DOH降级攻击 实例分析

已于 2024-10-03 20:32:28 修改
阅读量803 收藏 14
点赞数 11
分类专栏: 网络安全 文章标签: tcp 网络安全 网络协议 tcp/ip 计算机网络
于 2024-10-03 20:29:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012582383/article/details/142695432
版权

DOH介绍

DOH 即 DNS-over-HTTPS,是一种旨在保护 DNS 机密性和完整性的协议。它通过 HTTPS 协议在存根解析器和递归解析器之间传输 DNS 查询和响应,使得任何支持 HTTPS 的应用都能发出 DOH 查询。

DOH降级攻击

DOH 降级攻击是指针对 DNS-over-HTTPS(DoH)的一种攻击方式。由于浏览器默认启用机会隐私配置文件,当 DoH 不可用时会回退到 DNS,攻击者利用这一点,通过如 DNS 流量拦截、DNS 缓存中毒、TCP 流量拦截和 TCP 重置注入等攻击向量,对支持 DoH 的浏览器进行攻击,使 DoH 通信从加密形式降级为明文 DNS,从而暴露 DNS 通信内容,且浏览器在攻击发生时不会通知用户,一些浏览器恢复到 DoH 的时间较长。

在这里插入图片描述

实例分析

只要在国内,都可以轻松的验证DOH降级攻击,只需要一个WireShark抓包即可

Step1: 配置DOH

Chrome在设置中启用DOH,并使用Google DNS
在这里插入图片描述

Step2: 验证DOH服务器连通性

Google DNS地址为8.8.8.8 可以直接用nslookup 或者 Ping 验证

nslookup www.bing.com 8.8.8.8

在这里插入图片描述

Step3: 使用Chrome访问Bing,并使用WireShark抓包

在这里插入图片描述
可以看到有很多RST的包。如果设置Chrome只能使用DOH,这时候Chrome无法连接网络

原理

TCP RST(TCP Reset)是一种用于关闭TCP连接的机制。在正常的TCP通信中,当一端想要关闭连接时,可以发送一个带有RST标志位的TCP数据包。

在DOH降级攻击中,攻击者利用TCP RST进行攻击的原理如下:

  1. 攻击者能够嗅探受害者和DoH解析器之间交换的网络流量。
  2. 通过嗅探,攻击者获取TCP头部中的序列号(Sequence Number)和确认号(Acknowledgment Number)。
  3. 攻击者利用获取到的这些信息,构造并发送伪造的TCP重置数据包给受害者和/或DoH解析器。
  4. 当受害者或DoH解析器收到这些伪造的TCP RST数据包时,会误认为是对方要求关闭连接,从而切断TCP连接。
  5. 由于浏览器在某些情况下(如采用Opportunistic Privacy profile),当DoH连接出现问题时会回退到明文DNS传输,所以这种攻击方法可以迫使浏览器进行降级,使得攻击者达到将DOH通信降级为明文DNS的目的。

Why Attack DOH

  1. 获取信息
    • DNS在互联网中起着将域名映射为IP地址的关键作用,传统的DNS查询和响应以明文传输,容易被窃听和操纵。虽然DOH的出现是为了加密DNS通信,保护其机密性和完整性,但如果能将DOH攻击降级,就可以获取到原本加密的DNS通信内容,从而获取用户的浏览信息、追踪用户行为等。
  2. 网络流量管理
    • 一些网络审查机构或监控者希望能够控制和审查网络流量。通过将DOH降级为明文DNS,他们可以更容易地对用户的网络访问进行审查和监控,例如限制对某些特定网站的访问。
  • 解决方法:由于DOH能够伪装成HTTPS请求,一般是通过识别目的ip地址(如8.8.8.8)判断报文是否为DOH协议。如果使用一些不常见的DOH服务器或自建DOH,则可以较好的规避这种风险。

