Hosts文件与钓鱼网站

本文涉及的产品
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
全局流量管理 GTM,标准版 1个月
云解析 DNS,旗舰版 1个月
简介:

有些病毒或木马,修改你计算机上hosts文件,你访问某些网站就有可能访问到钓鱼网站,或者你的计算机不能打开某个网址,或者你能够打开网页,但是你的计算机不能升级病毒库,这时候你就应该检查一下你的计算机hosts文件,是否有额外的记录。

Hosts文件与域名解析

主机名称解析的过程

Microsoft 公司的客户端,应用以下方法把主机名称解析为IP地址:

解析的标准方法

描述

DNS client程序缓存

缓存位于本地计算机,被DNS客户端服务用来存储解析过的主机到IP地址的映射。

DNS服务器

维护IP地址/计算机名称(主机名称)对照信息数据库的服务器。

Hosts文件

一个本地文本文件,与4.3 Berkeley Software Distribution (BSD) UNIX 
\Etc\Hosts文件具有相同的格式。这个文件包含主机名称到IP地址的映射,通常被用来为TCP/IP应用解析主机名称。

主机名称解析的流程如下:

1. 某个应用或服务需要对资源进行访问,需要通过主机名称对资源定位, 它会把把主机名称提交给本身的DNS Client 服务。

2. DNS Client 服务于是在缓存中查找主机名称到IP地址的映射。hosts文件内的所有条目已经全部预载到缓存中。

3. 如果DNS Client服务在客户端解析程序缓存中没有找到匹配的映射信息,那么DNS客户端服务将向DNS服务器发送一个主机名称查询。

4. 如果已配置的主机名称解析方法失败,则设定的NetBIOS名称解析方法被调用以尝试解析这个名称(只有当主机名称不超过15个字符时才会发生,这是NetBIOS名称规则的限制)。

5. 如果主机名称被找到,其相应的IP地址会被返回给应用。

2.1.1 Hosts文件与域名解析欺骗

从上一小节看出客户端解析域名从缓存和hosts文件中的条目查找优先于从DNS服务器查找。因此如果病毒和恶意软件修改了hosts文件中的条目,计算机将被定位到假冒的网站或造成计算机不能访问某些网站。

如果您的计算机不能访问个别的网站,或能访问Internet但是杀毒软件不能升级,您需要查一下hosts文件,看看是否有可以的记录。

示例:通过hosts实现域名解析欺骗

以下操作将会模拟病毒在计算机hosts文件中添加一条记录,用户在访问淘宝网时,计算机将解析到一个错误的IP地址,不能访问Internet上真正的淘宝网。

步骤:

6. 在Sales计算机上,右击C:\Windows\System32\drivers\etc目录下hosts文件,点击“打开”。

7. 在出现的打开方式对话框,选择“记事本”,点击“确定”。

clip_image001clip_image002

8. 在计算机本下面添加12.12.1.2 www.taobao.com,保存记事本。

9. 在命令提示符下ping www.taobao.com,会发现解析到的IP地址是12.12.1.2。很显然这是从hosts文件查找的结果。

clip_image003clip_image004

10. 打开IE浏览器访问www.taobao.com,发现不能访问。因为Sales计算机不能正确的解析到淘宝网的IP地址。

11. 访问www.baidu.com,是可以的。

clip_image005clip_image006




本文转自 onesthan 51CTO博客,原文链接:http://blog.51cto.com/91xueit/1130699,如需转载请自行联系原作者
相关文章
|
2月前
|
Python
Burpsuite插件 -- 伪造IP
Burpsuite插件 -- 伪造IP
290 1
|
10月前
|
移动开发 JavaScript 安全
记录一次社会工程学工具Seeker+ngrok
今天偶然刷bi站,刷到seeker结合ngrok进行社会工程学钓鱼的教程,下面话不多说,直接开始!
|
2月前
|
Linux 网络安全
百度搜索:蓝易云【centos7通过配置hosts.allow和hosts.deny限制登陆教程】
从现在开始,根据您在 `hosts.allow`和 `hosts.deny`文件中配置的规则,特定的主机将被允许或拒绝登录到您的CentOS 7系统。请确保您谨慎地配置这些文件,以避免意外地限制访问。同时,建议备份这些文件以备不时之需。
70 1
|
运维 安全 Linux
SSH木马后门如何从服务器中查找
关于SSH后门木马查杀,那SSH协议其实它是一个加密的网络传输协议,通常咱们使用它作为Linux管理使用,那它用来传输命令界面和远程执行命令,也就是咱们现在看到的这个界面,通常计算机被入侵之后,如果这个计算机是暴露在外网的,或者是横向打穿了某一台服务器,以另一台服务器作为跳板跳到其他服务器上。一般来说,通过SSH登陆会非常的方便操作命令这个时候是不是就有后门的诞生了。
156 0
SSH木马后门如何从服务器中查找
|
SQL 监控 安全
网站服务器被攻击了如何查找木马(webshell)IP 篡改的痕迹
很对客户网站以及服务器被攻击,被黑后,留下了很多webshell文件,也叫网站木马文件,客户对自己网站的安全也是很担忧,担心网站后期会继续被攻击篡改,毕竟没有专业的安全技术去负责网站的安全防护工作,通过老客户的介绍很多客户在遇到网站被攻击后找到我们SINE安全做网站的安全服务,防止恶意攻击与篡改。对网站进行全面的防御与加固,我们在对客户网站进行安全部署的同时,客户经常会想要了解到底网站,以及服务器是如何被入侵,攻击者的IP是谁,那么我们SINESAFE技术针对这种情况,最好的办法就是通过日志进行分析,溯源追踪,帮助客户找到网站漏洞根源,到底是谁在攻击他们。下面我们来分享一下,我们是如何对日志进
594 0
网站服务器被攻击了如何查找木马(webshell)IP 篡改的痕迹
|
数据安全/隐私保护 Windows