域名DNS劫持及DNS污染简析

DNS劫持及DNS污染简析

先认识下什么是DNS

DNS是计算机域名 (Domain Name System) 的缩写它是由解析器和域名服务器组成的。域名服务器是指保存有该网络中所有主机的域名和对应IP地址并具有将域名转换为IP地址功能的服务器。其中域名必须对应一个IP地址而IP地址不一定有域名。域名系统采用类似目录树的等级结构。域名服务器为客户机/服务器模式中的服务器方它主要有两种形式主服务器和转发服务器。将域名映射为IP地址的过程就称为“域名解析”。在Internet上域名与IP地址之间是一对一或者多对一的域名虽然便于人们记忆但机器之间只能互相认识IP地址它们之间的转换工作称为域名解析域名解析需要由专门的域名解析服务器来完成 DNS就是进行域名解析的服务器。 DNS命名用于Internet等TCP/IP网络中通过用户友好的名称查找计算机和服务。当用户在应用程序中输入DNS名称时 DNS服务可以将此名称解析为与之相关的其他信息如IP地址。因为你在上网时输入的网址是通过域名解析系统解析找到了相对应的IP地址这样才能上网。其实域名的最终指向是IP。例如

1用户需要访问www.examp l e.com这个网站 向DNS服务器提出解析请求。

2 DNS服务器通过检查发现www. examp l e.com域名的IP地址是127.0.0. 1将结

果返回给用户。

3用户知道www. examp l e.c om这个域名的真实地址之后就可以正常访问www.examp l e.c om网站了。

什么是DNS劫持

DNS劫持就是通过劫持了DNS服务器通过某些手段取得某域名的解析记录控制权进而修改此域名的解析结果导致对该域名的访问由原IP地址转入到修改后的指定IP其结果就是对特定的网址不能访问或访问的是假网址从而实现窃取资料或者破坏原有正常服务的目的。

从上面的原理图上来看 DNS劫持是出现在第2步通过篡改DNS服务器上的数据返回给用户一个错误的查询结果来实现DNS劫持的。

DNS劫持症状在某些地区的用户在成功连接宽带后首次打开任何页面都

指向ISP提供的“电信XX网站”、 “网通XX广告”等内容页面。还有就是曾经出现过用户访问Google域名的时候出现了百度的网站。这些都属于DNS劫持。再说简单点 当你输入example.com这个网址的时候你看到的网站却是百度的首页。

下面看一个上海电信DNS劫持的实例

上海电信曾今使用户在使用搜索引擎的时候突然就跳转到另外一个页面了。例如将对auto. search.msn.com这个域名解析的应答篡改为他们自己的IP地址。那么我们使用由 Root服务器下来的权威结果 我们用DNSStuff测试

 http://www.dnsstuff.com/tools/lookup.ch?name=auto. search.msn.com&type=A可以看到如下结果

Response:

Domain Type Class TTL Answera134.g.akamai.net.6528acf. 1.cn.akamaitech.net. A IN 20 67. 130. 109.38a134.g.akamai.net.6528acf. 1.cn.akamaitech.net. A IN 20 67. 130. 109. 16

NOTE: One or more CNAMEs were encountered. auto. search.msn. com is reallya134.g.akamai.net.6528acf. 1.cn.akamaitech.net.

[auto. search.msn.com->sea. search.msn.com->sea. search.msn.com.nsatc.net->search.msn. com. edgesuite.net->a134.g.akamai.net->a134.g.akamai.net.6528acf. 1.cn.akamaitech.net]

再来看我们使用了上海热线DNS所解析出来的结果我这里用BIND提供的di g工具来取结果

# dig @202.96.209.5 A auto. search.msn. com

; <<>> DiG 9.2.4 <<>> @202.96.209.5 A auto. search.msn. com

; ; global options: printcmd

; ; Got answer:

; ; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 18248

; ; f lags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 5, ADDITIONAL: 4

; ; QUESTION SECTION:

;auto. search.msn.com. IN A

; ; ANSWER SECTION:

auto. search.msn. com. 86400 IN A 218. 30.64. 194

; ; AUTHORITY SECTION:auto. search.msn.com. 86400 IN NS ns-puxi.online. sh. cn.auto. search.msn. com. 86400 IN NS ns-pudong.online. sh.cn.auto. search.msn. com. 86400 IN NS ns-pd.online. sh.cn.auto. search.msn. com. 86400 IN NS ns-px.online. sh.cn.auto. search.msn. com. 86400 IN NS ns-px2.online. sh.cn.

; ; ADDITIONAL SECTION:ns-pd.online. sh.cn. 86400 IN A 202.96.209. 133ns-px.online. sh.cn. 86400 IN A 202.96.209.5ns-puxi.online. sh.cn. 86400 IN A 202.96.209. 5ns-pudong.online. sh. cn. 86400 IN A 202.96.209. 133

; ; Query time: 23 msec

; ; SERVER: 202.96.209.5#53(202.96.209. 5)

; ; WHEN: Wed Mar 14 14:51:08 2007

; ; MSG SIZE rcvd: 236

可以看到auto. search.msn.com被解析到了218.30.64. 194这个IP这显然是不对的而本应属于微软的msn域名的NS记录竟然为5个上海热线的域名服务器很明显猫腻就在这里了。而218.30.64. 194这个IP不错所料为电信IP。什么是DNS污染

DNS污染是一种让一般用户由于得到虚假目标主机IP而不能与其通信的方法是一种DNS缓存投毒攻击DNS cache poisoning。其工作方式是 由于通常的DNS查询没有任何认证机制而且DNS查询通常基于的UDP是无连接不可靠的协议因此DNS的查询非常容易被篡改通过对UDP端口53上的DNS查询进行入侵检测一经发现与关键词相匹配的请求则立即伪装成目标域名的解析服务器

NS Name Server给查询者返回虚假结果。

而DNS污染则是发生在用户请求的第一步上直接从协议上对用户的DNS请求进行干扰。

DNS污染症状 目前一些被禁止访问的网站很多就是通过DNS污染来实现的

例如YouTube。

解决办法

修改Hosts文件 Windows中Hosts文件的优先级高于DNS服务器操作系统在访问某个域名时会先检测HOSTS文件然后再查询DNS服务器。可以在hosts添加受到污染的DNS地址来解决DNS污染和DNS劫持如“www.examp l e.com

127.0.0. 1 正确的域名IP地址 ”。但是Hosts文件的条目一般不能使用通配符例如*.blogspot.com而DNS污染对域名匹配进行的是部分匹配不是精确匹配 因此Hosts文件也有一定的局限性试图访问这类域名仍会遇到很大麻烦。

使用安全的DNS服务器大多数用户都是使用ISP默认的DNS如果发现存在DNS劫持现象可以通过更换DNS服务器来实现避免DNS劫持例如可以更换为第三方的DNS服务OpenDNS或者得Google的DNS服务器例如 8.8.8.8,

8.8.4.4不过使用第三方DNS服务器虽然可以解决DNS劫持情况但是还是不能解决DNS污染问题的。