信息安全论文

DNS 欺骗的研究与防范摘要DNS 是目前大部分网络应用的基础, 对它的攻击将影响整个Internet 的正常运转。DNS 欺骗就是攻击者冒充域名服务器的一种欺骗行为。 DNS欺骗攻击是攻击者常用的手

DNS 欺骗的研究与防范

摘要

DNS 是目前大部分网络应用的基础, 对它的攻击将影响整个Internet 的正常运转。DNS 欺骗就是攻击者冒充域名服务器的一种欺骗行为。 DNS欺骗攻击是攻击者常用的手法, 它具有隐蔽性强、打击面广、攻击效果明显的特点, 但是目前对这种攻击还没有好的防范策略。本文在分析DNS 欺骗原理的基础上，以太网中利用ARP 欺骗突破交换网络对数据监听的限制，成为“中间人”截获DNS 报文，进而伪造DNS 报文进行DNS 欺骗的技术，并给出基于WinPc ap 的实现，防范DSN 欺骗的措施。

什么是DNS 欺骗

DNS 欺骗是一种非常复杂的攻击手段。但是它使用起来比IP 欺骗要简单一些，所以也比较常见。一个利用DNS 欺骗进行攻击的典型案列，是全球著名网络安全销售商RSA Security 的网站所遭到的攻击。其实RSA Security 网站的主机并没有被入侵，而是RSA 的域名被黑客劫持，当用户连上RSA Security时，发现主页被改成了其他的内容。 DNS 欺骗的工作原理

在设置计算机网络时，我们经常需要设置DNS 地址。当我们输入一个网址的时候，就有一个DNS 请求发送的设置的DNS 服务器上，然后DNS 服务器会告诉你你想访问的网站对应的IP ，于是你的计算机就会到对应的IP 上面去取回网页。那么，如果我想欺骗你，我只需要在DNS 服务器给你答复之前给你一个假的回答就可以了。

比如你想用浏览器去Google 搜索一些信息，毫无疑问的你会在地址栏里输入www.goog le.com 的网址然后回车。那么在这背后又有什么事情正在进行着呢？一般而言，你的浏览器将会向DNS 服务器发送一个请求，从而要求得到与www.google.com 相匹配的IP 地址，D NS 服务器则会告诉你的浏览器Google 的IP 地址，接着你的浏览器会连接并显示主页内容。哦，等一下，你打开的网页说Google 因无钱支付网站费用而转让给CSite 的消息。你可能会非常吃惊，并打电话告诉你的好朋友。当然你的朋友一定会笑你疯掉了，因为你的朋友是可以登陆Google 并进行搜索的。还确信正在和你通信的IP 地址是友好的吗？说不定你已成圈中之羊。当你在浏览器地址里输入http:// 66.249.89.99并回车时，你又会发现，其实w ww.google.com 还健在。其实刚刚就是DNS 劫持攻击时目击者可能看到的情形。 对进一步Web 欺骗的分析

通过DNS 欺骗，客户将访问到错误的网站，若攻击者在让客户访问的虚假网站上克隆了

客户欲访问的真实网站，则对于普通计算机用户来说是无法分辨网站的真实性的，因此攻击者可诱骗客户输入如账号和密码等信息然后再将客户端重定向到真实网站，而客户却对自己遭到欺骗攻击的事实毫无察觉。

此外，对于Web 服务等有链接服务，客户每次访问获得的数据中常常包含许多链接，而客户端用户也常常根据客户端界面的引导而对这些链接指向的地址进行访问。由于攻击者作为“中间人”转发客户端和Internet 间通信的数据流，所以攻击者可以不进行DNS 欺骗，直接对服务器返回内容中的链接进行修改，将它们指向攻击者控制的机器上去。当然，攻击者还要保留原来链接的足够信息，以便在收到新的访问请求时攻击者能够代替客户去访问正确的地址，回送看似正确的内容。当然，细心的用户可以通过查看Web 浏览器中的状态行、地址行或网页源代码等发现自己已经进入假冒的页面，这时攻击者就需要进行更细致的欺骗。

DNS 欺骗的防范

防范DNS 欺骗在你访问你的银行账户，在线购书网站甚至是网页电子邮件时尤为重要。 而对于网站管理者来说，可行的防范措施有：

1）对高速缓存器加以限制，保证不保留额外的记录。

2）不要用或依赖DNS 构架安全体系。

3）使用SSL 之类的加密技术，即使被攻击，难度也会加大。

那么如何挫败这种攻击呢？这也很简单，直接用IP 访问重要的服务，这样至少可以避开DNS 欺骗攻击。最根本的解决办法就是加密所有对外的数据流，对服务器来说就是尽量使用SSH 之类的有加密支持的协议，对一般用户应该用PGP 之类的软件加密所有发到网络上的数据。说起来容易，做起来难！

1. 对于个人主机来说，只要及时更新补丁或者使用代理就可以防范到DNS 攻击。

2. 对高标准的服务器来说，应该做到以下几点：

1) 安装新版软件；

2) 关闭服务器的递归功能；

3) 限制城名服务器做出反应的地址；

4) 限制城名服务器做出递归相应的请求地址；

5) 限制发去请求的地址；

6) 手动修改本地hosts 文件来解；

7) 用专用工具，比如AntiARP-DNS 。

参考文献

DNS 欺骗攻击的检测和防范 《计算机工程》2006年21期