基于Web的DNS欺騙技術(shù)研究

張尚韜

（福建信息職業(yè)技術(shù)學(xué)院，福建 福州 350003）

基于Web的DNS欺騙技術(shù)研究

張尚韜

（福建信息職業(yè)技術(shù)學(xué)院，福建 福州 350003）

本文根據(jù)DNS解析的過程，結(jié)合DNS協(xié)議本身的缺陷，總結(jié)分析了DNS欺騙的原理，利用DNS信息劫持進(jìn)行DNS欺騙。當(dāng)客戶端發(fā)送域名解析請(qǐng)求時(shí)，先于DNS服務(wù)器給客戶端發(fā)送欺騙應(yīng)答數(shù)據(jù)包，由于客戶端處理DNS應(yīng)答報(bào)文都是簡(jiǎn)單地信任先到達(dá)的數(shù)據(jù)包，只要DNS應(yīng)答數(shù)據(jù)包的序列號(hào)標(biāo)識(shí)與請(qǐng)求數(shù)據(jù)包的序列號(hào)標(biāo)識(shí)匹配就可以把客戶端的請(qǐng)求重定向到某個(gè)預(yù)先設(shè)定的網(wǎng)頁(yè)。并基于此設(shè)計(jì)開發(fā)了局域網(wǎng)的DNS欺騙系統(tǒng)。

DNS欺騙；重定向；系統(tǒng)

Internet在當(dāng)今社會(huì)展示了巨大的魅力，越來越多的用戶通過網(wǎng)絡(luò)獲取信息，而Web攻擊者千方百計(jì)通過這些信息引誘用戶去訪問并點(diǎn)擊他設(shè)定的Web陷阱，研究TCP/IP協(xié)議[1]的安全缺陷和DNS[2]網(wǎng)絡(luò)欺騙攻擊的技術(shù)原理，對(duì)了解網(wǎng)絡(luò)協(xié)議，增強(qiáng)安全防范意識(shí)，對(duì)安全缺陷采取積極的防御措施，以及下一代網(wǎng)絡(luò)及無線網(wǎng)絡(luò)的發(fā)展在可靠性、優(yōu)良性和抗攻擊性上有重要價(jià)值。

1 DNS欺騙概述

DNS（Domain Name System，域名系統(tǒng)）是因特網(wǎng)的一項(xiàng)核心服務(wù)，是一個(gè)用于管理主機(jī)名字和地址映射的分布式數(shù)據(jù)庫(kù)，它將便于記憶和理解的名稱同枯燥的IP地址聯(lián)系起來，能夠使人更方便的訪問Internet，而不用去記住能夠被機(jī)器直接讀取的IP數(shù)串。

DNS欺騙即域名信息欺騙是最常見的DNS安全問題。所謂DNS欺騙，就是偽裝DNS服務(wù)器提前向客戶端發(fā)送響應(yīng)數(shù)據(jù)包，使客戶端DNS緩存中域名所對(duì)應(yīng)的IP就是攻擊者自定義的IP了，同時(shí)客戶端也進(jìn)入攻擊者指定的網(wǎng)站。當(dāng)一個(gè)DNS服務(wù)器掉入陷阱，使用了來自一個(gè)惡意DNS服務(wù)器的錯(cuò)誤信息，那么該DNS服務(wù)器就被欺騙了。DNS欺騙會(huì)使那些易受攻擊的DNS服務(wù)器產(chǎn)生許多安全問題，例如：將用戶引導(dǎo)到錯(cuò)誤的Internet站點(diǎn)等。

本文主要利用DNS信息劫持進(jìn)行DNS欺騙。DNS欺騙的具體攻擊過程如圖1所示。

圖1 DNS欺騙攻擊示意圖

以福州大學(xué)網(wǎng)站www.fzu.edu.cn為例，假設(shè)偽造的IP為1. 2. 3. 4，則具體的欺騙過程如下：

(1)DNS客戶端向首選DNS服務(wù)器發(fā)送對(duì)于www.fzu.edu.cn的遞歸解析請(qǐng)求數(shù)據(jù)包①。

(2)攻擊者監(jiān)聽到請(qǐng)求，并根據(jù)請(qǐng)求ID構(gòu)造發(fā)送欺騙應(yīng)答包②，通知與www.fzu.edu.cn對(duì)應(yīng)的IP地址為1.2.3.4。

