《浅谈DNS》PPT课件.ppt

1、浅谈DNS,“信息安全”公选课小组作业,小组成员：王伟轩，陈祚堡，廖焯辉，伍颖仪,DNS的定义,域名系统 (Domain Name System) 用于 Internet 等 TCP/IP 网络中，通过用户友好的名称查找计算机和服务。当用户在应用程序中输入 DNS 名称时，DNS 服务可以将此名称解析为与之相关的其他信息，如 IP 地址。用户在上网时输入的网址，要通过域名解析系统解析找到相对应的IP地址才能上网。即域名的最终指向是IP。,DNS的作用,DNS的主要的功能就是将人易于记忆的域名与人不容易记忆的IP地址作转换，这个过程叫做域名解析。 静态域名解析，即用户手工配置域名到IP地址的映射

2、（如HOST文件） 动态域名解析，则通过域名解析服务器（DNS）来解析。,DNS的主要的功能就是将人易于记忆的域名与人不容易记忆的IP地址作转换，这个过程叫做域名解析。 静态域名解析，即用户手工配置域名到IP地址的映射（如HOST文件） 动态域名解析，则通过域名解析服务器（DNS）来解析。,DNS的作用,DNS解析是互联网绝大多数应用的实际寻址方式。设备在解析域名时，可以首先采用静态域名解析的方法，如果静态域名解析不成功，再采用动态域名解析的方法。可以将一些常用的域名放入静态域名解析表中，这样可以大大提高域名解析效率。,DNS工作原理,DNS分为客户端和服务器，客户端扮演发问的角色，也就是问服

3、务器一个域名，而服务器必须要回答此域名的真正IP地址。本机先会查询本机缓存是否存在该IP地址，如果不存在，就到当地的DNS查资料库。如果自己的资料库没有，则会往该DNS上所设的的DNS询问，依此得到答案之后，将收到的答案存起来，并回答客户。,DNS工作原理,DNS分为客户端和服务器，客户端扮演发问的角色，也就是问服务器一个域名，而服务器必须要回答此域名的真正IP地址。本机先会查询本机缓存是否存在该IP地址，如果不存在，就到当地的DNS查资料库。如果自己的资料库没有，则会往该DNS上所设的的DNS询问，依此得到答案之后，将收到的答案存起来，并回答客户。,网络客户端,DNS根服务器,本地DNS服务

4、器,域服务器,.com域服务器,1.我要访问，请告诉我它的Ip地址。,2.缓存里没有的记录，联系根服务器d.root-，询问域名对应的IP地址是多少。,13台根服务器： a.root- b.root- c.root- d.root- e.root- ,3.这个域名是由.com区域管理，给你c.gtld-服务器地址，它应该知道。,4.请告诉我域名对应的Ip地址是多少。,13台顶级域名服务器： a.gtld- b.gtld- c.gtld- ,5.负责主区域的服务器应该知道答案，给你地址你去问它吧。,6. 域名对应的Ip地址是多少。,7.经查询得知此域名对应的IP地址为。,的IP地址

5、是，同时我也写入缓存以便备查。,DNS域名解析 基本过程,DNS攻击方式,由于域名解析通过主机与DNS服务器互动而实现，所以可以在服务器或者主机两方面进行攻击。 下面就分这两类攻击来讨论： 服务器攻击 主机攻击,通过采用黑客手段控制了域名管理密码和域名管理邮箱，然后将该域名的NS纪录指向到黑客可以控制的DNS服务器，然后通过在该DNS服务器上添加相应域名纪录，从而使网民访问该域名时，进入了黑客所指向的内容。,域名劫持,服务器攻击,通过采用黑客手段控制了域名管理密码和域名管理邮箱，然后将该域名的NS纪录指向到黑客可以控制的DNS服务器，然后通过在该DNS服务器上添加相应域名纪录，从

6、而使网民访问该域名时，进入了黑客所指向的内容。,域名劫持,服务器攻击,缓存投毒,利用控制DNS缓存服务器，把原本准备访问某网站的用户在不知不觉中带到黑客指向的其他网站上。其实现方式有多种，比如可以通过利用网民ISP端的DNS缓存服务器的漏洞进行攻击或控制，从而改变该ISP内的用户访问域名的响应结果。,域名劫持,服务器攻击,缓存投毒,或者，黑客通过利用用户权威域名服务器上的漏洞，如当用户权威域名服务器同时可以被当作缓存服务器使用时，黑客可以实现缓存投毒，将错误的域名纪录存入缓存中，从而使所有使用该缓存服务器的用户得到错误的DNS解析结果。,或者，黑客通过利用用户权威域名服务器上的漏洞，如当用户权

