开发者社区> 技术小甜> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

dns劫持分析

简介:
+关注继续查看

最近在做dns解析,关注的重点在查询域名ns记录上,异常日志中捕获到一个域名,dig查询:

  

  查询请求类型为ns,dig结果却只有一条A记录。出于好奇,查询类型改为a类型:

  

  

  

  这个域名dig 查询A记录,返回一条结果,但是每次dig下去结果都不大一样。回到最开始的问题,请求类型为NS

dig下去发现没有ns结果,那么是否是域名没有设置ns呢?我们用whois查看下:

  

  可以看到ns是有的,可是dig的结果为何显示没有ns记录呢?我们修改下上上节的程序代码(完整代码在github见文末),构造一个dns解析请求,请求类型为ns,程序分析响应的内容,

发现其结果和我们用dig命令查询是一样的,返回结果分析后只有一条A记录:

  

  查一下这个地址,结果如下:

  

  很明显,这个结果是不正确的。

  我们模拟了dig工具的dns解析过程,发现只能获取到域名的A记录,为了搞清楚到底发生了什么,我们用抓包工具来帮助我们了解原由。首先打开抓包工具,

然后运行程序,发一个dns查询包,在wireshark中过滤类型,查看结果:

  

  第一个是我们发起的查询,可以看到类型是NS,请求的域名是3331.com,返回的响应结果有三个,对于linuxdig命令来说,它只处理最先到达的响应包,也就是第一个,看看第一个包中都有什么内容:

  

  请求类型nsanswers中确只有type A,并告诉我们A记录是243.185.187.39。这就是我们所说的dns劫持的一种,但是,查看第三个响应包:

  

  

可以看到,ns记录和我们用whois查询的结果是一样的。这就是说,查询过程是没有被打断的,被问询的server有响应我们的解析请求,只不过在这个过程中,劫持者截获了请求,并伪造了多个响应包发回来。

  对于这种情况,我所使用的方法是检测每一个返回的响应包,判断是否有我期望的结果,如果没有,则丢弃这个包,否则就解析这个响应包,同时设置read超时时间,超过设定时间则认为没有后续的响
















本文转自xsster51CTO博客,原文链接: http://blog.51cto.com/12945177/1930159,如需转载请自行联系原作者



版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
被动DNS
dnstap.info dnsdb.info api.dnsdb.info github.com/farsightsec dnsrpz.
994 0
解决电信DNS劫持
把网络连接属性(TCP/IP协议属性页)中的主要DNS和次要DNS分别改成:208.67.222.222208.67.220.220 改完DNS服务器还不行,还要清除本机上的DNS缓存,可以用命令来ipconfig /flushdns、ipconfig /displaydns来实现,或者清除浏览器的历史记录、重启电脑。
865 0
+关注
文章
问答
文章排行榜
最热
最新
相关电子书
更多
如何产生威胁情报-高级恶意攻击案例分析
立即下载
网站安全从云解析开始
立即下载
云盾-Web应用防火墙(WAF)用户接入手册
立即下载