定义:DNS欺骗是攻击者伪装成域名服务器的一种欺骗行为。
原理:如果你可以模拟域名服务器,将查询到的IP地址设置为攻击者的IP地址,那么用户只能在Internet上看到攻击者的主页,而不能看到用户想要获得的网站主页,这是DNS欺骗的基本原理。域名系统欺骗并不是真正的“黑幕”对方的网站,而是冒名顶替,欺诈而已。
Internet上的大多数DNS服务器都是用bind设置的。使用的绑定版本主要是绑定4.9.5+P1之前和绑定8.2.2-p5之前。这些绑定的共同特点是bind将缓存所有已查询的结果。此问题导致以下问题
1> .DNS欺骗
在DNS缓存过期之前,如果DNS缓存中存在现有记录,一旦有客户查询,DNS服务器将直接返回缓存中的记录。
下面是一个例子:
运行UNIX的Internet主机提供rlogin服务。它的IP地址是123.45.67.89。它使用的DNS服务器(即/etc/resolv.conf中指向的DNS服务器)的IP地址为98.76.54.32。客户端(IP地址为38.222.74.2)尝试连接到UNIX主机的rlogin端口。假设在UNIX主机的/etc/hosts.equiv文件中使用DNS名称以允许目标如果主机访问,则UNIX主机将向IP为98.76.54.32的DNS服务器发送PTR记录查询:
123.45.67.89->98.76.54.32[查询]
NQY:1南:0北:0北:0北:0
问题:2.74.222.38.in-addr.arpa PTR
IP为98.76.54.32的DNS服务器没有此反向查询域的信息。查询后,DNS服务器发现IP为38.222.74.2和38.222.74.10的权威DNS服务器为74.222.38.i