DNS中毒－－2008年最轟動的入侵

leogeng1

只要黑客想這么做，那我可以保證，您訪問的Google，絕不是Google，淘寶也不是淘寶，而是一個偽裝的網站，2008年，給ISP的DNS緩存服務器投毒是安全界最熱門的話題，并且，這個問題仍然無法解決……
通過本文，會看到一些奇妙的事情：
1、您發(fā)現(xiàn)在自家電腦的瀏覽器里輸入
www.google.com
，訪問的卻是chinaunix。
2、隨意的給google加個子域名，比如chinaunix.google.com。
他們都基于一個技術 －－ 給ISP（如，電信/網通）的DNS緩存服務器投毒，也稱作UDP會話劫持。
* 投毒原理
首先，您必須大致了解DNS的工作原理:

先看藍色的線條，這是正常的DNS解析流程
1）終端電腦（您的個人電腦）在用瀏覽器訪問網頁時，首先要在瀏覽器的地址欄中填入一個網址（如，
www.google.com
），可我們的個人電腦必須知道這個網址對應的IP地址，才可以正常瀏覽網頁（如，
www.google.com對應的IP地址是1.1.1.1
）。于是，你的電腦就發(fā)送一個解析請求給暫存DNS伺服器，這個請求其實就是一句話“您能告訴我
www.google.com
對應的IP地址嗎？”
2）如果暫存DNS伺服器上沒有
www.google.com
對應的IP地址，則暫存DNS伺服器就會通過迭代的方法最后詢問主要DNS伺服器。主要DNS伺服器上保存有
www.google.com
對應的IP地址。
3）主要DNS伺服器響應暫存DNS伺服器的請求，其實就是一句話“
www.google.com對應的IP地址是1.1.1.1
”。
4）暫存DNS伺服器收到主要DNS伺服器的應答后，把應答消息轉發(fā)給一開始詢問自己的那臺個人電腦。
5）您的瀏覽器使用這個正確的IP訪問Google主頁。
這就意味著，黑客只要偽造響應報文給暫存DNS伺服器，暫存DNS伺服器上就記錄了錯誤的域名到IP地址的對應關系，然后暫存DNS伺服器把這個錯誤的對應關系發(fā)給先前查詢的用戶計算機的瀏覽器，這樣，您盡管在瀏覽器里輸入的是
www.google.com
，可訪問的確不是真正的IP地址，這個地址是黑客任意指定的。
紅色線條是黑客在您DNS解析時的投毒過程
1）用戶請求暫存DNS伺服器返回
www.google.com
的IP地址。
2）如果暫存DNS伺服器上沒有
www.google.com
對應的IP地址，暫存DNS伺服器就會通過迭代的方法最后詢問主要DNS伺服器。
3）在主要DNS伺服器還未返回給暫存DNS伺服器時，黑客趁此時間空隙，把錯誤的對域名到IP的應關系告訴暫存DNS伺服器，這就是給DNS緩存服務器的一次投毒。
4）暫存DNS伺服器回應給用戶錯誤的域名到IP對應關系。
5）用戶訪問黑客任意指定的IP地址，比如指向chinaunix（chinaunix因此獲得了非常高的流量，如果chinaunix想冒充網上銀行也是可以的）。
因為暫存DNS伺服器會在一段時間內發(fā)送多個DNS查詢報文，所以為了使查詢報文與響應報文匹配，在DNS的報頭中使用了ID字段，響應的報頭ID必須與先前發(fā)出去的查詢報頭ID一致才會被暫存DNS伺服器收錄，否則丟棄。所以，黑客若想投毒成功，必須猜中查詢報文的ID號。DNS報頭的ID號是16位2進制，也就是有2的16次方=65536個ID號，這就是說黑客一次投毒的命中率是1/65536，不過只要攻擊程序稍微優(yōu)化一下，這個命中率可以縮小到1/655，幾秒鐘就可以搞定。
* 攻擊測試
測試目的
僅為了引起ISP（比如，電信、網通）對DNS服務器的安全重視，禁止非法使用。
攻擊工具
kaminsky-attack
(您也可以通過Google搜索下載源碼自己編譯)
測試步驟
在命令行下輸入（我用的是Linux系統(tǒng)）：
[admin@Linux] ./kaminsky-attack q.q.q.q 202.96.209.5 a.a.a.a 1234 www google.com. 8.8.8.8 8192 16

命令說明
q.q.q.q是發(fā)送DNS請求的客戶機IP地址，可以隨意設置
202.96.209.5是上海的DNS緩存服務器（黑客投毒的目標）
a.a.a.a是google.com的權威DNS服務器，可以隨便設置
www是主機名
google.com是域名（與www聯(lián)合起來就是一個完整的FQDN名）
8.8.8.8是毒藥，讓DNS緩存服務器存儲錯誤的A記錄（域名到IP的對應關系）
8192是猜測次數（次數越大命中率越大）
攻擊原理
這個程序有雙重身份，一個是普通客戶端，另一個是黑客，程序先給DNS緩存服務器發(fā)送一個DNS解析請求，然后快速給DNS緩存服務器發(fā)送8192個偽造的響應包，使其中毒。
重要提示
在測試之前，您應該明白，對于google.com這樣知名的網站，幾乎時時有用戶在請求解析，就是說DNS緩存服務器上總是有google.com的A記錄，而這時黑客的投毒是無效的。但這并不防礙黑客偽造2級域名，比如：
[admin@Linux] ./kaminsky-attack q.q.q.q 202.96.209.5 a.a.a.a 1234 chinaunix google.com. 8.8.8.8 8192 16

因為可以肯定DNS緩存服務器上不會有chianunix.google.com的A記錄，所以投毒100%成功，與此同時，
www.googl.com
也中毒了，這是為什么？如果您了解DNS響應報文，就會明白，響應報文中不但會有chinaunix.google.com的A記錄，還可以捎帶名曰附加記錄的信息，這里的附加記錄是
www.google.com
對應的IP地址。這樣，DNS緩存服務器同樣更新了
www.google.com
對應的錯誤IP地址。
另外，您也可以在本地查詢DNS緩存服務器上是否存有目標域名的記錄。在命令行下輸入：
[admin@Linux]nslookup
>set norecurse（norecurse是告訴客戶端不使用遞歸查詢，因此，如果DNS緩存服務器上沒有目標域名記錄，則會返回相關提示。如果顯示的是非授權區(qū)域提供的信息，則表示DNS緩存服務器已經有了目標域的資源記錄）
> google.com

*防止投毒
目前還沒有更好辦法阻止黑客的這種行為，只有使DNS緩存服務器發(fā)出的查詢請求使用動態(tài)的UDP端口，UDP的端口號也是16位2進制，這樣，與DNS的ID號相結合，號碼的命中率就是1/4294967296(2的32次方)。
也許您對下列信息感興趣：
這是一段DNS投毒動畫
http://www.infobyte.com.ar/demo/evilgrade.htm
TCP會話劫持

本文來自ChinaUnix博客，如果查看原文請點：http://blog.chinaunix.net/u3/101492/showart_2004794.html

srlove

試問下，我在攻擊自己搭建的windows dns 10.10.10.100時，在正確執(zhí)行完命令行后，程序顯示如下：
Chance of success: 1-(1-16/65536)**8192 = 0.86
dns_response overflow
這個overflow是怎么回事？