6.3【加密和安全】DNS欺骗 密码算法

1、DNS欺骗的方式有哪些？

• hosts文件篡改
• SYN Flood
• 本机DNS服务器IP地址篡改
• DNS通讯包篡改

原理

DNS欺骗就是攻击者冒充域名服务器 的一种欺骗行为。

如果可以冒充 域名服务器 ，然后把查询的IP地址设为攻击者的IP地址，这样的话，用户上网就只能看到攻击者的主页，而不是用户想要取得的网站的主页了，这就是DNS欺骗的基本原理。DNS欺骗其实并不是真的"黑掉"了对方的网站，而是冒名顶替、招摇撞骗罢了。

hosts文件篡改

Hosts文件是一个用于存储计算机网络中节点信息的文件，它可以将主机名映射到相应的IP地址，实现DNS的功能，它可以由计算机的用户进行控制。

Hosts文件的存储位置在不同的操作系统中并不相同，甚至不同Windows版本的位置也不大一样:

Windows NT/2000/XP/2003/Vista/win7:默认位置为%SystemRoot%\system32\drivers\etc\，但也可以改变。

有很多网站不经过用户同意就将各种各样的插件安装到你的计算机中，其中有些说不定就是木马或病毒。对于这些网站我们可以利用Hosts把该网站的域名映射到错误的IP或本地计算机的IP，这样就不用访问了。在WINDOWSX系统中，约定127.0.0.1为本地计算机的IP地址, 0.0.0.0是错误的IP地址。

如果，我们在Hosts中，写入以下内容:

127.0.0.1 # 要屏蔽的网站 A

0.0.0.0 # 要屏蔽的网站 B

这样，计算机解析域名 A和 B时，就解析到本机IP或错误的IP，达到了屏蔽网站A 和B的目的。

本机DNS劫持

DNS劫持又称域名劫持，是指在劫持的网络范围内拦截域名解析的请求，分析请求的域名，把审查范围以外的请求放行，否则返回假的IP地址或者什么都不做使请求失去响应，其效果就是对特定的网络不能反应或访问的是假网址。

相关内容

域名解析的基本原理就是把域名翻译成IP地址，以便计算机能够进一步通信，传递内容和网址等。

由于域名劫持往往只能在特定的被劫持的网络范围内进行，所以在此范围外的域名服务器(DNS)能够返回正常的IP地址，高级用户可以在网络设置把DNS指向这些正常的域名服务器以实现对网址的正常访问。所以域名劫持通常相伴的措施–封锁正常DNS的IP。

如果知道该域名的真实IP地址，则可以直接用此IP代替域名后进行访问。比如访问百度，你可以直接用百度IP(202.108.22.5)访问。

简单的说就是把你要去的地址拦截下来，给你一个错误的地址，或者告诉你你要去的地方去不了，人为的导致你无法到达目的地，一般用于对一些不良网站的封杀或是一些黑客行为。

DNS通讯包篡改

从过程控制的角度讲，我们只要有能力把针对dns询问包专门伪造的dns回复消息在恰当时刻通过一系列节点最终发送到victim那里就行。篡改dns包，可以利用专门的工具，也可以利用编程自己解决。

SYN Flood

SYN Flood是一种广为人知的DoS( 拒绝服务攻击 )与DDoS( 分布式拒绝服务攻击 )的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽(CPU满负荷或 内存不足 )的攻击方式。

2、 以下说法错误的是()

• RSA和DSA的功能一样，只是不同的算法
• 3DES解决了DES密码的密钥长度容易被暴力破解的问题
• Hash是可逆的，Hash一般会导致信息熵减小
• ES加密和解密时使用相同的密钥

RSA DSA

RSA加密算法是一种，利用极大的整数难以做因数分解的原理实现的一种非对称加密算法。
非对称加密算法，目前来讲可分为两类，一是利用 大整数难分解 问题、二是利用 离散对数 问题。RSA利用大整数难分解，$ed=1(\mathrm{m}\mathrm{o}\mathrm{d}(p-1)(q-1))$，公钥$n=pq,e$，私钥$d$

DSA(Digital Signature Algorithm)，是 数字签名算法 的意思，它是一类算法，这一类算法需要用到 非对称加密算法 。

DSA是以用途来命名的，而RSA只是一种非对称的加密算法，RSA可以用于数字签名，但也可以用于非数字签名的加密。所以A错误。

DES 3DES

由于计算机运算能力的增强，DES密码的密钥长度，变得容易被暴力破解，而3DES则是对每个数据块应用三次DES加密算法，增加了DES的密钥长度，解密时间需要46亿年，不怕暴力破解。
所以B正确。

C不用说了，很明显错误，哈希不可逆。

ES

ES对称 SA非对称

ES加密算法包括DES、3DES、AES，这些都是对称加密算法。所以D正确。

常见的加密算法可以分成三类，对称加密算法，非对称加密算法和Hash算法。

对称加密

指加密和解密使用相同密钥的加密算法。对称加密算法的优点在于加解密的高速度和使用长密钥时的难破解性。

常见的对称加密算法：DES、3DES、DESX、Blowfish、IDEA、RC4、RC5、RC6和AES

非对称加密

指加密和解密使用不同密钥的加密算法，也称为公私钥加密。

常见的非对称加密算法：RSA、ECC（移动设备用）、Diffie-Hellman、El Gamal、DSA（数字签名用）

Hash算法

Hash算法特别的地方在于它是一种单向算法，用户可以通过Hash算法对目标信息生成一段特定长度的唯一的Hash值，却不能通过这个Hash值重新获得目标信息。因此Hash算法常用在不可还原的密码存储、信息完整性校验等。

常见的Hash算法：MD2、MD4、MD5、HAVAL、SHA、SHA-1、HMAC、HMAC-MD5、HMAC-SHA1