DNS劫持

最新推荐文章于 2023-07-28 21:07:25 发布
最新推荐文章于 2023-07-28 21:07:25 发布
阅读量349 收藏 2
点赞数
分类专栏: JavaScript 文章标签: DNS劫持 javascript ViewUI

想谈一谈这个话题是因为最近有一位朋友抱怨他的博客在某些用户某些时候访问的时候,被莫名其妙地加上了广告,他检查来检查去,始终发现不了网站本身有什么问题,后来他才了解到了DNS劫持一说。

DNS劫持

其实这不是一个新概念了,在几年前,中国一些不讲道德的运营商,尤其是地方运营商就开始捕捉用户浏览器的访问记录,然后根据不同用户的访问行为,有选择地往用户访问的网页里面推送广告。因为运营商掌握着DNS主机,所以他们可以为所欲为地强制改写网站HTML页面,采用往返回页面里写入JavaScript等方式,来注入广告:

DNS劫持

这是访问55BBS网站时某些用户会在屏幕右下角看到一个京东商城的广告。这样的广告,不但可以在一些中小网站上见到,在国内大型网站上也屡见不鲜。很多网民会立即怀疑自己的机器有没有中病毒或者木马,或者是什么恶意的浏览器插件又在作祟。其实,这都是运营商搞的鬼。

有的用户会坚决地投诉,运营商有自己的白名单,用户在投诉成功以后会账号被加入白名单,不再投放广告。显然他们也不想惹过多的麻烦,这样恶心的事情需要偷偷地干。

另一方面,很多地方运营商会把这样的DNS劫持后注入广告的行为加入到用户协议中去,让用户无话可说。比如北京联通就曾经提供了不同的收费服务,一种是无广告的,一种是包含注入广告的,价格当然是包含广告的更高。

在2010年的时候,因为这样的劫持行为,青岛联通还在一场引起轩然大波的索赔案件中败诉,被罚20万元给百度。索赔从金额来看显然是小事,但是对于中国互联网的成熟还是有积极意义的。在中国,你可以选择的运营商就那么几个,就好比从一堆烂苹果中挑选一个自己能忍受的。而且这个行业本身就缺乏道德和完善的法律约束,单单靠用户个体抱怨和投诉,无法从根本上解决流氓行为。这也许是互联网发展不够成熟的一个不可回避的阵痛。

技术实现

理论上说,运营商掌握了HTML页面的全部代码,它可以做任何的事情,真正无缝地植入广告,然后返还给用户。但是,这种广告的植入是批量的行为,如果要针对不同的网站页面分别去设置广告代码,代价未免太高了一点。另一方面,植入的JavaScript代码片段很容易受到不同DOM环境和JavaScript代码环境本身的影响,而植入广告,不能影响到原有网站页面的展示和行为。为了尽可能地减少植入广告对原有网站页面的影响,运营商通常会通过把原有网站页面放置到一个和原页面相同大小的iFrame里面去,通过iFrame来隔离广告代码对原有页面的影响。由于这样的劫持行为会针对不同用户的某些访问发生,我举例不够方便,为了让大家能够100%地观察到这个效果,我找了这样联通的提示页面来举例:

在访问不存在的网站的时候,比如www.adfasdfasdfasdf.cn这样乱填写的域名,以北京联通为例,它并不会直接返回错误码,而是重定向到这样一个错误提示页面:

DNS劫持

这个重定向后的URL为:http://bjdnserror1.wo.com.cn:8080/issueunziped/bj130404/self0.jsp?UserUrl=www.adfasdfasdfasdf.cn

这样的行为招来非议的人可能不多,毕竟这样的域名确实不存在,对用户和站长带来的影响不大。但是,请注意它左下角和右侧的广告,在这里它注入广告的方式,采用的iFrame嵌套的方式,和上面我提到的劫持行为,是完全一致的。

现在请将上述URL的self0.jsp改成index.htm,也就是:

http://bjdnserror1.wo.com.cn:8080/issueunziped/bj130404/index.htm?UserUrl=www.adfasdfasdfasdf.cn

你可以看到这样的页面:

DNS劫持

刚才提到的广告没有了,对不对?

