dns劫持
DNS 劫持解决方案原理域名劫持是通过攻击域名解析服务器(DNS ),或伪造域名解析服务器(DNS )的方法,把目标网站域名解析到错误的地址从而实现用户无法访问目标网站的目的。过程由客户端发送域名请求
DNS 劫持解决方案
原理
域名劫持是通过攻击域名解析服务器(DNS ),或伪造域名解析服务器(DNS )的方法,把目标网站域名解析到错误的地址从而实现用户无法访问目标网站的目的。
过程
由客户端发送域名请求给 dns ,dns 通过遍历查询dns 数据库,来解析此域名对应的ip ,然后反馈至浏览器客户端,客户端通过ip 与对方建立数据连接; 这时,很关键的一环,就是dns 服务,如果dns 把你想要解析的地方,解析为错误的另一个地方,这地方是劫持者有自身利益的地方,例:明明访问 www.gome.com.cn, 却被引导至另外一个网址,比如:。
TP-LINK 攻击步骤
1) 攻击者诱骗受害者通过浏览器访问一个有CSRF 攻击代码的页面;
2) 受害者访问后,这个页面里的CSRF 代码开始执行;
3) 执行第1个CSRF :用默认账户密码登录默认路由IP 地址(比如admin/admin登录http://192.68.1.1),这些默认的可以形成一个列表,遍历就行;
4) 第1个CSRF 成功后,目标路由设备会有个合法的Cookie 植入到受害者浏览器端;
5) 执行第2个CSRF :将DNS 的IP 修改为攻击者准备好的服务器IP 。这次的执行,浏览器会带上第1次的合法Cookie ,所以修改可以成功;
6) 用户的访问请求就会经过攻击者的这个服务器,攻击者可以做各种劫持了; 钓鱼网站步骤
架设一个钓鱼网站。首先架设服务器,可以在本机架设,也可以花点钱买个虚拟主机(现在虚拟主机功能很强大,钓鱼网站是小菜,而且很便宜,还有海外主机),然后就是钓鱼站的整站源码,网上有下载的,如果有能力可以自己写,也可以花几百块钱请专业人士写,这样的质量高一些。得到源码后放到服务器上测试一下,没问题的话钓鱼网站就做好了。我们的
,钓鱼网站不需要域名,只要有服务器的IP 就可以了,因为我们的假DNS 可以给它任何域名。关于钓鱼网站的类型可以淘宝,可以腾讯,也可以搞其它常用的且要盗取的信息是对你有价值的,如果你搞一个很偏网站做钓鱼网站,别人压根就没有浏览过就白忙活了。
架设自己的假DNS 服务器。这个要在自己的机器上架设了,WIN2003中有DNS 服务组件(Linux 也可以),在控制面板中打开此服务,然后将钓鱼网站仿的原正常网站的域名解析到你的钓鱼站的IP ,其它的就交由网上其它的DNS 主机解析。配置完后,在自己机器中填用自己架设的DNS ,测试一下,看看DNS 和钓鱼站是否可以正常运行。还有一点要注意,一般电脑为了节省网络资源,在本机会有一个HOSTS 文件,功能类似DNS 服务器,但优先级高于DNS 服务器,如果对方主机的HOSTS 文件中有你想欺骗的正常解析记录的话,钓鱼的成功率就要降低了。
以上涉及到的技术(包括下面讲的破wifi 连接密码)都可以百度到,而且技术都很成熟,文章也很详细。所以本文就不详解了,主要是思路。
进入目标路由后台管理界面,并修改DNS 地址。现在路由器都有无线功能,而且在城市家庭普及广,所以我们就有机会从外部进入到别人的内网中,当我们打开无线网卡可以搜索到大量AP 的ssid ,找一个家用的例如TPlink_XXXX Tenda_XXXX等连接,运气好碰到没有加密的就这么进去了,但大部分是加密的,碰到这种情况先用1234578之类的弱口令试一下,如果不行的话再用工具进行破解。
WPA2加密的用BT5或者奶瓶(Beni ),先搞到握手包,然后要有一个强大的字典(字典十分重要,是否能破解主要靠字典),然后爆破出密码。
WEP 加密的也用BT3或BT5抓包破解。TPLINK 路由器默认开了WPS 方式连接,用BT5穷举出PIN 。
得到密码后连接进内网,然后ipconfig all 查下网关地址,一般为192.168.1.1然后用浏览器打开,要求密码验证,一般用户名及密码都是admin ,不同品牌路由器会有不同。如果默认密码打不开,就用webcrack 加上你强大的字典爆破一下。
破解各种密码后,终于拿下路由器,进入路由器的管理界面, 点击网络参数里的WAN 口设置, 在那里面就能手动设置DNS ,DNS1就用你刚才搭建的DNS 服务器的地址,保存后重启路由器就OK 了。
所有的欺骗,钓鱼环境就搭建好了,然后就等内网的主机打开网页,然后被我们的DNS 服务器,带领到我们的钓鱼网站,用户输入用户名,密码等信息,就悄悄地被我们的钓鱼网站记录下来了,钓鱼 欺骗就此成功。
,分类
HOSTS 劫持 这种劫持法的效果一般为域名不变内容却被劫持了 (如:打开www.baidu.com www.qq.com 等等,其域名不变还是百度和QQ ,但内容更换了) 域名跳转劫持
