- 1、本文档共6页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
?
?
基于KaliLinux的DNS欺骗及防范技术的研究
?
?
杨芙容+张雅茜+史洋
摘要DNS是把主机域名解析IP地址的系统,DNS欺骗则是攻击者冒充域名服务器的一种欺骗行为,常见被用做编写钓鱼网站或网页挂马等,对用户上网安全构成严重影响。本文首先对DNS基本概念及域名查询过程进行了简单陈诉,然后深入阐述了DNS欺骗原理,并利用渗透测试平台KaliLinux上集成的欺骗工具ettercap完成了DNS欺骗攻击,最后对DNS的防范措施提出了几点建议。
关键词DNS欺骗kaliLinuxEttercap
:TP399:A
1DNS域名系统
DNS即DomainNameSystem的缩写,是把主机域名解析IP地址的系统。解决了IP地址难记的问题,用相对好记的域名就可以对服务器进行访问,即使服务器更换了IP地址,我们依旧可以通过域名访问该服务器,这样能够使我们更方便的访问互联网。该系统是由解析器和域名服务器组成的。DNS主要基于UDP协议,较少情况下使用TCP协议,端口号均为53。域名系统由三部分组成:DNS名称空间,域名服务器,DNS客户机。
DNS属于分层式命名系统,即采用的命名方式是层次树状结构。域名服务器运行模式为客户机、服务器模式,按域名空间层次可以分为根域名服务器、顶层域名服务器、权限域名服务器、本地域名服务器。域名解析就是将域名解协为IP地址。域名解析的方法有递归查询和迭代查询。
2DNS域名查询过程
DNS是设置在互联网上很多主机中的一个分布式数据库,他用来进行域名和IP地址的转换查询,并提供电子邮件的路由信息。DNS域名查询请求与回应的过程可简单描述成以下五个步骤:(1)网络用户的浏览器提出将域名转换为IP地址的请求;(2)地址解析程序resolve生成查询报文;(3)地址解程序将查询请求语句封装在UDP包中发送出去;(4)DNS服务器查找到IP地址并生成相应报文;(5)DNS服务器将查询结果封装到UDP报文中发回给查询者。
3DNS欺骗原理
DNS欺骗就是利用了DNS协议设计时的一个非常严重的安全缺陷。首先欺骗者向目标机器发送构造好的ARP应答数据包,ARP欺骗成功后,嗅探到对方发出的DNS请求数据包,分析数据包取得ID和端口号后,向目标发送自己构造好的一个DNS返回包,对方收到DNS应答包后,发现ID和端口号全部正确,即把返回数据包中的域名和对应的IP地址保存进DNS缓存表中,而后来的当真实的DNS应答包返回时则被丢弃。
以用户访问新浪网为例,DNS服务器的域名映射表中有一条信息是:新浪网站的IP地址是09,如果此映射信息中的IP地址被篡改为28。当用户访问新浪网站时,从DNS上解析回来的目的IP地址就變成了28,用户主机按照步骤向28发送请求,收到的确实恶意攻击或进入不希望访问的网址。
DNS欺骗的危害是巨大的,常见被利用来钓鱼、挂马等,这在用户访问自己的银行账户,在线购书网站甚至是网页电子邮件时显得尤为重要。通常情况下,除非发生欺骗攻击,否则你不可能知道你的DNS已经被欺骗,只是你打开的网页与你想要看到的网页有所不同。在很多针对性的攻击中,用户都无法知道自己已经将网上银行帐号信息输入到错误的网址,直到接到银行的电话告知其帐号,已购买某某高价商品时用户才会知道。
4DNS欺骗测试
DNS欺骗也可以被称为DNS毒化,属于中间人攻击,实验过程中采用虚拟机来模拟DNS欺骗攻击。测试环境为两台虚拟机,一台为攻击机装有KaliLinux系统,IP地址为28,另一台为靶机装Windows系统,IP地址为30。
KaliLinux是基于Debian的Linux发行版,设计用于数字取证操作系统,面向专业的渗透测试和安全审计,由OffensiveSecurityLtd维护和资助。KaliLinux预装了许多渗透测试软件,包括nmap、Wireshark、JohntheRipper,以及Aircrack-ng.用户可通过硬盘、liveCD或liveUSB运行KaliLinux。
实验用到的主要工具是KaliLinux预装的Ettercap工具,具体欺骗工程如下:首先来看目标靶机IP地址为30,网关,Ping解析的IP地址为09,这时访问新浪所指向到的IP地址是正确的。接着在kaliLinux上用ettercap来进行DNS欺骗,首先查看kalilinux的ip地址28,进入usr/ettercap路径下找到etter.dns配置文件。vi编辑配置文件etter.dns添加一条A记录,将指向到本机IP28。保存并且退出,编辑文件/var/www/html/index.html,添加
justkidding!
字段,保存退出。使用命令ser
文档评论(0)