你可以把index.htm这个页面想象成一个网站的原始页面,然后,运营商创建了这样一个新页面,而把原始页面以iFrame的形式嵌入到其中:

1
2
3
4
<IFRAME id= "fulliframe" name= "fulliframe" frameSpacing=0 noResize height=1350 marginHeight=0 border=0 src= "" frameBorder=0 width= "100%" scrolling=no vspale= "0" ></IFRAME>
<script language= "JavaScript" type= "text/javascript" >
     frames[ 'fulliframe' ].location = window.location.href.replace( 'self0.jsp' , 'index.htm' );
</script>

这样一来,就可以继续往这个新页面里面写代码,引入广告了:

1
2
<script src= "http://cpro.baidustatic.com/cpro/ui/f.js" type= "text/javascript" ></script>
<script language= "JavaScript" type= "text/javascript" src= "bdfloat.js" ></script>

怎么破?

既然已经知道了原理,那么自然就容易想到解决的办法。对于这一类劫持,有一个共同特点是,原有网站的页面,都是放在一个iFrame里面的,那么只要加上这样的脚本,判断如果页面是以一个iFrame加载的,就让父页面重定向到原页面去:

1
2
if (top!==self)
     top.location.href= this .location.href;

当然,你也可以重定向到一个你认为可靠的链接上去,甚至加上你需要的参数等等信息(比如运营商添加的广告代码URL),以记录这一罪证。

多说几句

这种劫持方式还显得原始和粗放,而且这些采用iFrame方式实现DNS劫持的运营商还算有一些良心,因为对原有页面的影响较小,但是还有一些地方运营商,只是往原始页面单纯地写入javascript代码,很多情况下都会影响到原始页面的展示和行为,这时候问题就显得麻烦得多了。

首先我们需要获取这种行为的具体信息,一种办法是你掌握一个页面原有的JavaScript方法、DOM对象列表,或者是浏览器请求的域名列表(类似于一个白名单),如果发现列表之外的未知方法、DOM对象的引入,或者是预期之外的URL的请求,把这样的信息发送到服务端去分析。

比如,页面被强制注入了这样的代码:

1
document.write( "<script language='javascript' src='http://.../广告脚本链接'></script>" );

我们可以用一点小技巧来对付,比如JavaScript劫持:

1
document.write = function (){};

让document.write方法变成一个空函数,让注入代码这一行为失效。当然,具体问题还是需要具体分析,重要的是掌握信息。但是话说回来,我们只是程序员,我们创造的是原始页面,在恶意的运营商手里,靠技术层面的技巧,我们的力量还是太小了。

