一、DNS域欺骗攻击原理
DNS欺骗即域名信息欺骗是最常见的DNS安全问题。当一个DNS服务器掉入陷阱,使用了来自一个恶意DNS服务器的错误信息,那么该DNS服务器就被欺骗了。DNS欺骗会使那些易受攻击的DNS服务器产生许多安全问题,例如:将用户引导到错误的互联网站点,或者发送一个电子邮件到一个未经授权的邮件服务器。
二、DNS域欺骗攻击实现步骤
1.配置实验环境;
2.假设攻击者已经侵入受害者机器实施攻击;
3.使用嗅探进行DNS ID欺骗;
4.DNS通配符攻击。
我们需要像图1那样设置实验环境。为简化,我们让用户计算机、DNS服务器和攻击者计算机位于同一物理机器上,但是使用不同的虚拟机,网页可以是任意网页。
图1 实验环境
本次实验中,DNS Server部署在Fedora 17(192.168.1.137)上,Attacker系统为SeedUbuntu 11.04(192.168.1.139),User系统为Windows 7(192.168.48.104),网页选择为www.example.com。下面介绍如何在Fedora 17和SeedUbuntu11.04上安装BIND 9 DNS软件,如何设置example.com域及其子域。应当指出的是,example.com的域名是被保留用于文件的,不属于任何人,所以使用它不必担心重名。
注意:如果没有这些虚拟机系统可以用自己的环境,若User系统也为Linux,请看“DNS域欺骗攻击详细教程之Linux篇”。
2.1 配置实验环境
2.1.1 在Fedora 17上配置DNS服务器
使用BIND 9软件包作为DNS服务器,具体配置步骤如下:
1)安装DNS服务器:#yum install bind9
查看安装后的相关软件包信息:$ rpm – qa bind
查看端口是否已启动:$ netstat – tunlp | grep 53
图2 安装bind 9
2)创建域。修改DNS主配置文件/etc/named.conf,用以下内容创建一个名为example.com的域和名为1.168.192.in-addr.arpa的域。注意,我们以192.168.1.x为例,如果你使用了不同的IP地址,需要修改/etc/named.conf及相应的反向DNS查找文件。
