域名劫持就是在劫持的網(wǎng)絡(luò)范圍內(nèi)攔截域名解析的請(qǐng)求,分析請(qǐng)求的域名,把審查范圍以外的請(qǐng)求放行,否則直接返回假的IP地址或者什么也不做使得請(qǐng)求失去響應(yīng),其效果就是對(duì)特定的網(wǎng)址不能訪(fǎng)問(wèn)或訪(fǎng)問(wèn)的是假網(wǎng)址。
域名解析(DNS)的基本原理是把網(wǎng)絡(luò)地址(域名,以一個(gè)字符串的形式,比如 www.google.com)對(duì)應(yīng)到真實(shí)的計(jì)算機(jī)能夠識(shí)別的網(wǎng)絡(luò)地址(IP地址,比如216.239.53.99 這樣的形式),以便計(jì)算機(jī)能夠進(jìn)一步通信,傳遞網(wǎng)址和內(nèi)容等。
由于域名劫持往往只能在特定的被劫持的網(wǎng)絡(luò)范圍內(nèi)進(jìn)行,所以在此范圍外的域名服務(wù)器(DNS)能夠返回正常的IP地址,高級(jí)用戶(hù)可以在網(wǎng)絡(luò)設(shè)置把DNS指向這些正常的域名服務(wù)器以實(shí)現(xiàn)對(duì)網(wǎng)址的正常訪(fǎng)問(wèn)。所以域名劫持通常相伴的措施——封鎖正常DNS的IP。
如果知道該域名的真實(shí)IP地址,則可以直接用此IP代替域名后進(jìn)行訪(fǎng)問(wèn)。比如訪(fǎng)問(wèn)http://www.google.com/ ,可以把訪(fǎng)問(wèn)改為http://216.239.53.99/ ,從而繞開(kāi)域名劫持
你有沒(méi)有遭遇過(guò)這樣的情況?當(dāng)你在瀏覽器中輸入正確的URL地址,但是打開(kāi)的并不是你想要去的網(wǎng)站;蛘呤114的查詢(xún)頁(yè)面,或者是互聯(lián)星空的網(wǎng)站,或者一個(gè)廣告頁(yè)面,或者是一個(gè)刷流量的頁(yè)面,甚至是一個(gè)掛馬的網(wǎng)站。這樣的話(huà),極有可能你遭遇了DNS欺騙。最近鬧得沸沸揚(yáng)揚(yáng)的“百度被黑”事件,本質(zhì)上就是來(lái)自黑客對(duì)DNS的篡改。下面我們就來(lái)解析一下DNS的知識(shí)
我們以百度被黑為例,看看正常的DNS請(qǐng)求和被劫持的DNS請(qǐng)求的不同
1、正常的DNS請(qǐng)求流程為:
(1)在瀏覽器輸入http://www.baidu.com;
(2)計(jì)算機(jī)將會(huì)向DNS服務(wù)器發(fā)出請(qǐng)求;
(3)DNS服務(wù)器進(jìn)行處理分析得到http://www.baidu.com的相應(yīng)地址為119.xxx.209.xxx;
(4)DNS將把次IP地址119.xxx.209.xxx返回到發(fā)出請(qǐng)求的計(jì)算機(jī);
(5)你正常登錄到http://www.baidu.com的網(wǎng)站。
2、被DNS欺騙以后的DNS請(qǐng)求為:
(1)在瀏覽器輸入http://www.baidu.com;
(2)計(jì)算機(jī)將會(huì)向DNS服務(wù)器發(fā)出請(qǐng)求(這里注意:實(shí)際上你發(fā)起的請(qǐng)求被發(fā)送到了攻擊者那里);
(3)攻擊者對(duì)請(qǐng)求處理進(jìn)行偽造DNS回復(fù)報(bào)告,返回給計(jì)算機(jī)的是攻擊者指定的IP地址;
(4)你登錄到的網(wǎng)站實(shí)際上不是http://www.baidu.com,而是掉進(jìn)了攻擊者設(shè)計(jì)好的“陷阱網(wǎng)站”。
解析DNS報(bào)文
DNS報(bào)文是我們了解DNS攻擊所必須了解的知識(shí)。
1.格式:
2.DNS報(bào)文結(jié)構(gòu)分為
標(biāo)識(shí)(id),用來(lái)簽證每個(gè)DNS報(bào)文的印記,由客戶(hù)端設(shè)置,由服務(wù)器返回,它可以讓客戶(hù)匹配請(qǐng)求與響應(yīng)。參數(shù)(flag),參數(shù)被分成好幾步分。
