一 什么是DNS

DNS 是域名系统 (Domain Name System) 的缩写,是因特网的一项核心服务,它作为可以将域名和IP地址相互映射的一个分布式数据库,能够使人更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。

DNS 域名结构

通常 Internet 主机域名的一般结构为:主机名.三级域名.二级域名.顶级域名。 Internet 的顶级域名由 Internet网络协会域名注册查询负责网络地址分配的委员会进行登记和管理,它还为 Internet的每一台主机分配唯一的 IP 地址。全世界现有三个大的网络信息中心: 位于美国的 Inter-NIC,负责美国及其他地区; 位于荷兰的RIPE-NIC,负责欧洲地区;位于日本的APNIC ,负责亚太地区。

DNS 域名结构

DNS查询报文

DNS查询报文

DNS应答报文

DNS应答报文

DNS 的解析流程

全世界有很多的域名需要解析,这些不可能都在一台服务器上解析,那就太慢了。dns解析采用了树形结构的解析流程。

DNS 的解析流程

在上面的解析流程的前面其实还有一步的,系统在发出dns解析之前会先看看本地是否保存了相关域名的解析,如果有的话会节省会多的时间。该文件保存在

C:\Windows\System32\drivers\etc\hosts,文件保存了本地dns解析的相关内容,如下:

# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost

二 DNS相关的攻击类型

1 针对DNS服务器的DDOS攻击

第一类 基于主机耗尽型的dns查询拒绝服务攻击

这类攻击就是向受害者DNS服务器发送大量的dns解析请求包,由于DNs服务器美妙查询的次数有限,使得它忙不过来造成拒绝服务攻击。

第一类 基于主机耗尽型的dns查询拒绝服务攻击

第二类 基于宽带耗尽型的DNS反弹式拒绝服务攻击(DNS reflector attacks,又称DNS amplification attacks)

原理:大量主机伪造受害者ip向互联网上的大量开放式递归DNS服务器发送NDS查询请求包。由于开放递归DNS服务器并不对请求包进行地质真实性验证,因此都会进行应答,这样受害着将同时接收到大量的DNS请求应答包,堵塞受害DNS服务器的网络,最终形成拒绝服务攻击。

什么是开放递归DNS服务器?

开放递归服务器是指支持递归查询,同时对发起递归查询请求的客户端不进行身份验证的DNS服务器。

如下图:

第二类 基于宽带耗尽型的DNS反弹式拒绝服务攻击(DNS reflector attacks,又称DNS amplification attacks)

2 针对用户的DNS劫持

简单的说什么是dns劫持呢?

就是本来你想访问携程的网站www.ctrip.com,结果输入域名后返回给你的是百度的服务器ip,那么自然显示在浏览器中的也就是百度的页面。

那么我可以根据上面介绍的dns解析流程来看看哪些地方会导致返回给你的ip是错误的。

a 首先是dns服务器地址被劫持

比如你的路由器中的dns服务器地址被修改为恶意的dns服务器。那就一切都完蛋了,你访问的任何域名都被解析成其他的地址。

但是这种情况一般是不会发生的, 因为恶意人员登录不了的路由器修改不了dns服务器地址,就更修改不了你本机的dns设置。不过当几个小的漏洞结合在一起的时候就成为了大的漏洞。比如之前出现过的路由器劫持事件:

漏洞本身依赖3个部分:

  1. tp-link路由器发现存在csrf漏洞。
  2. 有些用户的路由器没有更改用户名和密码,使用了默认的用户名和密码;或者浏览器记录了路由器的登录状态。
  3. firefox和chrome等浏览器支持Http Authentication。

这些结合在一起就导致了这么一个攻击流程:

  1. 恶意人员构造了一个恶意的web页面,如www.foo.com/text.html,页面的功能是自动登录路由器并修改dns地址。
  2. 恶意人员构造一个url发送给被害者,当被害者点击这个链接的时候就访问了恶意页面,就修改了路由器的dns地址。

接下来就简单了,恶意人员可以将你想要访问的网站域名如www.ctrip.com解析到任意其他的地址如1.1.1.1等。(当然他不会解析到这里,要有经济利益,或者广告或者ctrip推广联盟url等。)

下面附上tplink的小demo:

<script>
function dns(){
alert('I have changed your dns on my domain!')
i = new Image;
i.src='http://192.168.1.1/userRpm/LanDhcpServerRpm.htm?dhcpserver=1&ip1=192.168.1.100&ip2=192.168.1.199&Lease=120&gateway=0.0.0.0&domain=&dnsserver=8.8.8.8&dnsserver2=0.0.0.0&Save=%B1%A3+%B4%E6';
}
</script>//修改dns
<img src="http://admin:admin@192.168.1.1/images/logo.jpg" height=1 width=1 onload=dns()>//登录

b hosts文件被修改

根据解析流程来看,如果要解析www.ctrip.com的ip,系统会首先访问hosts文件,看看有没有相关的绑定:

