DNS 欺骗浅析

DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。 原理：如果可以冒充域名服务器，然后把查询的IP地址设为攻击者的IP地址，这样的话，用户上网就只能看到攻击者的主页，而不是用户想要取得的网站的主页了，这就是DNS欺骗的基本原理。DNS欺骗其实并不是真的“黑掉”了对方的网站，而是冒名顶替、招摇撞骗罢了。

在Internet上存在的DNS服务器有绝大多数都是用bind来架设的，使用的bind版本主要为bind 4.9.5+P1以前版本和bind 8.2.2-P5以前版本。这些bind有个共同的特点，就是BIND会缓存（Cache）所有已经查询过的结果，这个问题就引起了下面的几个问题的存在。

主要欺骗形式

hosts文件篡改

Hosts文件是一个用于存储计算机网络中节点信息的文件，它可以将主机名映射到相应的IP地址，实现DNS的功能，它可以由计算机的用户进行控制。

Hosts文件的存储位置在不同的操作系统中并不相同，甚至不同Windows版本的位置也不大一样：

Windows NT/2000/XP/2003/Vista/win7：默认位置为%SystemRoot%\system32\drivers\etc\，但也可以改变。

有很多网站不经过用户同意就将各种各样的插件安装到你的计算机中，其中有些说不定就是木马或病毒。对于这些网站我们可以利用Hosts把该网站的域名映射到错误的IP或本地计算机的IP，这样就不能访问了。在WINDOWSX系统中，约定127.0.0.1为本地计算机的IP地址, 0.0.0.0是错误的IP地址。

如果，我们在Hosts中，写入以下内容：

127.0.0.1 # 要屏蔽的网站 A

0.0.0.0 # 要屏蔽的网站 B

这样，计算机解析域名 A和 B时，就解析到本机IP或错误的IP，达到了屏蔽网站A 和B的目的。

本机DNS劫持

DNS劫持又称域名劫持，是指在劫持的网络范围内拦截域名解析的请求，分析请求的域名，把审查范围以外的请求放行，否则返回假的IP地址或者什么都不做使请求失去响应，其效果就是对特定的网络不能反应或访问的是假网址。

域名解析的基本原理就是把域名翻译成IP地址，以便计算机能够进一步通信，传递内容和网址等。

由于域名劫持往往只能在特定的被劫持的网络范围内进行，所以在此范围外的域名服务器(DNS)能够返回正常的IP地址，高级用户可以在网络设置把DNS指向这些正常的域名服务器以实现对网址的正常访问。所以域名劫持通常相伴的措施——封锁正常DNS的IP。

如果知道该域名的真实IP地址，则可以直接用此IP代替域名后进行访问。比如访问百度，你可以直接用百度IP(111.13.100.92)访问。

简单的说就是把你要去的地址拦截下来，给你一个错误的地址，或者告诉你你要去的地方去不了，人为的导致你无法到达目的地，一般用于对一些不良网站的封杀或是一些黑客行为。

DNS欺骗

在DNS的缓存还没有过期之前，如果在DNS的缓存中已经存在的记录，一旦有客户查询，DNS服务器将会直接返回缓存中的记录。

下面我们来看一个例子：

一台运行着Lunix的Internet主机，并且提供rlogin服务，它的IP地址为123.45.67.89，它使用的DNS服务器（即/etc/resolv.conf中指向的DNS服务器）的IP地址为98.76.54.32，某个客户端（IP地址为38.222.74.2）试图连接到unix主机的rlogin端口，假设unix主机的/etc/hosts.equiv文件中使用的是dns名称来允许目标主机的访问，那么unix主机会向IP为98.76.54.32的DNS服务器发出一个PTR记录的查询：

123.45.67.89 -> 98.76.54.32 [Query]