(3)本地DNS服務(wù)器返回正確應(yīng)答(合法應(yīng)答數(shù)據(jù)包③)，如果晚于攻擊者的應(yīng)答，則此應(yīng)答數(shù)據(jù)包被丟棄；如果早于攻擊者的應(yīng)答，則攻擊者的應(yīng)答數(shù)據(jù)包被丟棄。

(4)如果(3)中判斷的為攻擊者的DNS應(yīng)答數(shù)據(jù)包先到達(dá)，則欺騙成功，客戶端對(duì)www. fzu. edu. cn的訪問被重定向到1. 2. 3. 4。

2 DNS欺騙系統(tǒng)的設(shè)計(jì)及實(shí)現(xiàn)

2.1 DNS欺騙系統(tǒng)設(shè)計(jì)

設(shè)計(jì)一個(gè)DNS欺騙系統(tǒng)，基于DNS欺騙的原理，當(dāng)客戶端訪問指定的域名（一般為門戶網(wǎng)站或百度等搜索引擎）時(shí)，構(gòu)造DNS欺騙數(shù)據(jù)包，重定向[3]客戶端的訪問。欺騙的方法是：把預(yù)先設(shè)定的網(wǎng)頁(yè)作為中間過程，在其腳本語(yǔ)言中讓客戶端以IP的形式重新與他訪問的網(wǎng)站進(jìn)行連接，如果中間過程時(shí)間很短，就可以達(dá)到欺騙客戶端的目的而不被發(fā)現(xiàn)。DNS欺騙系統(tǒng)包括軟件模塊和模塊間的控制關(guān)系和模塊組成關(guān)系，在設(shè)計(jì)階段，模塊指功能模塊，即按設(shè)計(jì)原理，劃分獨(dú)立功能而設(shè)計(jì)的模塊。軟件結(jié)構(gòu)用模塊結(jié)構(gòu)圖表示。模塊結(jié)構(gòu)圖的方框表示模塊，分支表示調(diào)用關(guān)系或組成關(guān)系，即上層模塊調(diào)用下層模塊，或上層模塊由下層模塊組成。DNS欺騙系統(tǒng)模塊設(shè)計(jì)如圖2。

圖2 DNS欺騙系統(tǒng)模塊設(shè)計(jì)圖

DNS欺騙系統(tǒng)模塊功能如下:

(1)循環(huán)捕獲數(shù)據(jù)模塊

循環(huán)捕獲數(shù)據(jù)模塊模塊的主要功能為循環(huán)捕捉數(shù)據(jù)，具體的說就是時(shí)刻監(jiān)聽網(wǎng)絡(luò)中的DNS查詢數(shù)據(jù)包，一旦捕獲DNS請(qǐng)求數(shù)據(jù)就轉(zhuǎn)入下個(gè)模塊進(jìn)行處理，沒有捕獲則循環(huán)進(jìn)行監(jiān)聽。

(2)DNS數(shù)據(jù)分析模塊

DNS數(shù)據(jù)分析模塊的目標(biāo)就是把DNS查詢數(shù)據(jù)包輸入到模塊之后，解析DNS數(shù)據(jù)包的各個(gè)主要字段。具體的說分為兩個(gè)方面：一是為DNS域名提取模塊提供DNS域名查詢的數(shù)據(jù)，二是當(dāng)客戶端查詢的域名與非法域名數(shù)據(jù)庫(kù)中的域名相匹配時(shí)，為欺騙應(yīng)答模塊提供DNS應(yīng)答數(shù)據(jù)包所需的各項(xiàng)置換和替換的數(shù)據(jù)，其中包括DNS查詢序列號(hào)標(biāo)識(shí)、查詢問題及IP和端口等數(shù)據(jù)，為快速應(yīng)答處理做好數(shù)據(jù)準(zhǔn)備。

