基于KaliLinux的DNS欺骗及防范技术的研究.docx

?

?

基于KaliLinux的DNS欺骗及防范技术的研究

?

?

杨芙容+张雅茜+史洋

摘要DNS是把主机域名解析IP地址的系统，DNS欺骗则是攻击者冒充域名服务器的一种欺骗行为，常见被用做编写钓鱼网站或网页挂马等，对用户上网安全构成严重影响。本文首先对DNS基本概念及域名查询过程进行了简单陈诉，然后深入阐述了DNS欺骗原理，并利用渗透测试平台KaliLinux上集成的欺骗工具ettercap完成了DNS欺骗攻击，最后对DNS的防范措施提出了几点建议。

关键词DNS欺骗kaliLinuxEttercap

：TP399：A

1DNS域名系统

DNS即DomainNameSystem的缩写，是把主机域名解析IP地址的系统。解决了IP地址难记的问题，用相对好记的域名就可以对服务器进行访问，即使服务器更换了IP地址，我们依旧可以通过域名访问该服务器，这样能够使我们更方便的访问互联网。该系统是由解析器和域名服务器组成的。DNS主要基于UDP协议，较少情况下使用TCP协议，端口号均为53。域名系统由三部分组成：DNS名称空间，域名服务器，DNS客户机。

DNS属于分层式命名系统，即采用的命名方式是层次树状结构。域名服务器运行模式为客户机、服务器模式，按域名空间层次可以分为根域名服务器、顶层域名服务器、权限域名服务器、本地域名服务器。域名解析就是将域名解协为IP地址。域名解析的方法有递归查询和迭代查询。

2DNS域名查询过程

DNS是设置在互联网上很多主机中的一个分布式数据库，他用来进行域名和IP地址的转换查询，并提供电子邮件的路由信息。DNS域名查询请求与回应的过程可简单描述成以下五个步骤：（1）网络用户的浏览器提出将域名转换为IP地址的请求；（2）地址解析程序resolve生成查询报文；（3）地址解程序将查询请求语句封装在UDP包中发送出去；（4）DNS服务器查找到IP地址并生成相应报文；（5）DNS服务器将查询结果封装到UDP报文中发回给查询者。

3DNS欺骗原理

DNS欺骗就是利用了DNS协议设计时的一个非常严重的安全缺陷。首先欺骗者向目标机器发送构造好的ARP应答数据包，ARP欺骗成功后，嗅探到对方发出的DNS请求数据包，分析数据包取得ID和端口号后，向目标发送自己构造好的一个DNS返回包，对方收到DNS应答包后，发现ID和端口号全部正确，即把返回数据包中的域名和对应的IP地址保存进DNS缓存表中，而后来的当真实的DNS应答包返回时则被丢弃。

以用户访问新浪网为例，DNS服务器的域名映射表中有一条信息是：新浪网站的IP地址是09，如果此映射信息中的IP地址被篡改为28。当用户访问新浪网站时，从DNS上解析回来的目的IP地址就變成了28，用户主机按照步骤向28发送请求，收到的确实恶意攻击或进入不希望访问的网址。

DNS欺骗的危害是巨大的，常见被利用来钓鱼、挂马等，这在用户访问自己的银行账户，在线购书网站甚至是网页电子邮件时显得尤为重要。通常情况下，除非发生欺骗攻击，否则你不可能知道你的DNS已经被欺骗，只是你打开的网页与你想要看到的网页有所不同。在很多针对性的攻击中，用户都无法知道自己已经将网上银行帐号信息输入到错误的网址，直到接到银行的电话告知其帐号，已购买某某高价商品时用户才会知道。

4DNS欺骗测试

DNS欺骗也可以被称为DNS毒化，属于中间人攻击，实验过程中采用虚拟机来模拟DNS欺骗攻击。测试环境为两台虚拟机，一台为攻击机装有KaliLinux系统，IP地址为28，另一台为靶机装Windows系统，IP地址为30。

KaliLinux是基于Debian的Linux发行版，设计用于数字取证操作系统，面向专业的渗透测试和安全审计，由OffensiveSecurityLtd维护和资助。KaliLinux预装了许多渗透测试软件，包括nmap、Wireshark、JohntheRipper，以及Aircrack-ng.用户可通过硬盘、liveCD或liveUSB运行KaliLinux。

实验用到的主要工具是KaliLinux预装的Ettercap工具，具体欺骗工程如下：首先来看目标靶机IP地址为30，网关，Ping解析的IP地址为09，这时访问新浪所指向到的IP地址是正确的。接着在kaliLinux上用ettercap来进行DNS欺骗，首先查看kalilinux的ip地址28，进入usr/ettercap路径下找到etter.dns配置文件。vi编辑配置文件etter.dns添加一条A记录，将指向到本机IP28。保存并且退出，编辑文件/var/www/html/index.html，添加

justkidding！

字段，保存退出。使用命令ser