标签：spi   必须   钓鱼   返回   发送请求   条件   五步   显示   定向   

1、    目的

1.1          通过分析DNS域名解析过程，分析域名劫持的相关情况；

2、    内容概要

2.1          HOST文件

2.2          DNS请求流程

2.3          DNS缓存入侵的结果和影响

2.4          电信HTTP劫持

2.5          DNS劫持的方法及预防

3、     内容详情

3.1          HOST文件

3.1.1   其实hosts就是一个解析文件，在WINDOWS和UNIX类系统里都有。他的主要内容就是一个域名和IP的对应表，相当于在本机DNS域名解析功能，在系统对DNS服务发行请求前会查询HOST文件。

3.1.2   这也是一个DNS劫持的一个节点。

3.2           DNS请求流程

3.2.1   第一步：客户机提出域名解析请求,并将该请求发送给本地的域名服务器。

3.2.2   第二步：当本地的域名服务器收到请求后,就先查询本地的缓存,如果有该纪录项,则本地的域名服务器就直接把查询的结果返回。

3.2.3   第三步：如果本地的缓存中没有该纪录,则本地域名服务器就直接把请求发给根域名服务器,然后根域名服务器再返回给本地域名服务器一个所查询域(根的子域)的主域名服务器的地址。

3.2.4   第四步：本地服务器再向上一步返回的域名服务器发送请求,然后接受请求的服务器查询自己的缓存,如果没有该纪录,则返回相关的下级的域名服务器的地址。

3.2.5   第五步：重复第四步,直到找到正确的纪录。

3.2.6   第六步：本地域名服务器把返回的结果保存到缓存,以备下一次使用,同时还将结果返回给客户机。

3.2.7   第七步：找到A记录，开始通信

3.2.8   DNS解析流程图

3.3         DNS缓存入侵的结果和影响

3.3.1   DNS缓存入侵又叫DNS缓存投毒，即给DNS缓存服务器注入非法网络域名地址，如果服务器接受这个非法地址，那说明其缓存就被攻击了，而且以后响应的域名请求将会受黑客所控。当这些非法地址进入服务器缓存，用户的浏览器或者邮件服务器就会自动跳转到DNS指定的地址

3.3.2   DNS缓存入侵攻击归类为域欺骗攻击(pharming attack)，由此它会导致出现很多严重问题。首先，用户往往会以为登陆的是自己熟悉的网站，而它们却并不是。与钓鱼攻击采用非法URL不同的是，这种攻击使用的是合法的URL地址；另外一个问题是，成百上千的用户会被植入缓存中毒攻击的服务器重定向，引导至黑客设立的圈套站点上。这种问题的严重性，会与使用域名请求的用户多少相关。在这样的情况下，即使没有丰富技术的黑客也可以造成很大的麻烦，让用户稀里糊涂的就把自己网银帐号密码，网游帐号密码告诉给他人。

3.3.3   DNS缓存入侵是DNS被动产生的

3.4         电信HTTP劫持（DNS劫持）

3.4.1   是指在劫持的网络范围内拦截域名解析的请求，分析请求的域名，把审查范围以外的请求放行，否则返回假的IP地址或者什么都不做使请求失去响应，其效果就是对特定的网络不能反应或访问的是假网址。

3.4.2   前题条件：客户端必须用电信的DNS和网关。

3.4.3   现像：监控用户的HTTP请求是否有流量,如果有流量就劫持HTTP会话,篡改HTTP请求,指向广告WEB服务器

3.4.4   实例：当客户端的DNS为上海电热线DNS，ping adc2.hotsales.net 的时候，这个二级域名肯定没有解析的，但上海热线DNS返回一个Pinging adc2.hotsales.net [218.83.175.155]，218.83.175.155这个IP是上海电信114页面的IP，如果直接访问这个域名的时候并不是显示打不开，而是打开上海电信114的页面。

3.4.5   电信HTTP劫持是DNS自己主动产生的。

4、   总结：DNS劫持的方法及预防

4.1          DNS劫持是网络安全界常见的一个名词，意思是通过某些手段取得某一目标域名的解析记录控制权，进而修改此域名的解析结果，通过此修改将对此域名的访问由原先的IP地址转入到自己指定的IP，从而实现窃取资料或者破坏原有正常服务的目的。

4.2          劫持方法及预防：这个可以从DNS的解析过程来看。

l  取得域名解析记录控制权，直接修改域名的解析记录

如：2010年1月12日BAIDU.COM的访问异常就是这类

预防：做好域名管理权限的管理，ISP加强安全管理

l   DNS缓存入侵：修改DNS缓存服务器里的内容，让查询这个服务器的请求被骗。

如：2009年4月巴西Bandesco银行遭受了DNS缓存入侵攻击，受到影响的用户会被重定向至一个假冒的银行网站，该假冒网站试图窃取用户密码并安装恶意软件

预防：ISP及时打好补丁，加强DNS缓存服务器安全

l   DNS信息劫持：通过监听客户端和DNS服务器的对话，就可以猜测服务器响应给客户端的DNS查询ID。每个DNS报文包括一个相关联的16位ID号，DNS服务器根据这个ID号获取请求源位置。攻击者在DNS服务器之前将虚假的响应交给用户，从而欺骗客户端去访问恶意的网站。

如：上海电信HTTP劫持，所有没有解析的域名访问都会到114页面。

预防：使用opendsn等这样的不做相应操作的DNS服务器，并加强通信安全，防止ARP等类型的信息监听。

l   DNS重定向：攻击者如果将DNS名称查询重定向到恶意DNS服务器。那么被劫持域名的解析就完全至于攻击者的控制之下

预防：限制好网络配置，尽量用手动填写DNS

l  本机劫持：本机劫持有hosts文件篡改、本机DNS劫持、SPI链注入、BHO插件等方式，虽然并非都通过DNS环节完成，但都会造成无法按照用户意愿获得正确的地址或者内容的后果

预防：限制HOST文件的修改,或是用MACFEE等软件限制修改操作

DNS劫持

标签：spi   必须   钓鱼   返回   发送请求   条件   五步   显示   定向   

原文地址：https://www.cnblogs.com/sfqas/p/12181067.html