(3)DNS域名提取模塊

DNS域名提取模塊的主要功能為提取DNS查詢數(shù)據(jù)包中的域名字段。但是DNS查詢數(shù)據(jù)包中的域名字段長(zhǎng)度是不固定的，可以通過DNS查詢數(shù)據(jù)包的長(zhǎng)度計(jì)算出DNS查詢域名的長(zhǎng)度，然后進(jìn)行提取。

(4)比較匹配模塊

比較匹配模塊主要功能是比較DNS查詢的域名是否與配置文件信息中需要攻擊的域名相匹配，匹配則調(diào)用欺騙應(yīng)答模塊構(gòu)造DNS欺騙應(yīng)答數(shù)據(jù)包，重定向客戶端的訪問。

(5)DNS欺騙應(yīng)答模塊

DNS欺騙應(yīng)答模塊的功能就是快速構(gòu)造與DNS查詢數(shù)據(jù)包序列號(hào)匹配的欺騙應(yīng)答數(shù)據(jù)包，若在合法DNS服務(wù)器返回響應(yīng)數(shù)據(jù)包之前到達(dá)客戶端，則合法響應(yīng)報(bào)文被丟棄，客戶端查詢的域名就被解析為自定義的IP。

2.2 DNS欺騙系統(tǒng)實(shí)現(xiàn)

2.2.1 DNS欺騙系統(tǒng)實(shí)現(xiàn)流程

DNS欺騙系統(tǒng)在監(jiān)控主機(jī)（攻擊主機(jī)）上運(yùn)行，是基于Linux系統(tǒng)開發(fā)的系統(tǒng)，需要安裝Libpcap庫(kù)和搭建HTTP服務(wù)器。系統(tǒng)的網(wǎng)絡(luò)環(huán)境為：共享式以太網(wǎng)，攻擊主機(jī)處于旁路監(jiān)聽模式[4]。共享式以太網(wǎng)，即局域網(wǎng)的出入口為具有鏡像端口的交換機(jī)，而運(yùn)行DNS欺騙系統(tǒng)的主機(jī)接入到交換機(jī)的鏡像端口上，從而捕獲該局域網(wǎng)的所有數(shù)據(jù)包。DNS欺騙系統(tǒng)實(shí)現(xiàn)流程如圖3

圖3 DNS欺騙系統(tǒng)實(shí)現(xiàn)流程

DNS欺騙系統(tǒng)是基于Linux系統(tǒng)設(shè)計(jì)的，它利用Libpcap庫(kù)[5]捕獲和過濾數(shù)據(jù)，在捕獲處理數(shù)據(jù)之前需要從配置文件中讀取數(shù)據(jù)，配置的參數(shù)有目標(biāo)主機(jī)IP、攻擊的域名地址和重定向欺騙的IP地址（即HTTP服務(wù)器的IP地址）等。利用Libpcap庫(kù)函數(shù)捕獲網(wǎng)絡(luò)中的數(shù)據(jù)包，把網(wǎng)卡設(shè)置為混雜模式，先根據(jù)以太網(wǎng)首部中的幀類型字段判斷協(xié)議類型（0x0800為IP數(shù)據(jù)包），再根據(jù)IP首部中的8位協(xié)議字段判斷傳輸層的協(xié)議。因?yàn)镈NS數(shù)據(jù)包是基于UDP的數(shù)據(jù)包，所以只需要處理UDP數(shù)據(jù)包，其它類型的直接丟棄。再?gòu)腢DP數(shù)據(jù)包中分離出DNS查詢報(bào)文，即目的端口為53的UDP數(shù)據(jù)包，將其送入DNS欺騙模塊進(jìn)行處理，繼續(xù)處理下一個(gè)數(shù)據(jù)包。

