網路安全管理議題 - DNS欺騙攻擊 指導教授:梁明章 老師 A0933348 高名勳
DNS欺騙攻擊原理 199.6.6.1 DNS sever 請求www.usa.com 的ip位址 ns.haha.com Cracker 199.6.6.2 www.usa.com 的ip位址為1.1.1.1 說明
DNS欺騙攻擊實現 當DNS伺服器發出查詢封包時,在封包內有一 query id,回覆訊息只有query id及ip都正確時才能為 服務器接受。這個id每次會自動加一,所以可以通過 第一次向目標DNS伺服器發一個查詢封包並監聽該id 值,隨後再發一查詢,並接著send出我們預先做好的 回覆封包,封包內的query id為預測的query id值(為 提高成功率可以指定一個範圍,比如從previous_id+1 到previous_id+100)。
DNS欺騙攻擊實現(續) 接上例,如ns.haha.com向199.6.6.1要求查詢www.usa.com的ip位址,此時 199.6.6.2上的Cracker就要欺騙ns.haha.com ns.haha.com --------> 199.6.6.1 [Query] NQY: 1 NAN: 0 NNS: 0 NAD: 0 QID:6573 QY: www.usa.com A 其中NQY、NAN是查詢封包的旗標值,當這兩個值為1時表示為查詢封包 此時可以在199.6.6.2監聽到這個封包,得到QID: 6573。然後我們也向199.6.6.1 發出查詢,使它忙於應答 11.11.11.11 -----------> 100.100.100.200 [Query] NQY: 1 NAN: 0 NNS: 0 NAD: 0 QY: other.usa.com A 緊接著發帶預測QID的應答包: 199.6.6.1 -----------> ns.haha.com [Answer] NQY: 1 NAN: 0 NNS: 0 NAD: 0 QID: 6574 QY: www.usa.com PTR AN: www.usa.com PTR 111.222.333.444
DNS欺騙攻擊實現(續) 111.222.333.444 就是由我們自己指定的ip位址 發送這個封包的QID為前面聽到的QID+1 即6573+1=6574 這樣,DNS欺騙便完成, ns.haha.com會把 111.222.333.444當作www.usa.com的ip位址
結論 為了防範DNS欺騙攻擊,我們可以採直接用IP 訪問重要的服務,這樣至少能避開威脅 網路上的威脅何其多,當我們無法改變現況 訪問重要的服務,這樣至少能避開威脅 網路上的威脅何其多,當我們無法改變現況 時,只好養成良好習慣,小心使用!