计算机安全DNS欺骗分析与防范.doc

课程设计说明书（论文）用纸 PAGE 《计算机安全》课程论文 DNS欺骗分析与防范 院（系）名称 信息工程学院计算机科学系 专业名称 计算机应用技术 学号 070601143 学生姓名 尹晓宁 指导教师 田建立 分 数 起止日期 09年12月9日～12月16日 2009年12月16日 【摘要】 DNS是目前大部分网络应用的基础,对它的攻击将影响整个Internet的正常运转。利用TCP/IP协议缺陷进行欺骗攻击是目前网络中常出现的攻击方法，通过与网络监听的结合，攻击者能在不被察觉的情况下实现对被攻击者通信数据的截获并篡改，给当今网络通信安全带来了严重威胁。DNS欺骗攻击是攻击者常用的手法,它具有隐蔽性强、打击面广、攻击效果明显的特点,但是目前对这种攻击还没有好的防范策略。 本文在分析DNS欺骗原理的基础上，以太网中利用ARP欺骗突破交换网络对数据监听的限制，成为“中间人”截获DNS报文，进而伪造DNS报文进行DNS欺骗的技术，并给出基于WinPcap的实现，防范DSN欺骗的措施。 【关键词】： 交换式以太网 ARP欺骗 中间人攻击 DNS欺骗 网络安全 DNS欺骗分析与防范 一、DNS工作原理 DNS的全称是Domain Name Server，即域名服务器。当一台主机发送一个请求，要求解析某个域名时，他会首先把解析请求发到自己的DNS服务器上。 假设现在有一台主机，他的DNS是机器，现在它拿到了某个域，但不知道其IP地址，这时它就要通过DNS查询来获得这个域名的IP地址。 现在我们看看域名解析的整个过程。 首先，会将解析请求发往它的DNS服务器， 请求解析 ___________ 这个名字请求是从的某个随机选择的端口发送的53端口，这是DNS服务器的绑定端口。 收到这个解析请求后，就开始解析工作了。这时如的IP地址的缓存之中，那么询问别的DNS服务器。 它首先询会把查询的结果返回 请问com的权威服务器 _________ com域名权威服务器IP是 ___________ 这回答，COM域的权威DNS是IP，然就会向查询子域的DNS服务器的地址。 请问子域的DNS ______________ 子域的DNS是 _____________ 现在cn，知道了子域的权威服务器的IP地址了。这时它就可以询的IP地址了。 请的IP地址 ___________________ 的IP地址是 _________________ 现就得到的IP地址了，它再将这个IP地址反还给请求解析的 的IP地址是 _________________ 知道的IP地址后就可以和它进行连接，整个域名解析过程就结束了！ 二、什么是DNS欺骗？ DNS欺骗是一种非常复杂的攻击手段。但是它使用起来比IP欺骗要简单一些，所以也比较常见。一个利用DNS欺骗进行攻击的典型案列，是全球著名网络安全销售商RSA Security的网站所遭到的攻击。其实RSA Security网站的主机并没有被入侵，而是RSA的域名被黑客劫持，当用户连上RSA Security时，发现主页被改成了其他的内容。 DNS欺骗是一门改变DNS原始指向IP的艺术。为了更好的理解，让我们先来看一个例子。如果你想用浏览器去google有哪些信誉好的足球投注网站一些信息，毫无疑问的你会在地址栏里输入的网址然后回车。 那么在这背后又有什么事情正在进行着呢？一般而言，你的浏览器将会向DNS服务器发送一个请求，从而要求得到与相匹配的IP地址，DNS服务器则会告诉你的浏览器google的IP地址，接着你的浏览器会连接并显示主页内容。哦，等一下，你打开的网页说google因无钱支付网站费用而转让给CSite的消息。你可能会非常吃惊，并打电话告诉你的好朋友。当然你的朋友一定会笑你疯掉了，因为你的朋友是可以登陆google并进行有哪些信誉好的足球投注网站的。还确信正在和你通信的IP地址是友好的吗？说不定你已成圈中之羊。当你在浏览器地址里输入http:// 9并回车时，你又会发现，其实还健在。 其实刚刚就是DNS劫持攻击时目击者可能看到的情形。 三、DNS欺骗的原理 主机域名与IP 地址的映射关系是由域名系统DNS来实现的，现在Internet上主要使用Bind 域名服务器程序。DNS 协议具有以下特点： (1) DNS 报文只使用一个序列号来进行有效性鉴别，序列号由客户程序设置并由服务器返回结果，客户程序通过它来确定响应与查询是否匹配，这就引入了序列号攻击的危险; (2) 在DNS 应答报文中可以附加信息，该信息可以和所请求的信息没有直接关系，这样，攻