不是真的“黑掉”了對(duì)方的網(wǎng)站,而是冒名頂替、招搖撞騙罷了。
現(xiàn)在的Internet上存在的DNS服務(wù)器有絕大多數(shù)都是用bind來(lái)架設(shè)的,使用的bind版本主要為bind 4.9.5 P1以前版本和bind 8.2.2-P5以前版本.這些bind有個(gè)共同的特點(diǎn),就是BIND會(huì)緩存(Cache)所有已經(jīng)查詢過(guò)的結(jié)果,這個(gè)問(wèn)題就引起了下面的幾個(gè)問(wèn)題的存在.
1>.DNS欺騙
在DNS的緩存還沒(méi)有過(guò)期之前,如果在DNS的緩存中已經(jīng)存在的記錄,一旦有客戶查詢,DNS服務(wù)器將會(huì)直接返回緩存中的記錄.
下面我們來(lái)看一個(gè)例子:
一臺(tái)運(yùn)行著unix的Internet主機(jī),并且提供rlogin服務(wù),它的IP地址為123.45.67.89,它使用的DNS服務(wù)器(即/etc/resolv.conf中指向的DNS服務(wù)器)的IP地址為98.76.54.32,某個(gè)客戶端(IP地址為38.222.74.2)試圖連接到unix主機(jī)的rlogin端口,假設(shè)unix主機(jī)的/etc/hosts.equiv文件中使用的是dns名稱來(lái)允許目標(biāo)主機(jī)的訪問(wèn),那么unix主機(jī)會(huì)向IP為98.76.54.32的DNS服務(wù)器發(fā)出一個(gè)PTR記錄的查詢:
123.45.67.89 -> 98.76.54.32 [Query]
NQY: 1 NAN: 0 NNS: 0 NAD: 0
QY: 2.74.222.38.in-addr.arpa PTR
IP為98.76.54.32的DNS服務(wù)器中沒(méi)有這個(gè)反向查詢域的信息,經(jīng)過(guò)一番查詢,這個(gè)DNS服務(wù)器找到38.222.74.2和38.222.74.10為74.222.38.in-addr.arpa.的權(quán)威DNS服務(wù)器,所以它會(huì)向38.222.74.2發(fā)出PTR查詢:
98.76.54.32 -> 38.222.74.2 [Query]
NQY: 1 NAN: 0 NNS: 0 NAD: 0
QY: 2.74.222.38.in-addr.arpa PTR
請(qǐng)注意,38.222.74.2是我們的客戶端IP,也就是說(shuō)這臺(tái)機(jī)子是完全掌握在我們手中的.我們可以更改它的DNS記錄,讓它返回我們所需要的結(jié)果:
38.222.74.2 -> 98.76.54.32 [Answer]
NQY: 1 NAN: 2 NNS: 2 NAD: 2
QY: 2.74.222.38.in-addr.arpa PTR
AN: 2.74.222.38.in-addr.arpa PTR trusted.host.com
AN: trusted.host.com A 38.222.74.2
NS: 74.222.38.in-addr.arpa NS ns.sventech.com
NS: 74.222.38.in-addr.arpa NS ns1.sventech.com
AD: ns.sventech.com A 38.222.74.2
AD: ns1.sventech.com A 38.222.74.10
當(dāng)98.76.54.32的DNS服務(wù)器收到這個(gè)應(yīng)答后,會(huì)把結(jié)果轉(zhuǎn)發(fā)給123.45.67.98,就是那臺(tái)有rlogin服務(wù)的unix主機(jī)(也是我們的目標(biāo) :) ),并且98.76.54.32這臺(tái)DNS服務(wù)器會(huì)把這次的查詢結(jié)果緩存起來(lái).
這時(shí)unix主機(jī)就認(rèn)為IP地址為38.222.74.2的主機(jī)名為trusted.host.com,然后unix主機(jī)查詢本地的/etc/hosts.equiv文件,看這臺(tái)主機(jī)是否被允許使用rlogin服務(wù),很顯然,我們的欺騙達(dá)到了.
在unix的環(huán)境中,有另外一種技術(shù)來(lái)防止這種欺騙的發(fā)生,就是查詢PTR記錄后,也查詢PTR返回的主機(jī)名的A記錄,然后比較兩個(gè)IP地址是否相同:
123.45.67.89 -> 98.76.54.32 [Query]
NQY: 1 NAN: 0 NNS: 0 NAD: 0
QY: trusted.host.com A
很不幸,在98.76.54.32的DNS服務(wù)器不會(huì)去查詢這個(gè)記錄,而會(huì)直接返回在查詢2.74.222.38.in-addr.arpa時(shí)得到的并且存在緩存中的信息:
98.76.54.32 -> 123.45.67.89 [Query]
NQY: 1 NAN: 1 NNS: 2 NAD: 2
QY: trusted.host.com A
AN: trusted.host.com A 38.222.74.2
NS: 74.222.38.in-addr.arpa NS ns.sventech.com
NS: 74.222.38.in-addr.arpa NS ns1.sventech.com
AD: ns.sventech.com A 38.222.74.2
AD: ns1.sventech.com A 38.222.74.10
那么現(xiàn)在unix主機(jī)就認(rèn)為38.222.74.2就是真正的trusted.host.com了,我們的目的達(dá)到了!