可能的参考文献:https://www.usenix.org/system/files/foci20-paper-huang.pdf

一个名为Oilrig的组织已成为第一个将DNS-over-HTTPS(DoH)协议纳入其攻击的APT组织
m0_48520508的博客
08-24 518
反病毒制造商卡巴斯基的恶意软件分析师Vincente Diaz表示,这一变化发生在今年5月,当时Oilrig向其黑客库中添加了新工具。 根据Diaz的说法,Oilrig运营商开始使用一种名为DNSExfiltrator的新实用程序,作为其入侵被黑网络的一部分。 DNSExfiltrator是可在GitHub上使用的开源项目,该项目通过将数据汇入并将其隐藏在非标准协议中来创建隐蔽的通信渠道。 顾名思义,该工具可以使用传统的DNS请求在两点之间传输数据,但也可以使用更新的DoH协议。 迪亚兹说,Oilrig也.
来,2W 字 +23 张图 +5W1H 分析法帮你彻底拿下缓存
lqycwr的博客
03-11 1420
看完这篇2.5W字+23张图的缓存图解大全,面试官再问你缓存用力怼他就完事了!
HTTPS降级攻击
WannaCry_reboot
04-08 749
0x00 HTTPS 在传统流行的web服务中,由于http协议没有对数据包进行加密,导致http协议下的网络包是明文传输,所以只要攻击者拦截到http协议下的数据包,就能直接窥探这些网络包的数据。 HTTPS 协议就是来解决这个问题的,关于HTTPS协议的原理由于不是本文的主要讨论内容,所以大家可以到大型网站的 HTTPS 实践(一)—— HTTPS 协议和原理这里查看。 简而言之,HTT...
HTTPS 降级攻击的场景剖析与解决之道
weixin_33712987的博客
12-13 555
原文地址:HTTPS 降级攻击的场景剖析与解决之道博客地址:blog.720ui.com/ HTTPS 一定安全么 HTTP 协议,本身是明文传输的,没有经过任何安全处理。那么这个时候就很容易在传输过程中被中间者窃听、篡改、冒充等风险。这里提到的中间者主要指一些网络节点,是用户数据在浏览器和服务器中间传输必须要经过的节点,比如 WIFI 热点,路由器,防火墙,反向代理,缓存服务器等。HTTP ...
超过1亿个物联网设备容易受到黑客降级攻击
w3cschools的博客
05-26 500
  中国知名黑客安全组织东方联盟研究人员发现,即使拥有先进的加密方案,成千上万的供应商提供的超过1亿个物联网设备也容易受到降级攻击,从而可能导致攻击者未经授权访问您的设备。  问题在于Z-Wave协议的实现-基于无线,射频(RF)的通信技术,其主要被家庭自动化设备用于相互通信。  Z-Wave协议的设计提供了一个简单的过程,可以在远达100米的距离内设置配对和远程控制设备,如照明控制,安全系统,恒...
攻击者巧妙滥用谷歌 DoH 下载恶意软件
smellycat000的专栏
09-03 516
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队今年早些时候,曾有媒体报道称黑客将恶意软件隐藏在虚假的Windows错误日志中。获得对Windows系统的访问权限并获...
RDP连接降级攻击以及规避方法解析
weixin_34318272的博客
07-10 622
如果终端服务器(Terminal Servers)配置不正确,那么RDP(Remote Desktop Protocal,远程桌面协议)连接就可能会面临降级攻击的危险。在这篇文章中,我们会使用一个名为rdp-downgrade.py的POC工具来演示降级攻击。 RDP安全层 在讨论降级攻击之前,我们需要明白,所谓的降级究竟从什么级别降到什么级别。 在RD...
【论文笔记】An Explainable AI-based Intrusion Detection System for DNS over HTTPS (DoH) Attacks
DumplingY的博客
01-04 1756
本文使用公开的CIRA-CICDoHBrw-2020数据集开发了一个平衡堆叠随机森林分类器,以检测和分类DoH攻击。使用可解释的人工智能方法,展示了基础特征的贡献,试图从模型中提供透明和可解释的结果。
TLS1.3防止降级攻击的方法
weixin_44480014的博客
04-06 1672
TLS1.3防止降级攻击的方法背景降级攻击TLS1.3防止降级攻击的手段总结 背景 最近回顾了一下SSL/TLS协议,重点看了看TLS1.3的优点。其中有一条是可以有效地防止降级攻击,但是具体怎么防止的网上没有比较详细的中文资料,所以我对一些英文资料做了一下总结。 降级攻击 降级攻击的具体流程看下图就可以了: 以TLS1.2为例,TLS1.2的详细流程可以看https://www.51cto.com/article/698090.html。 攻击者以中间人的身份,监听客户端和服务器的通信。 在客户端发送请
启用Win11原生支持的DoH(DNS over HTTPS)和配置自定义的DoH服务
热门推荐
随便记记笔记
