信息安全之DNS欺骗详解-阿里云开发者社区

开发者社区> 安全> 正文
登录阅读全文

信息安全之DNS欺骗详解

简介:   现在的Internet上存在的DNS服务器有绝大多数都是用bind来架设的,使用的bind版本主要为bind 4.9.5+P1以前版本和bind 8.2.2-P5以前版本.这些bind有个共同的特点,就是BIND会缓存(Cache)所有已经查询过的结果,这个问题就引起了下面的几个问题的存在.

  现在的Internet上存在的DNS服务器有绝大多数都是用bind来架设的,使用的bind版本主要为bind 4.9.5+P1以前版本和bind 8.2.2-P5以前版本.这些bind有个共同的特点,就是BIND会缓存(Cache)所有已经查询过的结果,这个问题就引起了下面的几个问题的存在.

  1>.DNS欺骗

  在DNS的缓存还没有过期之前,如果在DNS的缓存中已经存在的记录,一旦有客户查询,DNS服务器将会直接返回缓存中的记录.

  下面我们来看一个例子:

  一台运行着unix的Internet主机,并且提供rlogin服务,它的IP地址为123.45.67.89,它使用的DNS服务器(即/etc/resolv.conf中指向的DNS服务器)的IP地址为98.76.54.32,某个客户端(IP地址为38.222.74.2)试图连接到unix主机的rlogin端口,假设unix主机的/etc/hosts.equiv文件中使用的是dns名称来允许目标主机的访问,那么unix主机会向IP为98.76.54.32的DNS服务器发出一个PTR记录的查询:

      123.45.67.89 -> 98.76.54.32 [Query] 
NQY: 1 NAN: 0 NNS: 0 NAD: 0 
QY: 2.74.222.38.in-addr.arpa PTR

  IP为98.76.54.32的DNS服务器中没有这个反向查询域的信息,经过一番查询,这个DNS服务器找到38.222.74.2和38.222.74.10为74.222.38.in-addr.arpa.的权威DNS服务器,所以它会向38.222.74.2发出PTR查询:

      98.76.54.32 -> 38.222.74.2 [Query] 
NQY: 1 NAN: 0 NNS: 0 NAD: 0 
QY: 2.74.222.38.in-addr.arpa PTR

  请注意,38.222.74.2是我们的客户端IP,也就是说这台机子是完全掌握在我们手中的.我们可以更改它的DNS记录,让它返回我们所需要的结果:

      38.222.74.2 -> 98.76.54.32 [Answer] 
NQY: 1 NAN: 2 NNS: 2 NAD: 2 
QY: 2.74.222.38.in-addr.arpa PTR 
AN: 2.74.222.38.in-addr.arpa PTR trusted.host.com 
AN: trusted.host.com A 38.222.74.2 
NS: 74.222.38.in-addr.arpa NS ns.sventech.com 
NS: 74.222.38.in-addr.arpa NS ns1.sventech.com 
AD: ns.sventech.com A 38.222.74.2 
AD: ns1.sventech.com A 38.222.74.10

      当98.76.54.32的DNS服务器收到这个应答后,会把结果转发给123.45.67.98,就是那台有rlogin服务的unix主机,并且98.76.54.32这台DNS服务器会把这次的查询结果缓存起来.

  这时unix主机就认为IP地址为38.222.74.2的主机名为trusted.host.com,然后unix主机查询本地的/etc/hosts.equiv文件,看这台主机是否被允许使用rlogin服务,很显然,我们的欺骗达到了.

  在unix的环境中,有另外一种技术来防止这种欺骗的发生,就是查询PTR记录后,也查询PTR返回的主机名的A记录,然后比较两个IP地址是否相同:

      123.45.67.89 -> 98.76.54.32 [Query] 
NQY: 1 NAN: 0 NNS: 0 NAD: 0 
QY: trusted.host.com A

  很不幸,在98.76.54.32的DNS服务器不会去查询这个记录,而会直接返回在查询2.74.222.38.in-addr.arpa时得到的并且存在缓存中的信息:

      98.76.54.32 -> 123.45.67.89 [Query] 
NQY: 1 NAN: 1 NNS: 2 NAD: 2 
QY: trusted.host.com A 
AN: trusted.host.com A 38.222.74.2 
NS: 74.222.38.in-addr.arpa NS ns.sventech.com 
NS: 74.222.38.in-addr.arpa NS ns1.sventech.com 
AD: ns.sventech.com A 38.222.74.2 
AD: ns1.sventech.com A 38.222.74.10

  那么现在unix主机就认为38.222.74.2就是真正的trusted.host.com了,我们的目的达到了!

  这种IP欺骗的条件是:你必须有一台Internet上的授权的DNS服务器,并且你能控制这台服务器,至少要能修改这台服务器的DNS记录,我们的欺骗才能进行.

  2>.拒绝服务攻击 Denial of service

  还是上面的例子,如果我们更改位于38.222.74.2的记录,然后对位于98.76.54.32的DNS服务器发出2.74.222.38.in-addr.arpa的查询,并使得查询结果如下:

  因为74.222.38.in-addr.arpa完全由我们控制,所以我们能很方便的修改这些信息来实现我们的目的.

      38.222.74.2 -> 98.76.54.32 [Answer] 
NQY: 1 NAN: 2 NNS: 2 NAD: 2 
QY: 2.74.222.38.in-addr.arpa PTR 
AN: 2.74.222.38.in-addr.arpa PTR trusted.host.com 
AN: www.company.com A 0.0.0.1 
NS: 74.222.38.in-addr.arpa NS ns.sventech.com 
NS: 74.222.38.in-addr.arpa NS ns1.sventech.com 
AD: ns.sventech.com A 38.222.74.2 
AD: ns1.sventech.com A 38.222.74.10

  这样一来,使用98.76.54.32这台DNS服务器的用户就不能访问www.company.com了,因为这个IP根本就不存在!

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
+ 订阅

云安全开发者的大本营

其他文章