2.2.2 DNS欺騙系統(tǒng)主要模塊實(shí)現(xiàn)思路

DNS欺騙系統(tǒng)的實(shí)現(xiàn)思路是：利用旁路接入模式監(jiān)聽局域網(wǎng)中的數(shù)據(jù)包，當(dāng)發(fā)現(xiàn)有客戶端發(fā)送DNS查詢數(shù)據(jù)包（UDP：目的端口53），則提取其域名字段內(nèi)容，與配置文件信息中的攻擊域名地址進(jìn)行比較，如果匹配，則根據(jù)DNS查詢數(shù)據(jù)包的序列號(hào)標(biāo)識(shí)構(gòu)造DNS欺騙應(yīng)答數(shù)據(jù)包，如果先于合法應(yīng)答數(shù)據(jù)包到達(dá)客戶端，則其訪問就被重定向到預(yù)先設(shè)定的網(wǎng)站。

提取域名字段內(nèi)容、域名攻擊判斷、構(gòu)造數(shù)據(jù)包、發(fā)送重定向數(shù)據(jù)包等功能都是由DNS欺騙系統(tǒng)來實(shí)現(xiàn)的。DNS欺騙系統(tǒng)的詳細(xì)功能實(shí)現(xiàn)如圖4中的虛線框所示。

圖4 DNS欺騙系統(tǒng)詳細(xì)功能實(shí)現(xiàn)圖

3 DNS欺騙系統(tǒng)的測(cè)試與結(jié)果分析

實(shí)驗(yàn)環(huán)境利用了福建信息職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)設(shè)備實(shí)驗(yàn)室的局域網(wǎng)環(huán)境，局域網(wǎng)內(nèi)的計(jì)算機(jī)通過非智能交換機(jī)相連，這時(shí)候需要人為的進(jìn)行旁路設(shè)置，一般情況下，利用一臺(tái)Hub來實(shí)現(xiàn)。將網(wǎng)關(guān)設(shè)備、內(nèi)網(wǎng)交換機(jī)、監(jiān)控機(jī)（攻擊主機(jī)）和目標(biāo)主機(jī)都接在這臺(tái)Hub上，因?yàn)镠ub是介質(zhì)共享的，所以監(jiān)控機(jī)也能得到全部被監(jiān)控主機(jī)的通信數(shù)據(jù)，網(wǎng)絡(luò)拓?fù)淙鐖D5所示。這種情況下也可以把Hub換成可以做鏡像端口的交換機(jī)。

圖5 測(cè)試網(wǎng)絡(luò)拓?fù)?/p>

當(dāng)客戶端訪問指定的域名（一般為門戶網(wǎng)站或百度等搜索引擎）時(shí)，構(gòu)造DNS欺騙數(shù)據(jù)包，把客戶端的訪問重定向到預(yù)先設(shè)定的惡意網(wǎng)頁(yè)作為中間過程，當(dāng)完成該網(wǎng)頁(yè)的請(qǐng)求時(shí)，客戶端會(huì)以IP的形式跳轉(zhuǎn)到客戶端訪問的網(wǎng)站，達(dá)到欺騙的目的。

某次測(cè)試參數(shù)設(shè)置：目標(biāo)主機(jī)IP為192.168.3.70（或者是某一網(wǎng)段的IP），監(jiān)控主機(jī)IP為192.168.3.111，DNS欺騙的域名為www.baidu.com，DNS域名欺騙后指向IP設(shè)置為為192.168.3.111。啟動(dòng)“科來”網(wǎng)絡(luò)分析系統(tǒng)監(jiān)聽數(shù)據(jù)包，分析DNS欺騙[6]的過程。

某次測(cè)試的流程如下：首先運(yùn)行監(jiān)控機(jī)（攻擊主機(jī)）上的欺騙系統(tǒng)，導(dǎo)入配置文件信息（包括目標(biāo)主機(jī)IP、監(jiān)控主機(jī)IP和欺騙的域名信息），選擇監(jiān)控機(jī)的真實(shí)網(wǎng)絡(luò)適配器eth0捕獲數(shù)據(jù)包，設(shè)置過濾規(guī)則為僅捕獲192.168.3.70：53（UDP）數(shù)據(jù)包，欺騙系統(tǒng)運(yùn)行后處于監(jiān)聽狀態(tài)，如圖6為DNS欺騙系統(tǒng)的初始運(yùn)行狀態(tài)。

