什么是Dns
域名系统(domain name system、domain name system)、域名和IP地址相互映射的万维网分布式数据库,使用户无需记住计算机可读的IP字符串即可轻松访问internet。通过域名最终获得与域名对应的IP地址的过程称为域名解析(或主机名解析)。DNS协议使用端口号53在UDP协议中运行。在RFC文档中,RFC 2181描述DNS规范,RFC 2136描述DNS的动态更新,RFC 2308描述DNS查找的反向缓存。
什么是Dns欺骗
定义:DNS欺骗是攻击者冒充域名服务器的欺骗行为。原则:冒充域名服务器,然后将查询到的IP地址设置为攻击者的IP地址,用户通过互联网只能看到攻击者的主页,而不是用户想要的网站的主页。这就是DNS欺骗的基本原理。DNS诈骗实际上并没有“黑”对方的网站,只是骗子、自命不凡而已。
防止DNS欺骗
DNS欺骗攻击方法
DNS欺骗技术一般有内应攻击和序列号攻击两种。内应攻击是黑客掌握DNS服务器后,更改域数据库内容,将虚假IP地址分配给特定域名,如果客户端请求查询此特定域名的IP,就可以获得伪造的IP。(大卫亚设,Northern Exposure(美国电视剧),Northern Exposure)
序列号攻击是指在实际DNS服务器之前,伪装DNS服务器向客户端发送响应数据消息,该服务器包含的序列号ID与客户端发送给实际DNS服务器的请求数据包中包含的ID相同。因此,客户端收到此虚假消息后,通过丢弃迟到的实际消息,DNS ID序列号欺诈成功。客户端获取的虚假消息中提供的域名的IP是攻击者设置的IP,将客户带到攻击者指定的站点。
DNS序列号欺骗攻击原理
DNS序列号(ID)欺骗基于检测ID和端口。在Switch构建的网络中,攻击者首先对目标实施ARP欺骗。当客户端、攻击者和DNS服务器在同一个网络上时,攻击过程如下:1攻击方向目标反复发送伪造的ARP请求消息,修改目标的ARP缓存内容,并通过IP更新将Data通过攻击者移回目的地。攻击者使用嗅探器软件检测DNS请求数据包,并获取ID序列号和Potr。攻击者收到ID和Potr后,立即向客户端发送虚假DNS请求消息,客户端在收到后确认ID和Potr是否正确,并认为收到了合法DNS响应。客户端获得的IP可能会转换为攻击者诱导的非法站点,从而威胁到客户端信息安全。客户端重新接收DNS服务器的Request Message,落后于虚假DNS响应,被客户端丢弃。客户端访问攻击者指向的假IP时,DNS ID欺骗就完成了。
防止DNS欺骗
使用DNS sec:DNS sec是替代DNS的更好选择。使用数字前面的DNS记录来确保查询响应的有效性。DNSSEC还没有被广泛使用,但被公认为DNS的未来方向。美国国防部已经要求所有MIL和GOV域名必须使用DNSSEC。