原文题目:DNS Pharming Attacks Using Rogue DHCP
原文作者:Elia Florio
译文如下
按照
Dan Kaminsky
对
DNS
不安全性的研究,我们可以看到***者与
DNS
服务器之间为了网络连接进行的争夺,对于***者而言只是争夺也是不够的。
DHCP
一直以来都是一个被广泛使用的网络协议—它用来在局域网络中自动分配
IP
地址。当你在家或者办公室里把便携式电脑连接到无线网络中时,
DHCP
服务器将为你的机器分配一个
IP
地址而且将提供所有重要的参数比如网关和
DNS
服务器的
IP
地址。虽然
DHCP
对于最终用户来说是一个简单、透明并且高效的协议,但是它却存在着安全隐患。对
DHCP
没什么好说的,因为众所周知它的确在认证方面存在缺陷。
Wikipedia
已经对一般的
DHCP
***有了一个非常好的说明。
“
DHCP
在网络安全方面还存在严重漏洞时就已经被标准化了,这使得基本的
DHCP
协议没有包括安全特性,它脆弱到面临两种潜在的***类型:
(1)
未经授权的
DHCP
服务器
(2)
未经授权的
DHCP
客户端
……
”
“未授权的
DHCP
服务器”***是这篇博客的主要议题,一个真实(糟糕)的消息是今天我们发现这种***正在被频繁的使用在恶意代码之中,它们以篡改同一个局域网中的其他机器的
DNS
配置为目的。这种恶意代码叫做
Trojan.Flush.M
。
这种代码的思想很简单但却具有威胁:***被安装在被感染的机器上,并在局域网中运行
DHCP
服务。当其他机器请求一个新的
IP
地址时,该服务伪造
DHCP
数据包应答。如果幸运的话,***抢在真正的
DHCP
服务器之前发出
DHCP
数据包,那它将修改其他计算机的网络配置。这种***的基本原理也在
Wikipedia
的文章中有说明。
![](../attachment/200903/200903021235986270437.jpg)
上面网络嗅探工具详细的显示了一台被
Trojan.Flush.M
感染的机器(地址
192.168.91.129
)到底对所在的网络有何影响。当一台正常的机器(地址
192.168.91.132
)在更新它的
IP
地址(例如在
Windows
系统中使用
ipconfig /release
和
ipconfig /renew
)时,它发送一个
DHCP
释放数据包然后尝试寻找
DHCP
服务器以便获得新的网络配置。请求得到的配置将包括所有重要的信息,任何设备(
PC, Mac, Smartphone
等)都需要这些配置来接入
Internet
,这些信息中尤为重要的是
DNS
服务器的地址。
在一个正常的网络中我们应该看到只有合法的
DHCP
服务器(
192.168.91.254
)向请求端发送
DHCP OFFER
包,如上图第
7
行所示。然而感染***的机器抢先发出另一个
DHCP OFFER
数据包(第
3
行),图标中接下来的部分清晰地说明了在网络中发生的这一切:
![](../attachment/200903/200903021235986302658.jpg)
感染***的机器发出的数据包首先到达
DHCP
客户端;因此,它取代了真实的
DHCP
服务器并且最终分配给客户端如下所示的
IP
配置信息:
![](../attachment/200903/200903021235986330502.jpg)
很明显,受感染机器已经分配给这个正常的机器
192.168.91.132
(正常并且没有受到任何威胁被感染)
IP
配置,现在配置中包含着一些熟知的流氓
DNS
服务器地址:
85.255.112.36
和
85.255.112.41
。
按照这些
DNS
服务器的解析进行的
Internet
访问只能出现非常糟糕的结果,这样的结果大部分都与
DNS “changer Trojans”
相关,它包括了
Zlob
和
Mac OS X
。一旦
DNS
服务器被修改,***者可以把你的计算机重定向到任何的恶意网站或者钓鱼网站(例如,你输入
[url]www.symantec.com[/url]
而你的计算机却访问
“6.6.6.6”
这个主机)。
下面是关于
DNS
网络欺骗***的几点说明:
•
一台中***的机器将威胁到同一网络中其他正常机器,影响它们的
DNS
配置。
•
对于正常的机器识别自己的
DNS
服务器是否合法是非常困难的(例子中的
DHCP
服务器有效的并且没有被感染)
•
机器上的注册表选项和配置文件并没有被修改
—
***信任网络协议
•
这些恶意的
DHCP
数据包将侵袭受影响的网络中任何设备,所以甚至是一个
smartphone
或者
Mac
都可能接受到伪造的配置然后开始使用流氓
DNS
服务器。
既然这是一场合法
DHCP
服务器和受感染机器之间的竞争,那竞争的结果取决于运气和速度。我们注意到***并不是每次都得手,当
DHCP
数据包先被接收到时一切就会正常运行。
为了发现这样的***,管理员应该扫描那些来自于非
DHCP
服务器伪造
DHCP offer
数据包。最后一点,应该记录可能会发生的***或者是在
ISC SANS
工作的朋友的建议,网络管理员应该监控或者禁止
85.255.112.0 – 85.255.127.255
的网络流量。
转载于:https://blog.51cto.com/beacon/134211