楊芙容+張雅茜+史洋

摘 要 DNS是把主機域名解析IP地址的系統(tǒng)，DNS欺騙則是攻擊者冒充域名服務(wù)器的一種欺騙行為，常見被用做編寫釣魚網(wǎng)站或網(wǎng)頁掛馬等，對用戶上網(wǎng)安全構(gòu)成嚴(yán)重影響。本文首先對DNS基本概念及域名查詢過程進行了簡單陳訴，然后深入闡述了DNS欺騙原理，并利用滲透測試平臺Kali Linux上集成的欺騙工具ettercap完成了DNS欺騙攻擊，最后對DNS的防范措施提出了幾點建議。

關(guān)鍵詞 DNS 欺騙 kali Linux Ettercap

中圖分類號：TP399 文獻標(biāo)識碼：A

1 DNS域名系統(tǒng)

DNS即Domain Name System 的縮寫，是把主機域名解析IP地址的系統(tǒng)。解決了IP地址難記的問題，用相對好記的域名就可以對服務(wù)器進行訪問，即使服務(wù)器更換了IP地址，我們依舊可以通過域名訪問該服務(wù)器，這樣能夠使我們更方便的訪問互聯(lián)網(wǎng)。該系統(tǒng)是由解析器和域名服務(wù)器組成的。DNS主要基于UDP協(xié)議，較少情況下使用TCP協(xié)議，端口號均為53。域名系統(tǒng)由三部分組成：DNS名稱空間，域名服務(wù)器，DNS客戶機。

DNS屬于分層式命名系統(tǒng)，即采用的命名方式是層次樹狀結(jié)構(gòu)。域名服務(wù)器運行模式為客戶機、服務(wù)器模式，按域名空間層次可以分為根域名服務(wù)器、頂層域名服務(wù)器、權(quán)限域名服務(wù)器、本地域名服務(wù)器。域名解析就是將域名解協(xié)為IP地址。域名解析的方法有遞歸查詢和迭代查詢。

2 DNS域名查詢過程

DNS是設(shè)置在互聯(lián)網(wǎng)上很多主機中的一個分布式數(shù)據(jù)庫，他用來進行域名和IP地址的轉(zhuǎn)換查詢，并提供電子郵件的路由信息。DNS域名查詢請求與回應(yīng)的過程可簡單描述成以下五個步驟：（1）網(wǎng)絡(luò)用戶的瀏覽器提出將域名轉(zhuǎn)換為IP地址的請求；（2）地址解析程序resolve生成查詢報文；（3）地址解程序?qū)⒉樵冋埱笳Z句封裝在UDP包中發(fā)送出去；（4）DNS服務(wù)器查找到IP地址并生成相應(yīng)報文；（5）DNS服務(wù)器將查詢結(jié)果封裝到UDP報文中發(fā)回給查詢者。

3 DNS欺騙原理

DNS欺騙就是利用了DNS協(xié)議設(shè)計時的一個非常嚴(yán)重的安全缺陷。首先欺騙者向目標(biāo)機器發(fā)送構(gòu)造好的ARP應(yīng)答數(shù)據(jù)包，ARP欺騙成功后，嗅探到對方發(fā)出的DNS請求數(shù)據(jù)包，分析數(shù)據(jù)包取得ID和端口號后，向目標(biāo)發(fā)送自己構(gòu)造好的一個DNS返回包，對方收到DNS應(yīng)答包后，發(fā)現(xiàn)ID和端口號全部正確，即把返回數(shù)據(jù)包中的域名和對應(yīng)的IP地址保存進DNS緩存表中，而后來的當(dāng)真實的DNS應(yīng)答包返回時則被丟棄。

以用戶訪問新浪網(wǎng)為例，DNS服務(wù)器的域名映射表中有一條信息是：新浪網(wǎng)站的IP地址是119.75.217.109，如果此映射信息中的IP地址被篡改為192.168.83.128。當(dāng)用戶訪問新浪www.sina.com.cn網(wǎng)站時，從DNS上解析回來的目的IP地址就變成了192.168.83.128，用戶主機按照步驟向192.168.83.128發(fā)送請求，收到的確實惡意攻擊或進入不希望訪問的網(wǎng)址。

DNS欺騙的危害是巨大的，常見被利用來釣魚、掛馬等，這在用戶訪問自己的銀行賬戶，在線購書網(wǎng)站甚至是網(wǎng)頁電子郵件時顯得尤為重要。通常情況下，除非發(fā)生欺騙攻擊，否則你不可能知道你的DNS已經(jīng)被欺騙，只是你打開的網(wǎng)頁與你想要看到的網(wǎng)頁有所不同。在很多針對性的攻擊中，用戶都無法知道自己已經(jīng)將網(wǎng)上銀行帳號信息輸入到錯誤的網(wǎng)址，直到接到銀行的電話告知其帳號，已購買某某高價商品時用戶才會知道。

