域名劫持就是在劫持的網(wǎng)絡(luò)范圍內(nèi)攔截域名解析的請求,分析請求的域名,把審查范圍以外的請求放行,否則直接返回假的IP地址或者什么也不做使得請求失去響應(yīng),其效果就是對特定的網(wǎng)址不能訪問或訪問的是假網(wǎng)址。
域名解析(DNS)的基本原理是把網(wǎng)絡(luò)地址(域名,以一個字符串的形式,比如 www.google.com)對應(yīng)到真實的計算機能夠識別的網(wǎng)絡(luò)地址(IP地址,比如216.239.53.99 這樣的形式),以便計算機能夠進一步通信,傳遞網(wǎng)址和內(nèi)容等。
由于域名劫持往往只能在特定的被劫持的網(wǎng)絡(luò)范圍內(nèi)進行,所以在此范圍外的域名服務(wù)器(DNS)能夠返回正常的IP地址,高級用戶可以在網(wǎng)絡(luò)設(shè)置把DNS指向這些正常的域名服務(wù)器以實現(xiàn)對網(wǎng)址的正常訪問。所以域名劫持通常相伴的措施——封鎖正常DNS的IP。
如果知道該域名的真實IP地址,則可以直接用此IP代替域名后進行訪問。比如訪問http://www.google.com/ ,可以把訪問改為http://216.239.53.99/ ,從而繞開域名劫持
你有沒有遭遇過這樣的情況?當(dāng)你在瀏覽器中輸入正確的URL地址,但是打開的并不是你想要去的網(wǎng)站;蛘呤114的查詢頁面,或者是互聯(lián)星空的網(wǎng)站,或者一個廣告頁面,或者是一個刷流量的頁面,甚至是一個掛馬的網(wǎng)站。這樣的話,極有可能你遭遇了DNS欺騙。最近鬧得沸沸揚揚的“百度被黑”事件,本質(zhì)上就是來自黑客對DNS的篡改。下面我們就來解析一下DNS的知識
我們以百度被黑為例,看看正常的DNS請求和被劫持的DNS請求的不同
1、正常的DNS請求流程為:
(1)在瀏覽器輸入http://www.baidu.com;
(2)計算機將會向DNS服務(wù)器發(fā)出請求;
(3)DNS服務(wù)器進行處理分析得到http://www.baidu.com的相應(yīng)地址為119.xxx.209.xxx;
(4)DNS將把次IP地址119.xxx.209.xxx返回到發(fā)出請求的計算機;
(5)你正常登錄到http://www.baidu.com的網(wǎng)站。
2、被DNS欺騙以后的DNS請求為:
(1)在瀏覽器輸入http://www.baidu.com;
(2)計算機將會向DNS服務(wù)器發(fā)出請求(這里注意:實際上你發(fā)起的請求被發(fā)送到了攻擊者那里);
(3)攻擊者對請求處理進行偽造DNS回復(fù)報告,返回給計算機的是攻擊者指定的IP地址;
(4)你登錄到的網(wǎng)站實際上不是http://www.baidu.com,而是掉進了攻擊者設(shè)計好的“陷阱網(wǎng)站”。
解析DNS報文
DNS報文是我們了解DNS攻擊所必須了解的知識。
1.格式:
2.DNS報文結(jié)構(gòu)分為
標(biāo)識(id),用來簽證每個DNS報文的印記,由客戶端設(shè)置,由服務(wù)器返回,它可以讓客戶匹配請求與響應(yīng)。參數(shù)(flag),參數(shù)被分成好幾步分。
QR 如果QR位設(shè)置為0表示報文是查詢,如果為1表示響應(yīng)
opcode 通常是0,指標(biāo)準(zhǔn)查詢,1是反向查詢,2是服務(wù)器狀態(tài)查詢
AA 如果此位為1,表示服務(wù)器對問題部分的回答是權(quán)威性的
TC 截斷,如果UDP包超過512字節(jié)將被截流
RD 表示希望遞歸,如果它設(shè)為1的話,表示遞歸查詢
RA 如果設(shè)為1,表示遞歸可用
Zero 如它的名稱一樣,總是0
rcode 0表示有錯誤,3表示名字錯誤
3.DNS查詢報文,圖3為DNS報文查詢的格式。
響應(yīng)報文有個共同的格式,我們稱之為資源記錄---RR響應(yīng)報文的格式(RR)如下:
域名:域名是與下面的資源數(shù)據(jù)對應(yīng)的名字,它的格式同前面講到的查詢一樣。
類型:類型標(biāo)識了RR類型代碼號,它同前面查詢類值一樣。
類:通常為1,表示因特網(wǎng)數(shù)據(jù)。
生存時間:表示客戶方將RR放在高速緩存里的時間,RRs的TTL通常為2天。
資源數(shù)據(jù)長度:標(biāo)識資源數(shù)據(jù)的大小。
概念:說到這里,對于網(wǎng)絡(luò)基礎(chǔ)知識有一定了解的朋友都知道,當(dāng)客戶向一臺服務(wù)器發(fā)送請求服務(wù)時,服務(wù)器會根據(jù)客戶的 IP地址反向解析出該IP對應(yīng)的域名。這種反向城名解析就是一個查DNS(域名解析服務(wù)器 ) 的過程。
我們換一下思路,如果服務(wù)器在進行DNS查詢時能夠人為地給它我們自己的應(yīng)答信息,那么結(jié)果會怎樣呢?
答案顯然不用我說了,這就是所謂的DNS欺編 (dnsspoofing )。說實話,“DNS欺騙”威力巨大,如果被攻擊者巧妙利用,人侵局域網(wǎng)更是痛快淋漓。
下面配圖講解百度域名劫持的過程!
1.黑客刺探baidu.com 域名服務(wù)商
2.黑客入侵register.com www服務(wù)器
3.黑客通過register.com 域名管理功能修改百度DNS
4.register.com DNS服務(wù)器更新緩存指向伊朗黑客WEB網(wǎng)站IP
5.同步register.com DNS服務(wù)器更新百度DNS記錄緩存
6.百度被黑,我用谷歌搜索“百度不知道自己被黑”
原文地址:http://sitedir.com.cn/exploit-1043.html
【相關(guān)閱讀】
百度宕機事件調(diào)查:注冊商漏洞或成最大禍?zhǔn)?/font>
內(nèi)部人士稱百度將baidu.com域名轉(zhuǎn)移到國內(nèi)
江西省上饒市廣信區(qū)三清山中大道588號7棟5號
電話:0793-8313026 7094119
傳真:0793-8313026
手機:18079306668 13576325382 曾
郵箱:174216168@qq.com
QQ:174216168
Copyright © 2008-2019 (srlrcm.cn) 獵人傳媒. All Rights Reserved.
贛ICP備08101270號-1 百度統(tǒng)計