圖6 DNS欺騙系統(tǒng)初始運(yùn)行狀態(tài)

當(dāng)監(jiān)控主機(jī)捕獲到數(shù)據(jù)包時(shí)，就會(huì)調(diào)用DNS數(shù)據(jù)分析模塊分析數(shù)據(jù)包是否為DNS查詢數(shù)據(jù)包，若是，與配置文件信息中需要欺騙的域名比較，匹配的話，發(fā)送DNS欺騙數(shù)據(jù)包，重定向客戶端的訪問。在欺騙系統(tǒng)啟動(dòng)后，目標(biāo)主機(jī)192.168.3.70分別訪問了不同的網(wǎng)頁(yè)。圖7顯示的是DNS欺騙系統(tǒng)捕獲到目標(biāo)主機(jī)訪問www.baidu.com，并發(fā)送DNS欺騙數(shù)據(jù)包的過程。

圖7 DNS欺騙系統(tǒng)的運(yùn)行狀態(tài)

其中目標(biāo)主機(jī)訪問谷歌和騰訊的網(wǎng)站，不是欺騙系統(tǒng)需要欺騙的域名，沒有對(duì)此DNS查詢數(shù)據(jù)包處理；當(dāng)目標(biāo)主機(jī)訪問百度時(shí)，DNS欺騙系統(tǒng)對(duì)客戶端進(jìn)行了重定向欺騙，目標(biāo)主機(jī)先訪問攻擊主機(jī)（192.168.3.111）設(shè)定的中間網(wǎng)頁(yè)，之后以IP的形式訪問百度（220.181.37.55為百度的一個(gè)服務(wù)器的IP地址）。如圖8顯示的是對(duì)目標(biāo)主機(jī)欺騙跳轉(zhuǎn)后的結(jié)果。

圖8 DNS域名欺騙的結(jié)果

“科來”網(wǎng)絡(luò)分析系統(tǒng)也捕獲到客戶端訪問網(wǎng)頁(yè)（DNS域名解析）、DNS欺騙系統(tǒng)發(fā)送欺騙數(shù)據(jù)包和以IP形式跳轉(zhuǎn)的過程。如圖9所示。圖中第一列為數(shù)據(jù)包編號(hào)，第二列為數(shù)據(jù)包的捕獲時(shí)間，第三列為數(shù)據(jù)包源IP，第四列為數(shù)據(jù)包目的IP，第五列為TCP數(shù)據(jù)包的標(biāo)志位，第六列為數(shù)據(jù)包的概要內(nèi)容。

從圖9中可以看出，數(shù)據(jù)包80為目標(biāo)主機(jī)向首選DNS服務(wù)器（202.115.32.36）查詢百度(需要欺騙的域名)的IP地址。當(dāng)DNS欺騙系統(tǒng)捕獲到數(shù)據(jù)包80時(shí)，立即構(gòu)造DNS欺騙數(shù)據(jù)包，假冒首選DNS服務(wù)器把www.baidu.com對(duì)應(yīng)的IP地址設(shè)置為192.168.3.111，即圖9中的數(shù)據(jù)包81。真正的首選DNS服務(wù)器202.115.32.36的應(yīng)答為圖9中的數(shù)據(jù)包82。

從圖9數(shù)據(jù)包的絕對(duì)時(shí)間可以看出數(shù)據(jù)包81比數(shù)據(jù)包82先到達(dá)客戶端192.168.3.70，則客戶端訪問的www.baidu.com就被重定向到192.168.3.111。由于所有DNS客戶端處理DNS應(yīng)答報(bào)文都是簡(jiǎn)單的信任首先到達(dá)的數(shù)據(jù)包，丟棄所有后到達(dá)的，而不對(duì)數(shù)據(jù)包的合法性做任何的分析，所以數(shù)據(jù)包82被客戶端丟棄，不做任何處理。