如果有如下记录:

1.1.1.1 www.ctrip.com

你们系统就不会将www.ctrip.com发送给dns服务器去解析,直接就将它解析为1.1.1.1。

c DNS服务器缓存中的映射关系被修改,又称缓存投毒攻击

系统检测到hosts文件中没有响应的域名的解析的时候就会发送给本地dns服务器进行解析,解析之前会先查看缓存中是否存在,如果没有,再将解析请求发送给下一个dns服务器。结果返回后将该域名的解析结果保存到缓存中,方便下一次的解析。

针对缓存中的解析的攻击有2种:

传统的DNS缓存投毒攻击:恶意人员向受害DNS服务器发送域名的解析请求,然后抢在权威服务器应答前伪造应答包发送给受害服务器。这样错误的解析记录就保存到了缓存中,那么接下来缓存时间内所有该域名的解析就都是错误了。这种攻击伪造的是回答资源记录,攻击时间很短,效率低。

传统的DNS缓存投毒攻击

kaminsky缓存投毒攻击:恶意人员发送类似这种的查询请求www24385.ctrip.com到dns服务器,抢在权威应答前伪造应答包发送给dns服务器。它修改的是授权资源记录,可以大量的尝试。

kaminsky缓存投毒攻击

上面就是简单的介绍下缓存投毒攻击,有兴趣的同事可以参考下面的文档

http://wenku.baidu.com/view/c97eb1e5aeaad1f346933fbd.html

d 入侵dns服务器,修改其中的数据库记录。

这种就是比较直接暴力的方法了,当然也是最困难的。

PS:本文为科普文,没有什么高深的技术,只是让更多对安全感兴趣的人能够了解DNS攻击相关原理,欢迎大牛们指正。

[原文地址]

相关内容:

打造TB级流量DDoS大杀器,超级流量反射放大攻击系统

【逆向爆菊】某DDOS事件逆向追踪。。。有人深挖过吗?

云计算做数据包分析防御DDOS攻击

超级短信DDOS 女生一天收上万条10086短信 还有近50万条等着她

黑客可利用云开发平台进行DDOS攻击

基于云计算的DDOS攻击缓解方案

浅谈互联网中劫持的一些事情【敏感内容,阅读前请先炸毁水表】

DNS域传送信息泄露

迅雷云你伤不起啊,利用迅雷云资源绑架用户,发起大型DDOS攻击

华硕、TP-LINK等路由器遭黑客攻击

Http Authentication Url and csrf = Router Hacking, Csrf入侵内网路由器

54dns劫持实现dns钓鱼攻击威胁?

史上最大流量DDOS攻击者被捕

分析:DDos攻击被更有针对性地应用

一段黄色笑话引发的DDoS攻击

US-CERT:DNS服务器配置不当是上周300G DDoS的元凶

基地组织官网遭受海量ddos攻击

DDoS 攻击转移到 IPv6

Asp + 后台服务控制的 DDOS 木马,整套源码下载

ISC BIND 9 DNS资源记录处理远程拒绝服务漏洞

坐等匿名者(Anonymous)攻击 DNS 根服务器瘫痪全球网络……

浅谈Ddos攻击攻击与防御

DNS根服务器、根服务器、全球13台根域名服务器、详细介绍

匿名者叫嚣:3月31日将攻击13个DNS根服务器,使全球互联网瘫痪!

【CSRF】基于图片方式(<img)的 DDOS、CC、会话劫持以及刺探用户信息

电磁风暴超暴力 PHP DDOS 攻击工具 & PHP DDOS 攻击 - 编年史

知识科普:拟人化 HTTP 及 DNS 协议通讯全过程

【转载】DNS查询报文和应答报文抓包分析

电信屏蔽Godaddy部分DNS服务 国内开始大批屏蔽Godaddy域名解析服务器

美国热炒解放军网络战能力 国产神器!军工级暴力DDOS攻击系统!

新网DNS疑遭攻击 两台服务器无法响应

男子转嫁黑客攻击致金盾网瘫痪 被DDOS请勿乱指域名到政府网

DNS协议报文(RFC1035) DNS报文解析 DNS协议详解

利用P2P网络发动大规模、大流量DDOS攻击

Linux 系统下 DDOS 工具 tfn2k 攻击原理详解

【批处理】批处理、Bat 也能进行 DDOS 攻击?

【原创】小谈修改本地DNS病毒

【Asp代码】用Asp来搞DDOS攻击

中国电信超级无耻卑鄙下流,搞DNS劫持

5月19日大陆DNS大规模故障始末

DRDoS 反弹DDoS攻击 反弹DDoS攻击 力度远大于分布式DDOS攻击

DNS(域名服务器)欺骗技术

http://www.freebuf.com/news/8261.html

300Gbps!Spamhaus创造DDoS历史