DNS毒化攻击及防御
攻擊技術(shù)
攻擊原理
現(xiàn)行標(biāo)準(zhǔn)中 DNS 查詢通常使用 UDP 協(xié)議并且沒有任何驗證機(jī)制,并且根據(jù)慣例查詢者會接受第一個返回的結(jié)果而拋棄之后的。因此只需監(jiān)控 53 端口(DNS 標(biāo)準(zhǔn)端口)的 UDP查詢數(shù)據(jù)報并分析,一旦發(fā)現(xiàn)敏感查詢,則搶先向查詢者返回一個偽造的錯誤結(jié)果,從而實現(xiàn) DNS 污染。
DNS污染并無法阻止正確的DNS解析結(jié)果返回,但由于旁路產(chǎn)生的數(shù)據(jù)包發(fā)回的速度較國外DNS服務(wù)器發(fā)回的快,操作系統(tǒng)認(rèn)為第一個收到的數(shù)據(jù)包就是返回結(jié)果,從而忽略其后收到的數(shù)據(jù)包,從而使得DNS污染得逞。
實驗拓?fù)?/strong>
攻擊步驟
1、關(guān)閉虛擬機(jī)的DNS防護(hù)機(jī)制
在/etc/bind/named.conf.options 文件中
2、修改DNS解析的配置文件
在 /etc/bind/named.conf.default-zones 中
3、在正向解析記錄文件中書寫文件配置
在/var/cache/bind/ciscon.com 文件中
3、重啟DNS服務(wù)
sudo systemctl restart bind9.service
4、更改客戶端DNS地址
5、嘗試訪問
6、使用kali進(jìn)行攻擊
sudo netwox 105 -h www.huawei.com -H 192.168.162.132 -a ns.cisco.com -A 192.168.162.131
當(dāng)客戶端訪問www.huawei.com這個網(wǎng)址時,kali將捕捉到DNS請求包,然后將上面編輯好的偽裝包回復(fù)給客戶端
此時客戶端也成功登錄到www.huawei.com這個網(wǎng)頁上了
注意:在我們的DNS服務(wù)器中并沒有對www.huawei.com的地址進(jìn)行解析
我們在kali上抓包也可以看到,DNS應(yīng)答包中的源IP是192.168.162.131,這是kali偽造的數(shù)據(jù)包,是kali偽裝成DNS服務(wù)器回復(fù)的數(shù)據(jù)包。
在包中也可以看到對www.huawei.com這個地址進(jìn)行解析的是ns.cisco.com這個DNS服務(wù)器。不過這也是kali偽裝出來的。
防御技術(shù)
- 及時檢查自己的DNS服務(wù)器是否存在DNS緩存中毒漏洞,如果發(fā)現(xiàn)了自己的DNS服務(wù)器存在該漏洞就可以在被攻擊前采取措施修補(bǔ),避免攻擊事件的發(fā)生。
- 隨機(jī)選擇一個端口作為DNS用途。
- 加密所有對外的數(shù)據(jù)流,對服務(wù)器來說就是盡量使用SSH之類的有加密支持的協(xié)議,對一般用戶應(yīng)該用PGP之類的軟件加密所有發(fā)到網(wǎng)絡(luò)上的數(shù)據(jù)。
- 及時刷新DNS,DNS緩存會被重建,再次用域名訪問IP服務(wù)器,故障消失。
- 采用域名系統(tǒng)安全協(xié)議(DNSSEC)機(jī)制,依靠公鑰技術(shù)對于包含在DNS中的信息創(chuàng)建密碼簽名。
總結(jié)
以上是生活随笔為你收集整理的DNS毒化攻击及防御的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 仿安居客好租网房产源码
- 下一篇: 中国姓氏排行研究