国产ts在线视频|人妻无码在线一区二区|色欲天香天天免费视频|亚洲精品国产字幕久久不卡|国产三级一区二区三区不卡|人妻少妇精品视频专区网址|99久久亚洲综合精品成人毛片|成人国产精品一区在线观看播放

域名劫持到百度被黑詳解DNS技術(shù)

建站經(jīng)驗(yàn) / 2010-01-14 09:31:00

域名劫持就是在劫持的網(wǎng)絡(luò)范圍內(nèi)攔截域名解析的請(qǐng)求,分析請(qǐng)求的域名,把審查范圍以外的請(qǐng)求放行,否則直接返回假的IP地址或者什么也不做使得請(qǐng)求失去響應(yīng),其效果就是對(duì)特定的網(wǎng)址不能訪(fǎng)問(wèn)或訪(fǎng)問(wèn)的是假網(wǎng)址。

域名解析(DNS)的基本原理是把網(wǎng)絡(luò)地址(域名,以一個(gè)字符串的形式,比如 www.google.com)對(duì)應(yīng)到真實(shí)的計(jì)算機(jī)能夠識(shí)別的網(wǎng)絡(luò)地址(IP地址,比如216.239.53.99 這樣的形式),以便計(jì)算機(jī)能夠進(jìn)一步通信,傳遞網(wǎng)址和內(nèi)容等。

由于域名劫持往往只能在特定的被劫持的網(wǎng)絡(luò)范圍內(nèi)進(jìn)行,所以在此范圍外的域名服務(wù)器(DNS)能夠返回正常的IP地址,高級(jí)用戶(hù)可以在網(wǎng)絡(luò)設(shè)置把DNS指向這些正常的域名服務(wù)器以實(shí)現(xiàn)對(duì)網(wǎng)址的正常訪(fǎng)問(wèn)。所以域名劫持通常相伴的措施——封鎖正常DNS的IP。

如果知道該域名的真實(shí)IP地址,則可以直接用此IP代替域名后進(jìn)行訪(fǎng)問(wèn)。比如訪(fǎng)問(wèn)http://www.google.com/ ,可以把訪(fǎng)問(wèn)改為http://216.239.53.99/ ,從而繞開(kāi)域名劫持

你有沒(méi)有遭遇過(guò)這樣的情況?當(dāng)你在瀏覽器中輸入正確的URL地址,但是打開(kāi)的并不是你想要去的網(wǎng)站;蛘呤114的查詢(xún)頁(yè)面,或者是互聯(lián)星空的網(wǎng)站,或者一個(gè)廣告頁(yè)面,或者是一個(gè)刷流量的頁(yè)面,甚至是一個(gè)掛馬的網(wǎng)站。這樣的話(huà),極有可能你遭遇了DNS欺騙。最近鬧得沸沸揚(yáng)揚(yáng)的“百度被黑”事件,本質(zhì)上就是來(lái)自黑客對(duì)DNS的篡改。下面我們就來(lái)解析一下DNS的知識(shí)

我們以百度被黑為例,看看正常的DNS請(qǐng)求和被劫持的DNS請(qǐng)求的不同

1、正常的DNS請(qǐng)求流程為:

(1)在瀏覽器輸入http://www.baidu.com;

(2)計(jì)算機(jī)將會(huì)向DNS服務(wù)器發(fā)出請(qǐng)求;

(3)DNS服務(wù)器進(jìn)行處理分析得到http://www.baidu.com的相應(yīng)地址為119.xxx.209.xxx;

(4)DNS將把次IP地址119.xxx.209.xxx返回到發(fā)出請(qǐng)求的計(jì)算機(jī);

(5)你正常登錄到http://www.baidu.com的網(wǎng)站。

2、被DNS欺騙以后的DNS請(qǐng)求為:

(1)在瀏覽器輸入http://www.baidu.com;

(2)計(jì)算機(jī)將會(huì)向DNS服務(wù)器發(fā)出請(qǐng)求(這里注意:實(shí)際上你發(fā)起的請(qǐng)求被發(fā)送到了攻擊者那里);

(3)攻擊者對(duì)請(qǐng)求處理進(jìn)行偽造DNS回復(fù)報(bào)告,返回給計(jì)算機(jī)的是攻擊者指定的IP地址;

(4)你登錄到的網(wǎng)站實(shí)際上不是http://www.baidu.com,而是掉進(jìn)了攻擊者設(shè)計(jì)好的“陷阱網(wǎng)站”。