這種IP欺騙的條件是:你必須有一臺(tái)Internet上的授權(quán)的DNS服務(wù)器,并且你能控制這臺(tái)服務(wù)器,至少要能修改這臺(tái)服務(wù)器的DNS記錄,我們的欺騙才能進(jìn)行.
2>.拒絕服務(wù)攻擊 Denial of service
還是上面的例子,如果我們更改位于38.222.74.2的記錄,然后對(duì)位于98.76.54.32的DNS服務(wù)器發(fā)出2.74.222.38.in-addr.arpa的查詢,并使得查詢結(jié)果如下:
因?yàn)?4.222.38.in-addr.arpa完全由我們控制,所以我們能很方便的修改這些信息來(lái)實(shí)現(xiàn)我們的目的.
38.222.74.2 -> 98.76.54.32 [Answer]
NQY: 1 NAN: 2 NNS: 2 NAD: 2
QY: 2.74.222.38.in-addr.arpa PTR
AN: 2.74.222.38.in-addr.arpa PTR trusted.host.com
AN: www.company.com A 0.0.0.1
NS: 74.222.38.in-addr.arpa NS ns.sventech.com
NS: 74.222.38.in-addr.arpa NS ns1.sventech.com
AD: ns.sventech.com A 38.222.74.2
AD: ns1.sventech.com A 38.222.74.10
這樣一來(lái),使用98.76.54.32這臺(tái)DNS服務(wù)器的用戶就不能訪問(wèn)www.company.com了,因?yàn)檫@個(gè)IP根本就不存在!
3>.偷取服務(wù) Theft of services
還是上面的例子,只是更改的查詢結(jié)果如下:
38.222.74.2 -> 98.76.54.32 [Answer]
NQY: 1 NAN: 3 NNS: 2 NAD: 2
QY: 2.74.222.38.in-addr.arpa PTR
AN: 2.74.222.38.in-addr.arpa PTR trusted.host.com
AN: www.company.com CNAME www.competitor.com
AN: company.com MX 0 mail.competitor.com
NS: 74.222.38.in-addr.arpa NS ns.sventech.com
NS: 74.222.38.in-addr.arpa NS ns1.sventech.com
AD: ns.sventech.com A 38.222.74.2
AD: ns1.sventech.com A 38.222.74.10
這樣一來(lái),一個(gè)本想訪問(wèn)http://www.competitor.com的用戶會(huì)被帶到另外一個(gè)地方,甚至是敵對(duì)的公司的竹葉(想想把華為和北電聯(lián)起來(lái)是什么樣的感覺(jué). :) ).并且發(fā)給company.com的郵件會(huì)被發(fā)送給mail.compertitor.com.(越來(lái)越覺(jué)得在網(wǎng)絡(luò)上的日子不踏實(shí)! xxbin這樣想).
4>.限制
對(duì)這些攻擊,也有一定的限制.
首先,攻擊者不能替換緩存中已經(jīng)存在的記錄.比如說(shuō),如果在98.76.54.32這個(gè)DNS服務(wù)器上已經(jīng)有一條www.company.com的CNAME記錄,那么攻擊者試圖替換為www.competitor.com將不會(huì)成功.然而,一些記錄可以累加,比如A記錄,如果在DNS的緩存中已經(jīng)存在一條www.company.com的A記錄為1.2.3.4,而攻擊者卻欺騙DNS服務(wù)器說(shuō)www.company.com的A記錄為4.3.2.1,那么www.company.com將會(huì)有兩個(gè)A記錄,客戶端查詢時(shí)會(huì)隨機(jī)返回其中一個(gè).(呵呵,這不是loading balance么?)
其次,DNS服務(wù)器有個(gè)緩存刷新時(shí)間問(wèn)題,如果www.netbuddy.org的TTL為7200,那么DNS服務(wù)器僅僅會(huì)把www.netbuddy.org的信息緩存7200秒或者說(shuō)兩個(gè)小時(shí).如果攻擊者放入一條TLL為604800的A記錄,那么這條記錄將會(huì)在緩存中保存一周時(shí)間,過(guò)了默認(rèn)的兩天后,這個(gè)DNS服務(wù)器就會(huì)到處"分發(fā)"攻擊者假造的記錄.
下面是常用的幾種可以累加和不能累加的記錄:
A can add
NS can add
MX can add
PTR cannot add
|
大家都在看