NQY: 1 NAN: 0 NNS: 0 NAD: 0

QY: 2.74.222.38.in-addr.arpa PTR

IP为98.76.54.32的DNS服务器中没有这个反向查询域的信息，经过一番查询，这个DNS服务器找到38.222.74.2和38.222.74.10为74.222.38.in-addr.arpa.的权威DNS服务器，所以它会向38.222.74.2发出PTR查询：

98.76.54.32 -> 38.222.74.2 [Query]

NQY: 1 NAN: 0 NNS: 0 NAD: 0

QY: 2.74.222.38.in-addr.arpa PTR

请注意，38.222.74.2是我们的客户端IP，也就是说这台机子是完全掌握在我们手中的。我们可以更改它的DNS记录，让它返回我们所需要的结果：

38.222.74.2 -> 98.76.54.32 [Answer]

NQY: 1 NAN: 2 NNS: 2 NAD: 2

QY: 2.74.222.38.in-addr.arpa PTR

AN: 2.74.222.38.in-addr.arpa PTR trusted.host.com

AN: trusted.host.com A 38.222.74.2

NS: 74.222.38.in-addr.arpa NS ns.sventech.com

NS: 74.222.38.in-addr.arpa NS ns1.sventech.com

AD: ns.sventech.com A 38.222.74.2

AD: ns1.sventech.com A 38.222.74.10

当98.76.54.32的DNS服务器收到这个应答后，会把结果转发给123.45.67.98，就是那台有rlogin服务的unix主机（也是我们的目标），并且98.76.54.32这台DNS服务器会把这次的查询结果缓存起来。

这时unix主机就认为IP地址为38.222.74.2的主机名为trusted.host.com，然后unix主机查询本地的/etc/hosts.equiv文件，看这台主机是否被允许使用rlogin服务，很显然，我们的欺骗达到了。

在unix的环境中，有另外一种技术来防止这种欺骗的发生，就是查询PTR记录后，也查询PTR返回的主机名的A记录，然后比较两个IP地址是否相同：

123.45.67.89 -> 98.76.54.32 [Query]

NQY: 1 NAN: 0 NNS: 0 NAD: 0

QY: trusted.host.com A

很不幸，在98.76.54.32的DNS服务器不会去查询这个记录，而会直接返回在查询2.74.222.38.in-addr.arpa时得到的并且存在缓存中的信息：

98.76.54.32 -> 123.45.67.89 [Query]

NQY: 1 NAN: 1 NNS: 2 NAD: 2

QY: trusted.host.com A

AN: trusted.host.com A 38.222.74.2

NS: 74.222.38.in-addr.arpa NS ns.sventech.com

NS: 74.222.38.in-addr.arpa NS ns1.sventech.com

AD: ns.sventech.com A 38.222.74.2

AD: ns1.sventech.com A 38.222.74.10

那么unix主机就认为38.222.74.2就是真正的trusted.host.com了，我们的目的达到了！

这种IP欺骗的条件是：你必须有一台Internet上的授权的DNS服务器，并且你能控制这台服务器，至少要能修改这台服务器的DNS记录，我们的欺骗才能进行。

拒绝服务攻击 Denial of service

还是上面的例子，如果我们更改位于38.222.74.2的记录，然后对位于98.76.54.32的DNS服务器发出2.74.222.38.in-addr.arpa的查询，并使得查询结果如下：

因为74.222.38.in-addr.arpa完全由我们控制，所以我们能很方便的修改这些信息来实现我们的目的。

38.222.74.2 -> 98.76.54.32 [Answer]

NQY: 1 NAN: 2 NNS: 2 NAD: 2

QY: 2.74.222.38.in-addr.arpa PTR

AN: 2.74.222.38.in-addr.arpa PTR trusted.host.com

AN: www.company.com A 0.0.0.1

NS: 74.222.38.in-addr.arpa NS ns.sventech.com

NS: 74.222.38.in-addr.arpa NS ns1.sventech.com

AD: ns.sventech.com A 38.222.74.2

AD: ns1.sventech.com A 38.222.74.10

这样一来,使用98.76.54.32这台DNS服务器的用户就不能访问www.company.com了，因为这个IP根本就不存在！

偷取服务 Theft of services

还是上面的例子,只是更改的查询结果如下：

38.222.74.2 -> 98.76.54.32 [Answer]

