DNS 欺騙的研究與防范摘要DNS 是目前大部分網(wǎng)絡(luò)應(yīng)用的基礎(chǔ), 對它的攻擊將影響整個Internet 的正常運轉(zhuǎn)。DNS 欺騙就是攻擊者冒充域名服務(wù)器的一種欺騙行為。 DNS欺騙攻擊是攻擊者常用的手

DNS 欺騙的研究與防范

摘要

DNS 是目前大部分網(wǎng)絡(luò)應(yīng)用的基礎(chǔ), 對它的攻擊將影響整個Internet 的正常運轉(zhuǎn)。DNS 欺騙就是攻擊者冒充域名服務(wù)器的一種欺騙行為。 DNS欺騙攻擊是攻擊者常用的手法, 它具有隱蔽性強、打擊面廣、攻擊效果明顯的特點, 但是目前對這種攻擊還沒有好的防范策略。本文在分析DNS 欺騙原理的基礎(chǔ)上，以太網(wǎng)中利用ARP 欺騙突破交換網(wǎng)絡(luò)對數(shù)據(jù)監(jiān)聽的限制，成為“中間人”截獲DNS 報文，進而偽造DNS 報文進行DNS 欺騙的技術(shù)，并給出基于WinPc ap 的實現(xiàn)，防范DSN 欺騙的措施。

什么是DNS 欺騙

DNS 欺騙是一種非常復(fù)雜的攻擊手段。但是它使用起來比IP 欺騙要簡單一些，所以也比較常見。一個利用DNS 欺騙進行攻擊的典型案列，是全球著名網(wǎng)絡(luò)安全銷售商RSA Security 的網(wǎng)站所遭到的攻擊。其實RSA Security 網(wǎng)站的主機并沒有被入侵，而是RSA 的域名被黑客劫持，當用戶連上RSA Security時，發(fā)現(xiàn)主頁被改成了其他的內(nèi)容。 DNS 欺騙的工作原理

在設(shè)置計算機網(wǎng)絡(luò)時，我們經(jīng)常需要設(shè)置DNS 地址。當我們輸入一個網(wǎng)址的時候，就有一個DNS 請求發(fā)送的設(shè)置的DNS 服務(wù)器上，然后DNS 服務(wù)器會告訴你你想訪問的網(wǎng)站對應(yīng)的IP ，于是你的計算機就會到對應(yīng)的IP 上面去取回網(wǎng)頁。那么，如果我想欺騙你，我只需要在DNS 服務(wù)器給你答復(fù)之前給你一個假的回答就可以了。

比如你想用瀏覽器去Google 搜索一些信息，毫無疑問的你會在地址欄里輸入www.goog le.com 的網(wǎng)址然后回車。那么在這背后又有什么事情正在進行著呢？一般而言，你的瀏覽器將會向DNS 服務(wù)器發(fā)送一個請求，從而要求得到與www.google.com 相匹配的IP 地址，D NS 服務(wù)器則會告訴你的瀏覽器Google 的IP 地址，接著你的瀏覽器會連接并顯示主頁內(nèi)容。哦，等一下，你打開的網(wǎng)頁說Google 因無錢支付網(wǎng)站費用而轉(zhuǎn)讓給CSite 的消息。你可能會非常吃驚，并打電話告訴你的好朋友。當然你的朋友一定會笑你瘋掉了，因為你的朋友是可以登陸Google 并進行搜索的。還確信正在和你通信的IP 地址是友好的嗎？說不定你已成圈中之羊。當你在瀏覽器地址里輸入http:// 66.249.89.99并回車時，你又會發(fā)現(xiàn)，其實w ww.google.com 還健在。其實剛剛就是DNS 劫持攻擊時目擊者可能看到的情形。 對進一步Web 欺騙的分析

通過DNS 欺騙，客戶將訪問到錯誤的網(wǎng)站，若攻擊者在讓客戶訪問的虛假網(wǎng)站上克隆了

客戶欲訪問的真實網(wǎng)站，則對于普通計算機用戶來說是無法分辨網(wǎng)站的真實性的，因此攻擊者可誘騙客戶輸入如賬號和密碼等信息然后再將客戶端重定向到真實網(wǎng)站，而客戶卻對自己遭到欺騙攻擊的事實毫無察覺。

此外，對于Web 服務(wù)等有鏈接服務(wù)，客戶每次訪問獲得的數(shù)據(jù)中常常包含許多鏈接，而客戶端用戶也常常根據(jù)客戶端界面的引導(dǎo)而對這些鏈接指向的地址進行訪問。由于攻擊者作為“中間人”轉(zhuǎn)發(fā)客戶端和Internet 間通信的數(shù)據(jù)流，所以攻擊者可以不進行DNS 欺騙，直接對服務(wù)器返回內(nèi)容中的鏈接進行修改，將它們指向攻擊者控制的機器上去。當然，攻擊者還要保留原來鏈接的足夠信息，以便在收到新的訪問請求時攻擊者能夠代替客戶去訪問正確的地址，回送看似正確的內(nèi)容。當然，細心的用戶可以通過查看Web 瀏覽器中的狀態(tài)行、地址行或網(wǎng)頁源代碼等發(fā)現(xiàn)自己已經(jīng)進入假冒的頁面，這時攻擊者就需要進行更細致的欺騙。

DNS 欺騙的防范

防范DNS 欺騙在你訪問你的銀行賬戶，在線購書網(wǎng)站甚至是網(wǎng)頁電子郵件時尤為重要。 而對于網(wǎng)站管理者來說，可行的防范措施有：

1）對高速緩存器加以限制，保證不保留額外的記錄。

2）不要用或依賴DNS 構(gòu)架安全體系。

3）使用SSL 之類的加密技術(shù)，即使被攻擊，難度也會加大。

那么如何挫敗這種攻擊呢？這也很簡單，直接用IP 訪問重要的服務(wù)，這樣至少可以避開DNS 欺騙攻擊。最根本的解決辦法就是加密所有對外的數(shù)據(jù)流，對服務(wù)器來說就是盡量使用SSH 之類的有加密支持的協(xié)議，對一般用戶應(yīng)該用PGP 之類的軟件加密所有發(fā)到網(wǎng)絡(luò)上的數(shù)據(jù)。說起來容易，做起來難！

1. 對于個人主機來說，只要及時更新補丁或者使用代理就可以防范到DNS 攻擊。

2. 對高標準的服務(wù)器來說，應(yīng)該做到以下幾點：

1) 安裝新版軟件；

2) 關(guān)閉服務(wù)器的遞歸功能；

3) 限制城名服務(wù)器做出反應(yīng)的地址；

4) 限制城名服務(wù)器做出遞歸相應(yīng)的請求地址；

5) 限制發(fā)去請求的地址；

6) 手動修改本地hosts 文件來解；

7) 用專用工具，比如AntiARP-DNS 。

參考文獻

DNS 欺騙攻擊的檢測和防范 《計算機工程》2006年21期