數(shù)據(jù)包83、84、85為客戶端與HTTP服務(wù)器（192.168.3.111）三次握手建立連接的過程，數(shù)據(jù)包86～96為中間網(wǎng)頁(yè)的下載過程，93～96為完成頁(yè)面下載雙方端口關(guān)閉連接的過程；數(shù)據(jù)包107～115為客戶端以IP形式連接其請(qǐng)求的真實(shí)網(wǎng)站的過程（本測(cè)試中為客戶端以220.181.37.55連接百度），如圖10所示。

圖9 DNS欺騙系統(tǒng)對(duì)DNS數(shù)據(jù)包的處理

圖10 客戶端以IP形式連接其請(qǐng)求的真實(shí)網(wǎng)站

在局域網(wǎng)的中小流量的網(wǎng)絡(luò)環(huán)境下，經(jīng)過上面的測(cè)試分析，可以知道當(dāng)目標(biāo)主機(jī)訪問配置文件中的攻擊域名時(shí)，DNS欺騙系統(tǒng)成功地把客戶端重定向到預(yù)先設(shè)定的中間網(wǎng)頁(yè)，當(dāng)客戶端下載完中間網(wǎng)頁(yè)時(shí)，又根據(jù)其腳本語(yǔ)言的指令以IP的形式跳轉(zhuǎn)到客戶端訪問的網(wǎng)站。因?yàn)楣舻挠蛎话銥殚T戶網(wǎng)站或百度等搜索引擎，這些站點(diǎn)是客戶端信任的站點(diǎn)，所以對(duì)于一般用戶而言，瀏覽器的地址欄出現(xiàn)IP的形式也不會(huì)懷疑，這樣就達(dá)到了欺騙的目的。

4 總結(jié)

堡壘最容易從內(nèi)部攻破。據(jù)調(diào)查統(tǒng)計(jì)，已發(fā)生的網(wǎng)絡(luò)安全事件中，70%的攻擊是來自內(nèi)部，因此網(wǎng)絡(luò)安全不僅僅是對(duì)外的，內(nèi)部網(wǎng)絡(luò)的欺騙攻擊行為成為內(nèi)部網(wǎng)絡(luò)安全研究的重點(diǎn)。通過研究DNS欺騙技術(shù)，將來可以為擁有中小型網(wǎng)絡(luò)的企事業(yè)單位提供全方位的內(nèi)部網(wǎng)絡(luò)非法網(wǎng)站訪問監(jiān)控服務(wù)。

[1] WRICHARDSTEVENS. TCP/IP詳解卷1：協(xié)議[M].北京:機(jī)械工業(yè)出版社, 2005: 101-110.

[2] DECCIO, CASEYSEDAYAO. Quantifying DNS namespace influence[J]. Computer Networks, 2012, 56(2): 780-794.

[3] 楊青. 基于蜜罐的網(wǎng)絡(luò)動(dòng)態(tài)取證系統(tǒng)研究[J]. 山東科學(xué), 2010(5): 59-65.

[4] 宋廣軍. 基于校園網(wǎng)的防火墻和入侵檢測(cè)聯(lián)動(dòng)技術(shù)研究[J]. 科技資訊, 2011(34): 25.

[5] 張毅. 基于Libnet和Libpcap的網(wǎng)絡(luò)丟包率測(cè)試平臺(tái)設(shè)計(jì)[J]. 廣東通信技術(shù), 2010(1): 23-27.

[6] 孔政, 姜秀柱. DNS欺騙原理及其防御方案[J], 計(jì)算機(jī)工程, 2010, 36(03): 125-127.

A Study of DNS Spoofing Technology Based on Web

ZHANG Shang-tao

(Fujian Polytechnic of Information Technology, Fuzhou 350003, China)

According to the DNS resolution process and the drawback of DNS itself, this paper analyses the principle of DNS spoofing and DNS information hijack.When the client sends a domain resolution query, it will send the spoofing response packet to the client ahead of the DNS server. Since the way of the client processing DNS response is to trust the first arrival data simply, the client query can be redirected to malicious Web site only by matching the IDof the response with the IDof the query. This paper designs and develops DNS spoofing system based on LAN.

DNS spoofing; redirection; system

TP393

A

1008-2395(2012)03-0024-06

2012-02-27

張尚韜（1980-），講師，碩士，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)。