解析DNS報(bào)文

DNS報(bào)文是我們了解DNS攻擊所必須了解的知識(shí)。

1.格式:

 

2.DNS報(bào)文結(jié)構(gòu)分為

標(biāo)識(shí)(id),用來(lái)簽證每個(gè)DNS報(bào)文的印記,由客戶(hù)端設(shè)置,由服務(wù)器返回,它可以讓客戶(hù)匹配請(qǐng)求與響應(yīng)。參數(shù)(flag),參數(shù)被分成好幾步分。

QR 如果QR位設(shè)置為0表示報(bào)文是查詢(xún),如果為1表示響應(yīng)

opcode 通常是0,指標(biāo)準(zhǔn)查詢(xún),1是反向查詢(xún),2是服務(wù)器狀態(tài)查詢(xún)

AA 如果此位為1,表示服務(wù)器對(duì)問(wèn)題部分的回答是權(quán)威性的

TC 截?cái),如果UDP包超過(guò)512字節(jié)將被截流

RD 表示希望遞歸,如果它設(shè)為1的話(huà),表示遞歸查詢(xún)

RA 如果設(shè)為1,表示遞歸可用

Zero 如它的名稱(chēng)一樣,總是0

rcode 0表示有錯(cuò)誤,3表示名字錯(cuò)誤

3.DNS查詢(xún)報(bào)文,圖3為DNS報(bào)文查詢(xún)的格式。

響應(yīng)報(bào)文有個(gè)共同的格式,我們稱(chēng)之為資源記錄---RR響應(yīng)報(bào)文的格式(RR)如下:

域名:域名是與下面的資源數(shù)據(jù)對(duì)應(yīng)的名字,它的格式同前面講到的查詢(xún)一樣。

類(lèi)型:類(lèi)型標(biāo)識(shí)了RR類(lèi)型代碼號(hào),它同前面查詢(xún)類(lèi)值一樣。

類(lèi):通常為1,表示因特網(wǎng)數(shù)據(jù)。

生存時(shí)間:表示客戶(hù)方將RR放在高速緩存里的時(shí)間,RRs的TTL通常為2天。

資源數(shù)據(jù)長(zhǎng)度:標(biāo)識(shí)資源數(shù)據(jù)的大小。

概念:說(shuō)到這里,對(duì)于網(wǎng)絡(luò)基礎(chǔ)知識(shí)有一定了解的朋友都知道,當(dāng)客戶(hù)向一臺(tái)服務(wù)器發(fā)送請(qǐng)求服務(wù)時(shí),服務(wù)器會(huì)根據(jù)客戶(hù)的 IP地址反向解析出該IP對(duì)應(yīng)的域名。這種反向城名解析就是一個(gè)查DNS(域名解析服務(wù)器 ) 的過(guò)程。

我們換一下思路,如果服務(wù)器在進(jìn)行DNS查詢(xún)時(shí)能夠人為地給它我們自己的應(yīng)答信息,那么結(jié)果會(huì)怎樣呢?

答案顯然不用我說(shuō)了,這就是所謂的DNS欺編 (dnsspoofing )。說(shuō)實(shí)話(huà),“DNS欺騙”威力巨大,如果被攻擊者巧妙利用,人侵局域網(wǎng)更是痛快淋漓。

下面配圖講解百度域名劫持的過(guò)程!

1.黑客刺探baidu.com 域名服務(wù)商

2.黑客入侵register.com www服務(wù)器

3.黑客通過(guò)register.com 域名管理功能修改百度DNS

4.register.com DNS服務(wù)器更新緩存指向伊朗黑客WEB網(wǎng)站IP

5.同步register.com DNS服務(wù)器更新百度DNS記錄緩存

6.百度被黑,我用谷歌搜索“百度不知道自己被黑”

原文地址:http://sitedir.com.cn/exploit-1043.html

【相關(guān)閱讀】

百度被攻擊事件始末

百度宕機(jī)事件調(diào)查:注冊(cè)商漏洞或成最大禍?zhǔn)?/font>

快訊:百度大宕機(jī) DNS遭劫持疑為伊朗黑客所為

百度被黑歷史回顧:06年曾遭攻擊停機(jī)半小時(shí)

百度公告:域名被美國(guó)域名注冊(cè)商非法篡改

李彥宏在其i貼吧發(fā)帖 稱(chēng)百度此次宕機(jī)史無(wú)前例

內(nèi)部人士稱(chēng)百度將baidu.com域名轉(zhuǎn)移到國(guó)內(nèi)