7、威域名服务器同时可以被当作缓存服务器使用，黑客可以实现缓存投毒，将错误的域名纪录存入缓存中，从而使所有使用该缓存服务器的用户得到错误的DNS解析结果。,域名劫持,服务器攻击,缓存投毒,一种攻击针对DNS服务器软件本身，通常利用BIND软件程序中的漏洞，导致DNS服务器崩溃或拒绝服务;另一种攻击的目标不是DNS服务器，而是利用DNS服务器作为中间的“攻击放大器”，去攻击其它互联网上的主机，导致被攻击主机拒绝服务。,DDOS攻击,主机攻击,DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。 原理：冒充域名服务器，然后把查询的IP地址设为攻击者的IP地址，用户上网就只能看到攻击者的主页，而不是用户想

8、要取得的网站的主页了。DNS欺骗其实并不是真的“黑掉”了对方的网站，而是冒名顶替、招摇撞骗罢了。,DNS欺骗,主机攻击,DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。 原理：冒充域名服务器，然后把查询的IP地址设为攻击者的IP地址，用户上网就只能看到攻击者的主页，而不是用户想要取得的网站的主页了。DNS欺骗其实并不是真的“黑掉”了对方的网站，而是冒名顶替、招摇撞骗罢了。,DNS欺骗,由于hosts文件的优先级高于dns服务器，所以，黑客可以通过某种手段控制某人的计算机，修改 C:WindowsSystem32Driversetchosts文件，添加 22 转到的网

9、址的ip地址 正在打开的网址域名 就能实现dns欺骗（钓鱼网站），当然这也可以用户用于防治打开有毒的网站。,主机攻击,DNS欺骗,由于hosts文件的优先级高于dns服务器，所以，黑客可以通过某种手段控制某人的计算机，修改 C:WindowsSystem32Driversetchosts文件，添加 22 转到的网址的ip地址 正在打开的网址域名 就能实现dns欺骗（钓鱼网站），当然这也可以用户用于防治打开有毒的网站。,此外，黑客还可以通过某种手法登陆到你的路由器，对路由器实现dns和备用dns的修改，从而实现dns欺骗。,DNS欺骗实例,一、配置PcShare和MS0

10、6014网马 1.打开PcShare客户端，点击“创建客户”后输入控制端IP地址：2，端口：81，点击“生成”，保存名为 123.exe到桌面了，PcShare的服务端配置完成了，再来配置一下网页木马MS06014。,DNS欺骗实例,2.打开MS06014生成器，输入网址2/123.exe ，点击“生成”保存名xtaflf.htm也到桌面。（最好将网马和服务端上传到自己的空间上去),DNS欺骗实例,3.运行“HTTP傻瓜服务器”架设本地服务器，将目录指定在F:xtaflf文件夹，再将网马和PcShare的服务端COPY过去。再将代码插入到

11、自己的主页中去。, ,DNS欺骗实例,二、进行DNS欺骗 1. 拿出工具“cain2.8工具”，运行“cain”。点击“嗅探”，再点击上面的那个网卡图标“开始嗅探”，再点击那个深蓝色的十字，在弹出的对话框中目标网络里，选择“子网中的所有计算机”你也可以选自定义范围，大家可以根据自身的情况来选。确定。软件会自动扫描出网里的所有电脑。,DNS欺骗实例,2.再点击下面的那个“ARP”按钮，再点击上面的那个深蓝色十字，在弹出的“新建ARP欺骗”的对话框，左边选你要欺骗的IP地址：00，右边选被欺骗IP的目标网关，最后确定。,DNS欺骗实例,3.再点击“DNS

12、欺骗”，然后依然点击那个黑色的十字，弹出一个DNS欺骗的对话框。,DNS欺骗实例,4.在请求DNS域名栏中填入00正常要访问的网站，如，然后在“用来改写响应包的IP地址”一栏中填入IP：2，意思是说，当主机00访问时要跳到我们所设的IP地址 2再确定。最后点击“开始/停止ARP欺骗”按钮，DNS欺骗工作正式开始了。,防范攻击的措施,1.直接使用IP地址访问 对个别信息安全等级要求十分严格的WEB站点尽量不要使用DNS进行解析。当访问具有严格保密信息的站点时，可以直接使用IP地址而无需通过DNS解析，这样所有的DNS欺骗攻击可能造成的危害就可以避免了。,防范攻击的措施,2. 对DNS数据包进行监测 在DNS欺骗攻击中，Client会接收到至少两个DNS的数据响应包，一个是真实数据包，另一个是攻击数据包。欺骗攻击数据包为了抢在真实应答包之前回复给Client，它的信息数据结构与真实的数据包相比十分简单，只有应答域，而不包括授权域和附加域。,防范攻击的措施,3.DNS信息绑定。 由于每个网卡的MAC地址具有唯一性质，所以可以把DNS服务器的MAC地址