4 DNS欺騙測試

DNS欺騙也可以被稱為DNS毒化，屬于中間人攻擊，實驗過程中采用虛擬機來模擬DNS欺騙攻擊。測試環(huán)境為兩臺虛擬機，一臺為攻擊機裝有Kali Linux系統(tǒng)，IP地址為192.168.83.128，另一臺為靶機裝Windows系統(tǒng) ，IP地址為192.168.83.130。

Kali Linux是基于Debian的Linux發(fā)行版， 設(shè)計用于數(shù)字取證操作系統(tǒng)，面向?qū)I(yè)的滲透測試和安全審計，由Offensive Security Ltd維護和資助。Kali Linux預(yù)裝了許多滲透測試軟件，包括nmap 、Wireshark 、John the Ripper ，以及Aircrack-ng.用戶可通過硬盤、live CD或live USB運行Kali Linux。

實驗用到的主要工具是Kali Linux 預(yù)裝的Ettercap工具，具體欺騙工程如下：首先來看目標(biāo)靶機IP地址為192.168.83.130，網(wǎng)關(guān)192.168.83.2，Ping www.sina.com.cn解析的IP地址為119.75.217.109，這時訪問新浪所指向到的IP地址是正確的。接著在kali Linux上用ettercap來進行DNS欺騙，首先查看kali linux的ip地址192.168.83.128，進入usr/ettercap路徑下找到etter.dns配置文件。vi編輯配置文件etter.dns添加一條A記錄，將 www.sina.com.cn 指向到本機IP 192.168.83.128。保存并且退出，編輯文件/var/www/html/index.html ，添加

just kidding！

字段，保存退出。使用命令service apache2 start開啟apache服務(wù)。利用ettercap開始欺騙：ettercap -i eth0 -Tq -M arp：remote -P dns_spoof /192.168.83.130// /192.168.83.2//

在到靶機上使用ipconfig/flushdns刷新路由信息，ping 新浪域名可以看出，欺騙攻擊之前訪問新浪，返回的地址為119.75.217.109，這時所指向到的IP地址是正確的。DNS欺騙攻擊之后，可以看到訪問已經(jīng)被指向192.168.83.128，是Kali Linux的IP地址，在瀏覽器中訪問該域名便訪問到事先搭建好的一臺WEB服務(wù)器，顯示just kidding！ 以上便完成了一次DNS欺騙攻擊。

5 DNS欺騙的防范

DNS欺騙是很難進行有效防御的，因為大多情況下都是被攻擊之后才會發(fā)現(xiàn)，而且這種攻擊大多數(shù)本質(zhì)都是被動的。為了竟可能地減少種類型攻擊，提出以下幾點建議：

因為DNS欺騙前提也需要ARP欺騙成功。所以首先做好對ARP欺騙攻擊的防范；其次要保護內(nèi)部設(shè)備：像這樣的攻擊大多數(shù)都是從網(wǎng)絡(luò)內(nèi)部執(zhí)行攻擊的，如果你的網(wǎng)絡(luò)設(shè)備很安全，那么那些感染的主機就很難向你的設(shè)備發(fā)動欺騙攻擊。不要依賴于DNS，在高度敏感和安全的系統(tǒng)，你通常不會在這些系統(tǒng)上瀏覽網(wǎng)頁，最好不要使用DNS。如果你有軟件依賴于主機名來運行，那么可以在設(shè)備主機文件里手動指定，可以使用hosts文件來實現(xiàn)相同的功能。

關(guān)閉DNS服務(wù)器的遞歸功能。DNS服務(wù)器利用緩存中的記錄信息回答查詢請求或是DNS服務(wù)器通過查詢其他服務(wù)獲得查詢信息并將它發(fā)送給客戶機，這兩種查詢成為遞歸查詢，這種查詢方式容易導(dǎo)致DNS欺騙。使用安全檢測軟件定期檢查系統(tǒng)是否遭受攻擊；使用DNSSEC，DNSSEC是替代DNS的更好選擇，它使用的是數(shù)字前面DNS記錄來確保查詢響應(yīng)的有效性，DNSSEC還沒有廣泛運用，但是已被公認(rèn)為是DNS的未來方向。

參考文獻

[1] 李建.DNS欺騙攻擊的檢測與防御[J].無線互聯(lián)科技，2016（04）.

[2] 鄧詩釗.DNS域名安全實時檢測的研究[D].成都：電子科技大學(xué)，2015（09）.

[3] 雷驚鵬，沙有闖.利用Kali Linux開展?jié)B透測試[J].長春大學(xué)學(xué)報，2016（06）.

[4] 徐光.基于Kali Linux的Web滲透測試研究[J].信息安全與技術(shù)，2016（03）.endprint