此外,联通的这个广告系统做得太缺乏保护性了,只要随便改一改链接,Tomcat版本号等等信息就暴露出来了,如果真要有人想做点什么的话……

DNS劫持

文章系本人原创,转载请保持完整性并注明出自《四火的唠叨》

RayChase
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C++实现DNS劫持
09-08
DNS劫持源代码,用户可以传一个ip当作DNS服务器,被攻击者的dns会自动指向您的欺诈DNS服务器。
DNS劫持详细过程及原理
Marsal的博客
07-23 6298
DNS劫持详细过程及原理 一.DNS劫持原理 1: DNS劫持又称域名劫持,是指在劫持的网络范围内拦截域名解析的请求 2: 局域网劫持, 攻击者通过伪装成网关, 劫持受害者的网络请求, 将网络请求拦截到指定的服务器 二.DNS劫持详细实验过程 <一> 所需工具 1: Kali-linux 2: ettercap 0.8.2 3: web 服务器, 这里以 Apache2 为例 1.设置Kali和Windows XP在同一个网段 2.修改 ettercap 的配置文件 => vim /e
第33篇:DNS劫持攻击原理讲解及溯源分析的常规步骤
ABC_123的博客
11-29 1877
Part1 前言在世界杯举办期间,DNS劫持事件估计会和链路劫持事件一样,风险提升很多。上期分享了一篇《第32篇:某运营商链路劫持(被挂博彩页)溯源异常路由节点(上篇)》,本期就讲一下DNS劫持攻击的相关知识吧。关于DNS层面的攻击手段比较多,比如DNS劫持DNS污染、DNS重绑定攻击、DNS反射放大攻击等等。一般认为DNS劫持攻击与DNS污染是两回事,DNS污染一般指的是DNS缓存投毒攻击...
计算机网络 day14 DNS域名劫持DNS域名污染 - CDN的工作流程 - DNS的记录类型 - 搭建DNS缓存/主域名服务器 - DNAT-SNAT实验项目
lpfstudy的博客
07-28 1765
CDN使用Anycast技术,将相同的IP地址分配给全球不同地区的服务器节点,用户请求将导向离用户最近的服务器,从而实现高效的内容交付。CDN提供商会在DNS解析层面进行优化,通过返回离用户最近的CDN节点的IP地址,将用户的请求导向最近的节点,从而实现就近访问。本地DNS服务器会将DNS解析请求发送给CDN加速DNS,并由CDN加速DNS返回离用户最近的CDN节点的IP地址,而不是源服务器的IP地址。CDN会在边缘节点上缓存动态内容的副本,并与源服务器进行实时同步,以确保用户获取最新的内容。
网络安全-内网DNS劫持-ettercap
weixin_48137911的博客
02-15 2443
DNS就是你访问网站,比如百度,你知道百度的域名www.baidu.com,但是你并不知道他全国各地的他那个那个IP位于哪里。最简单的操作就是你新建一个txt然后自己写内容,然后改index或者html,反正知道原理怎么搞的就行。通过查看win10的浏览器,我无论打开任何的网址,都是谈出来这个界面。那么DNS就会这个去查找对应的IP以及域名给你解析让你正常的上网。这个里面的文件夹全部拉进去kali的桌面即可,准备好的劫持的环境。这个就是提前做好的仿真的假的qq邮箱的网页。
android 系统 DNS 劫持软件
10-09
可以用于DNS劫持劫持手机上面的DNS访问,把重定向DNS服务器导入到我们自己的服务器上面,然后,想干嘛干嘛 adb push libs/armeabi-v7a/dnsproxy2 /data/local/tmp adb push res/raw/20dnsproxy2 /data/local/tmp ...
GoogleDNS劫持背后的技术分析
03-04
最近世界真是越来越不太平了,尤其是对于大部分普通人而言。昨天又传来噩耗,根据网络监测公司BGPMon,Google的公开DNS服务器IP8.8.8.8被劫持到了委内瑞拉和巴西超过22分钟。
DNS劫持是什么意思?DNS劫持是干什么用的?
10-01
主要介绍了DNS劫持是什么意思?DNS劫持是干什么用的?本文讲解了DNS劫持原理以及应对措施,需要的朋友可以参考下
360修复DNS劫持
07-17
文件来源于360论坛,360修复DNS劫持
解决DNS污染与DNS劫持的软件
02-07
今天早晨突然冤孽了,我的域名说什么就是打不开,可以ping通,tracert也可以正常访问 但就是打不开网站,估计是污染了。喵了个咪的 下面是解决办法 DNS污染和DNS劫持在天朝是非常常见的现象。 输入了一个错误的URL后,本应该出现的404页面却是电信114, 正常访问网站时出现的电信的小广告, 使用了代理却依然无法正常访问某些境外网站, 以及最近爆出来的Gmail钓鱼页面, 这些都是遭到DNS污染和DNS劫持的现象。 以下提供两种方法解决这个问题: 1.Firefox only用户 如果你只用Firefox又懒得折腾,直接打开Firefox的远程DNS解析就行了。 在地址栏中输入about:config 找到network.proxy.socks_remote_dns一项改成true。 2.