QR 如果QR位設(shè)置為0表示報(bào)文是查詢(xún),如果為1表示響應(yīng)
opcode 通常是0,指標(biāo)準(zhǔn)查詢(xún),1是反向查詢(xún),2是服務(wù)器狀態(tài)查詢(xún)
AA 如果此位為1,表示服務(wù)器對(duì)問(wèn)題部分的回答是權(quán)威性的
TC 截?cái),如果UDP包超過(guò)512字節(jié)將被截流
RD 表示希望遞歸,如果它設(shè)為1的話(huà),表示遞歸查詢(xún)
RA 如果設(shè)為1,表示遞歸可用
Zero 如它的名稱(chēng)一樣,總是0
rcode 0表示有錯(cuò)誤,3表示名字錯(cuò)誤
3.DNS查詢(xún)報(bào)文,圖3為DNS報(bào)文查詢(xún)的格式。
響應(yīng)報(bào)文有個(gè)共同的格式,我們稱(chēng)之為資源記錄---RR響應(yīng)報(bào)文的格式(RR)如下:
域名:域名是與下面的資源數(shù)據(jù)對(duì)應(yīng)的名字,它的格式同前面講到的查詢(xún)一樣。
類(lèi)型:類(lèi)型標(biāo)識(shí)了RR類(lèi)型代碼號(hào),它同前面查詢(xún)類(lèi)值一樣。
類(lèi):通常為1,表示因特網(wǎng)數(shù)據(jù)。
生存時(shí)間:表示客戶(hù)方將RR放在高速緩存里的時(shí)間,RRs的TTL通常為2天。
資源數(shù)據(jù)長(zhǎng)度:標(biāo)識(shí)資源數(shù)據(jù)的大小。
概念:說(shuō)到這里,對(duì)于網(wǎng)絡(luò)基礎(chǔ)知識(shí)有一定了解的朋友都知道,當(dāng)客戶(hù)向一臺(tái)服務(wù)器發(fā)送請(qǐng)求服務(wù)時(shí),服務(wù)器會(huì)根據(jù)客戶(hù)的 IP地址反向解析出該IP對(duì)應(yīng)的域名。這種反向城名解析就是一個(gè)查DNS(域名解析服務(wù)器 ) 的過(guò)程。
我們換一下思路,如果服務(wù)器在進(jìn)行DNS查詢(xún)時(shí)能夠人為地給它我們自己的應(yīng)答信息,那么結(jié)果會(huì)怎樣呢?
答案顯然不用我說(shuō)了,這就是所謂的DNS欺編 (dnsspoofing )。說(shuō)實(shí)話(huà),“DNS欺騙”威力巨大,如果被攻擊者巧妙利用,人侵局域網(wǎng)更是痛快淋漓。
下面配圖講解百度域名劫持的過(guò)程!
1.黑客刺探baidu.com 域名服務(wù)商
2.黑客入侵register.com www服務(wù)器
3.黑客通過(guò)register.com 域名管理功能修改百度DNS
4.register.com DNS服務(wù)器更新緩存指向伊朗黑客WEB網(wǎng)站IP
5.同步register.com DNS服務(wù)器更新百度DNS記錄緩存
6.百度被黑,我用谷歌搜索“百度不知道自己被黑”
原文地址:http://sitedir.com.cn/exploit-1043.html
【相關(guān)閱讀】
百度宕機(jī)事件調(diào)查:注冊(cè)商漏洞或成最大禍?zhǔn)?/font>
百度被黑歷史回顧:06年曾遭攻擊停機(jī)半小時(shí)
李彥宏在其i貼吧發(fā)帖 稱(chēng)百度此次宕機(jī)史無(wú)前例
內(nèi)部人士稱(chēng)百度將baidu.com域名轉(zhuǎn)移到國(guó)內(nèi)
江西省上饒市廣信區(qū)三清山中大道588號(hào)7棟5號(hào)
電話(huà):0793-8313026 7094119
傳真:0793-8313026
手機(jī):18079306668 13576325382 曾
郵箱:174216168@qq.com
QQ:174216168
Copyright © 2008-2019 (srlrcm.cn) 獵人傳媒. All Rights Reserved.
贛ICP備08101270號(hào)-1 百度統(tǒng)計(jì)