攻击技术
攻击原理
现行标准中 DNS 查询通常使用 UDP 协议并且没有任何验证机制,并且根据惯例查询者会接受第一个返回的结果而抛弃之后的。因此只需监控 53 端口(DNS 标准端口)的 UDP查询数据报并分析,一旦发现敏感查询,则抢先向查询者返回一个伪造的错误结果,从而实现 DNS 污染。
DNS污染并无法阻止正确的DNS解析结果返回,但由于旁路产生的数据包发回的速度较国外DNS服务器发回的快,操作系统认为第一个收到的数据包就是返回结果,从而忽略其后收到的数据包,从而使得DNS污染得逞。
实验拓扑
攻击步骤
1、关闭虚拟机的DNS防护机制
在/etc/bind/named.conf.options 文件中
2、修改DNS解析的配置文件
在 /etc/bind/named.conf.default-zones 中
3、在正向解析记录文件中书写文件配置
在/var/cache/bind/ciscon.com 文件中
3、重启DNS服务
sudo systemctl restart bind9.service
4、更改客户端DNS地址
5、尝试访问
6、使用kali进行攻击
sudo netwox 105 -h www.huawei.com -H 192.168.162.132 -a ns.cisco.com -A 192.168.162.131
当客户端访问www.huawei.com这个网址时,kali将捕捉到DNS请求包,然后将上面编辑好的伪装包回复给客户端
此时客户端也成功登录到www.huawei.com这个网页上了
注意:在我们的DNS服务器中并没有对www.huawei.com的地址进行解析
我们在kali上抓包也可以看到,DNS应答包中的源IP是192.168.162.131,这是kali伪造的数据包,是kali伪装成DNS服务器回复的数据包。
在包中也可以看到对www.huawei.com这个地址进行解析的是ns.cisco.com这个DNS服务器。不过这也是kali伪装出来的。
防御技术
- 及时检查自己的DNS服务器是否存在DNS缓存中毒漏洞,如果发现了自己的DNS服务器存在该漏洞就可以在被攻击前采取措施修补,避免攻击事件的发生。
- 随机选择一个端口作为DNS用途。
- 加密所有对外的数据流,对服务器来说就是尽量使用SSH之类的有加密支持的协议,对一般用户应该用PGP之类的软件加密所有发到网络上的数据。
- 及时刷新DNS,DNS缓存会被重建,再次用域名访问IP服务器,故障消失。
- 采用域名系统安全协议(DNSSEC)机制,依靠公钥技术对于包含在DNS中的信息创建密码签名。