01-05 3万+
启用Win11原生支持的DoH,查看Win11支持的DoH服务,配置自定义的DoH服务模板
Comparing the Effects of DNS, DoT, and DoH
Ds的博客
05-04 875
一、Comparing the Effects of DNS, DoT, and DoH on Web Performance 贡献有三点: 1、在全球五个地点进行研究DO53\DOT\DOH的性能,包括页面加载时间、查询响应时间 2、加密的DNS协议使得页面加载时间缩短,但是查询响应时间慢于DO53,在受损的网络环境中加载时间较短归功于TCP的重传机制 3、提出两种优化机制 WireFormat 缓存和 opportunistic partial responses。 网络性能进行了分析分析了各自的成本
DNS与明文传输、密文传输
最新发布
weixin_49342084的博客
10-16 1465
他们可以读取你的地址(域名),甚至可以篡改你的地址,把你引导到错误的地方(恶意网站)。DNSSEC 的主要目标是验证 DNS 响应的真实性,确保用户连接到的是正确的服务器,而不是被恶意攻击者伪造的服务器。这意味着所有在客户端和DNS服务器之间交换的数据,包括域名、IP地址、以及其他DNS记录,都是以明文的形式传输的。他们可以截获你的DNS请求,并将你重定向到他们控制的恶意服务器。在明文DNS环境下,攻击者可以通过监听来获取用户的DNS查询记录(例如,用户访问了哪些域名),以及DNS服务器返回的IP地址。
Android Q (十五) 企业中的 Android 的新变化
sunming的博客
04-28 1240
此页面简要介绍了 Android Q 推出的新企业 API、功能和行为变更。 归公司所有的设备的工作资料 Android Q 针对只需工作资料的归公司所有的设备推出了新的配置和证明功能。 针对归公司所有的设备配置工作资料 您现在可以使用NFC、二维码或零触摸注册方法在 Android Q 及更高版本的设备上配置工作资料。在配置归公司所有的设备时,新的 intent extra 可以让设备...
Linux上设置本地DNS缓存服务器
小米子的成长日记
08-13 1243
现在, 系统已配置为即使ISP的DNS服务器未如预期那样快速响应, 也可以快速有效地进行DNS查询。此外, 由于使用最新的安全DNS协议来保护DNS查询, 因此数字生活可以更加安全。
linux删除 masq_使用DNS over TLS:在Linux上获得DNS隐私保护
weixin_33056525的博客
12-24 1013
本文介绍两种方法使用DNS over TLS,一是Stubby、二是Systemd-resolved。每天,您的计算机都会向互联网发送数千个DNS查询,在大多数情况下,您的操作系统不会保护这些查询,而具有适当技术诀窍的错误人员可能会侵犯您的隐私。DNSCrypt:这是获得DNS隐私保护的绝佳方式,但是它不是唯一的解决方案,另一种选择是通过DNS over TLS。方法一、StubbyStubby是...
Android 9 Wifi 调试
dk_work的博客
07-03 2928
wifi无法上网可能原因 WiFi网络未验证(portal网络),访问时路由器会重定向到二次登录网址 运营商服务器或代理服务器问题,无法连接到外网 DNS服务器问题,导致DNS解析失败 系统时间不正常,导致证书失效,SSL/TLS握手失败,HTTPS无法上网 TCP连接长时间无数据收发,达到NAT超时时间,网络运营商切断TCP连接,导致长连接失效(push心跳间隔应小于NAT超时时间) 应用进入了...
SSL_TLS 攻击原理解析
hl1293348082的专栏
03-25 2663
本文主要描述 HTTPS 中对于 ssl/tls 加密的攻击手法,什么是 HTTPS 呢?百度百科的解释如下: HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的 HTTP 通道,简单讲是 HTTP 的安全版。即 HTTP 下加入 SSL 层,HTTPS 的安全基础是 SSL,因此加密的详细内容就需要 SSL。 0x01 知识铺垫 ssl/tls 用途 1、为实现 CIA (保密性, 完整性, 可用性)
DNS介绍
简简单单兔呦
01-16 1479
DNS基础篇 DNS介绍 DNS(Domain Network System):域名解析系统,目的是使互联网用户和设备用易于记忆和辨别的域名名字来访问网站,由DNS系统来完成域名到网络层面IP地址的转化过程.该标准定义在RFC1035. 比如:百度服务IP地址是:39.156.69.79,淘宝服务IP: 140.205.94.189,这种网络IP地址很不方便记忆和识别,如果使用baidu.com ...
Chrome浏览器快速切换DOH DNS
xyjincan
09-14 1796
快速切换谷歌浏览器dns
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值