NQY: 1 NAN: 3 NNS: 2 NAD: 2

QY: 2.74.222.38.in-addr.arpa PTR

AN: 2.74.222.38.in-addr.arpa PTR trusted.host.com

AN: www.company.com CNAME www.competitor.com

AN: company.com MX 0 mail.competitor.com

NS: 74.222.38.in-addr.arpa NS ns.sventech.com

NS: 74.222.38.in-addr.arpa NS ns1.sventech.com

AD: ns.sventech.com A 38.222.74.2

AD: ns1.sventech.com A 38.222.74.10

这样一来，一个本想访问http://www.competitor.com的用户会被带到另外一个地方，甚至是敌对的公司的主页（想想把华为和北电联起来是什么样的感觉）。并且发给company.com的邮件会被发送给mail.compertitor.com。

限制

对这些攻击,也有一定的限制。

首先，攻击者不能替换缓存中已经存在的记录。比如说，如果在98.76.54.32这个DNS服务器上已经有一条www.company.com的CNAME记录，那么攻击者试图替换为www.competitor.com将不会成功。然而，一些记录可以累加，比如A记录，如果在DNS的缓存中已经存在一条www.company.com的A记录为1.2.3.4，而攻击者却欺骗DNS服务器说www.company.com的A记录为4.3.2.1，那么www.company.com将会有两个A记录，客户端查询时会随机返回其中一个。

其次，DNS服务器有个缓存刷新时间问题，如果www.netbuddy.org的TTL为7200，那么DNS服务器仅仅会把www.netbuddy.org的信息缓存7200秒或者说两个小时。如果攻击者放入一条TLL为604800的A记录，那么这条记录将会在缓存中保存一周时间，过了默认的两天后，这个DNS服务器就会到处"分发"攻击者假造的记录。

下面是常用的几种可以累加和不能累加的记录：

A can add

NS can add

MX can add

PTR cannot add

DNS欺骗的防范

DNS欺骗攻击是很难防御的，因为这种攻击大多数本质都是被动的。通常情况下，除非发生欺骗攻击，否则你不可能知道你的DNS已经被欺骗，只是你打开的网页与你想要看到的网页有所不同。在很多针对性的攻击中，用户都无法知道自己已经将网上银行帐号信息输入到错误的网址，直到接到银行的电话告知其帐号已购买某某高价商品时用户才会知道。这就是说，在抵御这种类型攻击方面还是有迹可循。

使用最新版本的DNS服务器软件，并及时安装补丁。

关闭DNS服务器的递归功能。DNS服务器利用缓存中的记录信息回答查询请求或是DNS服务器通过查询其他服务获得查询信息并将它发送给客户机，这两种查询成为递归查询，这种查询方式容易导致DNS欺骗。

保护内部设备：像这样的攻击大多数都是从网络内部执行攻击的，如果你的网络设备很安全，那么那些感染的主机就很难向你的设备发动欺骗攻击。

不要依赖DNS：在高度敏感和安全的系统，你通常不会在这些系统上浏览网页，最后不要使用DNS。如果你有软件依赖于主机名来运行，那么可以在设备主机文件里手动指定。

使用入侵检测系统：只要正确部署和配置，使用入侵检测系统就可以检测出大部分形式的ARP缓存中毒攻击和DNS欺骗攻击。

使用DNSSEC： DNSSEC是替代DNS的更好选择，它使用的是数字前面DNS记录来确保查询响应的有效性，DNSSEC还没有广泛运用，但是已被公认为是DNS的未来方向，也正是如此，美国国防部已经要求所有MIL和GOV域名都必须开始使用DNSSEC。