域名劫持就是在劫持的網(wǎng)絡(luò)范圍內(nèi)攔截域名解析的請求�����,分析請求的域名�����,把審查范圍以外的請求放行��,否則直接返回假的IP地址或者什么也不做使得請求失去響應(yīng)�����,其效果就是對特定的網(wǎng)址不能訪問或訪問的是假網(wǎng)址�。
域名解析(DNS)的基本原理是把網(wǎng)絡(luò)地址(域名,以一個(gè)字符串的形式�,比如 www.google.com)對應(yīng)到真實(shí)的計(jì)算機(jī)能夠識(shí)別的網(wǎng)絡(luò)地址(IP地址,比如216.239.53.99 這樣的形式)����,以便計(jì)算機(jī)能夠進(jìn)一步通信,傳遞網(wǎng)址和內(nèi)容等����。
由于域名劫持往往只能在特定的被劫持的網(wǎng)絡(luò)范圍內(nèi)進(jìn)行,所以在此范圍外的域名服務(wù)器(DNS)能夠返回正常的IP地址�,高級用戶可以在網(wǎng)絡(luò)設(shè)置把DNS指向這些正常的域名服務(wù)器以實(shí)現(xiàn)對網(wǎng)址的正常訪問。所以域名劫持通常相伴的措施——封鎖正常DNS的IP�����。
如果知道該域名的真實(shí)IP地址�����,則可以直接用此IP代替域名后進(jìn)行訪問。比如訪問http://www.google.com/ �,可以把訪問改為http://216.239.53.99/ ,從而繞開域名劫持
你有沒有遭遇過這樣的情況�?當(dāng)你在瀏覽器中輸入正確的URL地址,但是打開的并不是你想要去的網(wǎng)站����。或者是114的查詢頁面�,或者是互聯(lián)星空的網(wǎng)站,或者一個(gè)廣告頁面���,或者是一個(gè)刷流量的頁面,甚至是一個(gè)掛馬的網(wǎng)站�����。這樣的話����,極有可能你遭遇了DNS欺騙。最近鬧得沸沸揚(yáng)揚(yáng)的“百度被黑”事件����,本質(zhì)上就是來自黑客對DNS的篡改�����。下面我們就來解析一下DNS的知識(shí)
我們以百度被黑為例���,看看正常的DNS請求和被劫持的DNS請求的不同
1、正常的DNS請求流程為:
(1)在瀏覽器輸入http://www.baidu.com;
(2)計(jì)算機(jī)將會(huì)向DNS服務(wù)器發(fā)出請求;
(3)DNS服務(wù)器進(jìn)行處理分析得到http://www.baidu.com的相應(yīng)地址為119.xxx.209.xxx;
(4)DNS將把次IP地址119.xxx.209.xxx返回到發(fā)出請求的計(jì)算機(jī);
(5)你正常登錄到http://www.baidu.com的網(wǎng)站���。
2�����、被DNS欺騙以后的DNS請求為:
(1)在瀏覽器輸入http://www.baidu.com;
(2)計(jì)算機(jī)將會(huì)向DNS服務(wù)器發(fā)出請求(這里注意:實(shí)際上你發(fā)起的請求被發(fā)送到了攻擊者那里);
(3)攻擊者對請求處理進(jìn)行偽造DNS回復(fù)報(bào)告�,返回給計(jì)算機(jī)的是攻擊者指定的IP地址;
(4)你登錄到的網(wǎng)站實(shí)際上不是http://www.baidu.com�,而是掉進(jìn)了攻擊者設(shè)計(jì)好的“陷阱網(wǎng)站”。
解析DNS報(bào)文
DNS報(bào)文是我們了解DNS攻擊所必須了解的知識(shí)��。
1.格式:
2.DNS報(bào)文結(jié)構(gòu)分為
標(biāo)識(shí)(id)���,用來簽證每個(gè)DNS報(bào)文的印記����,由客戶端設(shè)置,由服務(wù)器返回����,它可以讓客戶匹配請求與響應(yīng)。參數(shù)(flag)�����,參數(shù)被分成好幾步分��。
QR 如果QR位設(shè)置為0表示報(bào)文是查詢���,如果為1表示響應(yīng)
opcode 通常是0����,指標(biāo)準(zhǔn)查詢����,1是反向查詢�����,2是服務(wù)器狀態(tài)查詢
AA 如果此位為1��,表示服務(wù)器對問題部分的回答是權(quán)威性的
TC 截?cái)啵绻鸘DP包超過512字節(jié)將被截流
RD 表示希望遞歸�����,如果它設(shè)為1的話����,表示遞歸查詢
RA 如果設(shè)為1,表示遞歸可用
Zero 如它的名稱一樣�,總是0
rcode 0表示有錯(cuò)誤,3表示名字錯(cuò)誤
3.DNS查詢報(bào)文��,圖3為DNS報(bào)文查詢的格式����。
響應(yīng)報(bào)文有個(gè)共同的格式,我們稱之為資源記錄---RR響應(yīng)報(bào)文的格式(RR)如下:
域名:域名是與下面的資源數(shù)據(jù)對應(yīng)的名字�����,它的格式同前面講到的查詢一樣�。
類型:類型標(biāo)識(shí)了RR類型代碼號(hào),它同前面查詢類值一樣�。
類:通常為1,表示因特網(wǎng)數(shù)據(jù)。
生存時(shí)間:表示客戶方將RR放在高速緩存里的時(shí)間�����,RRs的TTL通常為2天���。
資源數(shù)據(jù)長度:標(biāo)識(shí)資源數(shù)據(jù)的大小�����。
概念:說到這里���,對于網(wǎng)絡(luò)基礎(chǔ)知識(shí)有一定了解的朋友都知道,當(dāng)客戶向一臺(tái)服務(wù)器發(fā)送請求服務(wù)時(shí)�,服務(wù)器會(huì)根據(jù)客戶的 IP地址反向解析出該IP對應(yīng)的域名。這種反向城名解析就是一個(gè)查DNS(域名解析服務(wù)器 ) 的過程�。
我們換一下思路,如果服務(wù)器在進(jìn)行DNS查詢時(shí)能夠人為地給它我們自己的應(yīng)答信息���,那么結(jié)果會(huì)怎樣呢���?
答案顯然不用我說了�,這就是所謂的DNS欺編 (dnsspoofing )。說實(shí)話,“DNS欺騙”威力巨大����,如果被攻擊者巧妙利用,人侵局域網(wǎng)更是痛快淋漓�。
下面配圖講解百度域名劫持的過程!
1.黑客刺探baidu.com 域名服務(wù)商
2.黑客入侵register.com www服務(wù)器
3.黑客通過register.com 域名管理功能修改百度DNS
4.register.com DNS服務(wù)器更新緩存指向伊朗黑客WEB網(wǎng)站IP
5.同步register.com DNS服務(wù)器更新百度DNS記錄緩存
6.百度被黑�����,我用谷歌搜索“百度不知道自己被黑”
原文地址:http://sitedir.com.cn/exploit-1043.html
【相關(guān)閱讀】
百度被攻擊事件始末
百度宕機(jī)事件調(diào)查:注冊商漏洞或成最大禍?zhǔn)?/font>
快訊:百度大宕機(jī) DNS遭劫持疑為伊朗黑客所為
百度被黑歷史回顧:06年曾遭攻擊停機(jī)半小時(shí)
百度公告:域名被美國域名注冊商非法篡改
李彥宏在其i貼吧發(fā)帖 稱百度此次宕機(jī)史無前例
內(nèi)部人士稱百度將baidu.com域名轉(zhuǎn)移到國內(nèi)