配置多个域名劫持到多个指定网站(多对多跳转劫持) 本劫持是域名跳转劫持,是通过IE 浏览器取句柄,判断浏览器地址然后执行跳转,达到跳转劫持的效果! 本劫持可配置多个被劫持的域名和劫持到的域名,可多对多劫持,劫持后跳转的站也会随之改变,如访问www.baidu.com 则会跳转到www.adminxf.com 或者是www.sega070.cccpan.com IE 地址栏内的域名则会变成这俩者间的任意一个域名,
网络LSP 劫持 配置多个域名劫持到单个指定网站(多对一跳转劫持) 本劫持插件是网截,其意思就是网络劫持,利用系统分层服务提供商,劫持winsock 网络数据交换,把winsock 网络数据劫持到您指定的网站上面去,当用户提交信息后,底层修改winsock 网络数据包为自己的网站,本插件劫持的力度强。优先级高,适合网吧竞争其他劫持插件,或者其他劫持对手!LSP 劫持后的站其域名不变。内容则是您自己的网站内容,(如:打开www.baidu.com www.qq.com 等等,其域名不变还是百度和QQ ,但内容改变了,而且鼠标点击网页属性右键还是查看不到您的站,还是原来的域名。其隐蔽性高,被用户发现的几率大大减小了,也不会引起用户访问后的注意)
利益方
黑客
利用宽带路由器的缺陷对用户DNS 进行篡改——用户只要浏览一下黑客所掌控的WEB 页面,其宽带路由器的DNS 就会被黑客篡改。
运营商
示例一
我在河北石家庄,使用网通(现联通)ADSL 服务,DNS 为网通dns ,被劫持到网通机房的某台服务器上,然后被发往网通主办的银河网广告服务器上ad1.inhe.net ,最后被发送到游戏提供商的广告页面上。
,今天(2009年12月11日)10:30左右给10010打电话投诉,接待我的客服号是6142,她问了一些情况,然后告诉我最迟36小时会给我回复,过了十几分钟,一个自称网通技术支持的给我打电话说:你的电脑中毒了,跟我们没有关系。我说你怎么知道是中毒了?他们说反正我们没问题,我说等我找到证据我会投诉你的,他说:去吧!
示例二 在我发现近期浏览网页出现异常的这段时间里,我注意搜索了一下关于这方面的讨论,发现上海电信的这种不道德 行为确实是存在的,只是我以前恰好没有入套而已。根据我搜索来的资料,在06年下半年的时间里,上海电信实现了通过IE 浏览器搜索功能来推送电信的114 搜索。其具体原理是与IE 本身的实现相关。简单来说,IE 对于输入的网址,如果无法正常解析其域名或者输入的根本就不是域名的话,会调用它自身定义的搜索 引擎来搜索这个地址。这个搜索引擎,默认是MSN (在之前是3721,但06年微软终止了与3721的合同,所以是MSN )。所以此时地址会转向 http://auto.search.msn.com。上海电信为了将这部分流量导入自己的怀里,做了2种小动作:
•第一是在他们的星空XX 拨号软件里,只要安装这个软件,就会修改注册表将IE 的搜索引擎改为http://search.114.vnet.cn,于是这些流量被导入到114,此做法尚可忍受,因为毕竟软件是可以选择的,而修改也是可以改回来的。
•第二就是DNS 劫持了,这就是公然违反网络标准以及违反互联网道德的行为了。具体细节就是在上海电信的几个DNS 服务器中作手脚,将对auto.search.msn.com 这个域名解析的应答篡改为他们自己的IP 地址,这是很容易查出来的:
预防DNS 劫持
其实,DNS 劫持并不是什么新鲜事物,也并非无法预防,百度被黑事件的发生再次揭示了全球DNS 体系的脆弱性,并说明互联网厂商如果仅有针对自身信息系统的安全预案,就不足以快速应对全面而复杂的威胁。因此,互联网公司应采取以下措施:
1) 互联网公司准备两个以上的域名,一旦黑客进行DNS 攻击,用户还可以访问另一个域
名。
2) 互联网应该对应急预案进行进一步修正,强化对域名服务商的协调流程。
3) 域名注册商和代理机构特定时期可能成为集中攻击目标,需要加以防范。
4) 国内有关机构之间应该快速建立与境外有关机构的协调和沟通,协助国内企业实现对此
事件的快速及时的处理。
防御
这个不太指望TP-LINK 等路由厂商发布固件升级,个人用户可以这样:
1) 修改默认的口令与内网地址段会比较好,不过不一定就安全了;
,2) 本地绑定不错的DNS 服务,如8.8.8.8,不过似乎不稳定了?
3) 这次攻击在IE 下估计无效;
4) Firefox NoScript一直是一个绝佳的组合;
解决原理 遇到dns 被劫持,让dns 服务提供者解决这个问题,是比较矛盾的; 因为,劫持者,最有可能的就是他们; 另外一种最直接的解决办法就是换用其他dns (用户自行操作)。 总结
运营商耍流氓谁都挡不住