通用解决方法 这种方法更为彻底,保证所有网络程序都能获得正确的DNS解析。 http://code.google.com/p/pydnsproxy/ 到以上地址下载DNS Proxy这一程序,安装(Vista/Win7需要以管理员身份运行)。 然后修改你的网络适配器设置(根据你的上网方式选择适配器),把DNS服务器地址手动指定为127.0.0.1,即本机地址。 程序默认使用OpenDNS,可以修改安装目录下的dnsserver.conf选用你自己喜欢的境外DNS服务器,比如Google DNS 8.8.8.8。 (1)错误的地址,返回干净的404错误页面(我改成了Google DNS,默认的OpenDNS也会重定向到它自己的页面) (2)在我这里,因为DNS污染的原因,就算通过代理服务器,也无法正常访问twitter,安装DNS Proxy后能正常访问了(当然需要代理)。
charles劫持修改js文件
kfyzjd2008的博客
09-02 631
选中Enable Map Local后点击ADD打开Edit Maping对话框。开启停用缓存(这一步很重要,否则浏览器使用缓存文件会使charles无法劫持到)此时表示我们劫持成功。
DNS,DNS污染劫持,DNS加密
noobiee的博客
02-23 1302
DNS(Domain Name System), 也叫网域名称系统,是互联网的一项服务。它实质上是一个域名 和 IP 相互映射的分布式数据库.DNS(Domain Name Server,域名服务器)是进行域名(domain name)和与之相对应的IP地址 (IP address)转换的服务器。DNS 有以下特点:分布式的协议支持 TCP 和 UDP,常用端口是 53每一级域名的长度限制是 63域名总长度限制是 253。
什么是DNS劫持?怎么防止DNS劫持攻击?
yy1715713348的博客
06-13 1801
什么是DNS劫持?怎么防止DNS劫持攻击?
ARP欺骗和DNS劫持以及Wireshark分析
m0_59302403的博客
04-02 3839
利用ettercap进行中间人攻击之ARP欺骗和DNS劫持,用Wireshark分析相关特征数据,提高对ettercap、Wireshark的熟练度,同时也对中间人攻击有更加深入的认识。
java实现DNS劫持(附完整源码)
希望我的博客,能帮上你解决学习中工作中所遇到的问题
06-18 435
java实现DNS劫持(附完整源码)
TL-ER2260T安装dnsmasq并设置域名劫持
Bungehurst
07-08 1146
将加入环境变量 如下所示: 重新登陆ssh,尝试使用entware安装软件 给环境设置自启动 entware启动脚本: 保存并启动entware 参考:https://blog.03k.org/post/er2260t_setting.html
域名劫持原理与实践学习笔记
weixin_52034407的博客
03-16 767
域名劫持原理与实践
dns 劫持什么意思、dns 劫持原理及几种解决方法
douya0012的博客
12-29 2111
定义 DNS劫持就是在劫持的网络范围内拦截域名解析的请求,分析请求的域名,把审查范围以外的请求放行,否则直接返回假的IP地址或者什么也不做使得请求失去响应,其效果就是对特定的网址不能访问或访问的是假网址。 域名劫持一方面可能影响用户的上网体验,用户被引到假冒的网站进而无法正常浏览网页,而用户量较大的网站域名被劫持后恶劣影响会不断扩大;另一方面用户可能被诱骗到冒牌网站进行登录等操作导致泄露隐私数据。 原理 域名解析(DNS)的基本原理是把网络地址(域名,以一个字符串的形式)对应到真实的计算机能够识别的网络地址
java解决dns劫持
最新发布
09-09
Java 可以通过设置自定义的 DNS 解析器来解决 DNS 劫持问题。 DNS 劫持是指将 DNS 查询结果篡改,导致用户访问网站时被重定向到一个错误的 IP 地址,从而达到攻击、欺诈或窃取用户信息等目的。为了解决这个问题,我们可以使用 Java 编写一个自定义的 DNS 解析器,通过自定义的 DNS 解析过程来防止劫持。 首先,我们可以使用 Java 的 NetworkInterface 类获取系统的网络接口信息。然后,我们可以使用 InetAddress 类来获取指定域名的 IP 地址,并校验该 IP 地址的合法性。 接下来,我们可以使用 Java 的 Socket 类与 DNS 服务器进行通信。通过建立 UDP 连接,我们可以发送 DNS 查询请求并接收响应。在发送 DNS 查询请求时,我们可以使用自定义的 DNS 解析规则,如添加额外的校验步骤、过滤非法的 DNS 查询结果等。 最后,我们可以将获取到的合法的 IP 地址与用户请求的域名进行匹配,若匹配成功则允许用户进行访问,否则可以阻止用户访问。 通过使用自定义的 DNS 解析器,可以有效地防止 DNS 劫持的发生。但同时也需要注意,DNS 劫持是一种复杂多变的攻击手段,攻击者可能通过不同的方式进行劫持,因此还需要综合其他安全措施来保护网络安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值