張尚韜

（福建信息職業(yè)技術(shù)學(xué)院，福建 福州 350003）

基于Web的DNS欺騙技術(shù)研究

張尚韜

（福建信息職業(yè)技術(shù)學(xué)院，福建 福州 350003）

本文根據(jù)DNS解析的過程，結(jié)合DNS協(xié)議本身的缺陷，總結(jié)分析了DNS欺騙的原理，利用DNS信息劫持進行DNS欺騙。當客戶端發(fā)送域名解析請求時，先于DNS服務(wù)器給客戶端發(fā)送欺騙應(yīng)答數(shù)據(jù)包，由于客戶端處理DNS應(yīng)答報文都是簡單地信任先到達的數(shù)據(jù)包，只要DNS應(yīng)答數(shù)據(jù)包的序列號標識與請求數(shù)據(jù)包的序列號標識匹配就可以把客戶端的請求重定向到某個預(yù)先設(shè)定的網(wǎng)頁。并基于此設(shè)計開發(fā)了局域網(wǎng)的DNS欺騙系統(tǒng)。

DNS欺騙；重定向；系統(tǒng)

Internet在當今社會展示了巨大的魅力，越來越多的用戶通過網(wǎng)絡(luò)獲取信息，而Web攻擊者千方百計通過這些信息引誘用戶去訪問并點擊他設(shè)定的Web陷阱，研究TCP/IP協(xié)議[1]的安全缺陷和DNS[2]網(wǎng)絡(luò)欺騙攻擊的技術(shù)原理，對了解網(wǎng)絡(luò)協(xié)議，增強安全防范意識，對安全缺陷采取積極的防御措施，以及下一代網(wǎng)絡(luò)及無線網(wǎng)絡(luò)的發(fā)展在可靠性、優(yōu)良性和抗攻擊性上有重要價值。

1 DNS欺騙概述

DNS（Domain Name System，域名系統(tǒng)）是因特網(wǎng)的一項核心服務(wù)，是一個用于管理主機名字和地址映射的分布式數(shù)據(jù)庫，它將便于記憶和理解的名稱同枯燥的IP地址聯(lián)系起來，能夠使人更方便的訪問Internet，而不用去記住能夠被機器直接讀取的IP數(shù)串。

DNS欺騙即域名信息欺騙是最常見的DNS安全問題。所謂DNS欺騙，就是偽裝DNS服務(wù)器提前向客戶端發(fā)送響應(yīng)數(shù)據(jù)包，使客戶端DNS緩存中域名所對應(yīng)的IP就是攻擊者自定義的IP了，同時客戶端也進入攻擊者指定的網(wǎng)站。當一個DNS服務(wù)器掉入陷阱，使用了來自一個惡意DNS服務(wù)器的錯誤信息，那么該DNS服務(wù)器就被欺騙了。DNS欺騙會使那些易受攻擊的DNS服務(wù)器產(chǎn)生許多安全問題，例如：將用戶引導(dǎo)到錯誤的Internet站點等。

本文主要利用DNS信息劫持進行DNS欺騙。DNS欺騙的具體攻擊過程如圖1所示。

圖1 DNS欺騙攻擊示意圖

以福州大學(xué)網(wǎng)站www.fzu.edu.cn為例，假設(shè)偽造的IP為1. 2. 3. 4，則具體的欺騙過程如下：

(1)DNS客戶端向首選DNS服務(wù)器發(fā)送對于www.fzu.edu.cn的遞歸解析請求數(shù)據(jù)包①。

(2)攻擊者監(jiān)聽到請求，并根據(jù)請求ID構(gòu)造發(fā)送欺騙應(yīng)答包②，通知與www.fzu.edu.cn對應(yīng)的IP地址為1.2.3.4。

(3)本地DNS服務(wù)器返回正確應(yīng)答(合法應(yīng)答數(shù)據(jù)包③)，如果晚于攻擊者的應(yīng)答，則此應(yīng)答數(shù)據(jù)包被丟棄；如果早于攻擊者的應(yīng)答，則攻擊者的應(yīng)答數(shù)據(jù)包被丟棄。

(4)如果(3)中判斷的為攻擊者的DNS應(yīng)答數(shù)據(jù)包先到達，則欺騙成功，客戶端對www. fzu. edu. cn的訪問被重定向到1. 2. 3. 4。

2 DNS欺騙系統(tǒng)的設(shè)計及實現(xiàn)

2.1 DNS欺騙系統(tǒng)設(shè)計

設(shè)計一個DNS欺騙系統(tǒng)，基于DNS欺騙的原理，當客戶端訪問指定的域名（一般為門戶網(wǎng)站或百度等搜索引擎）時，構(gòu)造DNS欺騙數(shù)據(jù)包，重定向[3]客戶端的訪問。欺騙的方法是：把預(yù)先設(shè)定的網(wǎng)頁作為中間過程，在其腳本語言中讓客戶端以IP的形式重新與他訪問的網(wǎng)站進行連接，如果中間過程時間很短，就可以達到欺騙客戶端的目的而不被發(fā)現(xiàn)。DNS欺騙系統(tǒng)包括軟件模塊和模塊間的控制關(guān)系和模塊組成關(guān)系，在設(shè)計階段，模塊指功能模塊，即按設(shè)計原理，劃分獨立功能而設(shè)計的模塊。軟件結(jié)構(gòu)用模塊結(jié)構(gòu)圖表示。模塊結(jié)構(gòu)圖的方框表示模塊，分支表示調(diào)用關(guān)系或組成關(guān)系，即上層模塊調(diào)用下層模塊，或上層模塊由下層模塊組成。DNS欺騙系統(tǒng)模塊設(shè)計如圖2。

圖2 DNS欺騙系統(tǒng)模塊設(shè)計圖

DNS欺騙系統(tǒng)模塊功能如下:

(1)循環(huán)捕獲數(shù)據(jù)模塊

循環(huán)捕獲數(shù)據(jù)模塊模塊的主要功能為循環(huán)捕捉數(shù)據(jù)，具體的說就是時刻監(jiān)聽網(wǎng)絡(luò)中的DNS查詢數(shù)據(jù)包，一旦捕獲DNS請求數(shù)據(jù)就轉(zhuǎn)入下個模塊進行處理，沒有捕獲則循環(huán)進行監(jiān)聽。

(2)DNS數(shù)據(jù)分析模塊

DNS數(shù)據(jù)分析模塊的目標就是把DNS查詢數(shù)據(jù)包輸入到模塊之后，解析DNS數(shù)據(jù)包的各個主要字段。具體的說分為兩個方面：一是為DNS域名提取模塊提供DNS域名查詢的數(shù)據(jù)，二是當客戶端查詢的域名與非法域名數(shù)據(jù)庫中的域名相匹配時，為欺騙應(yīng)答模塊提供DNS應(yīng)答數(shù)據(jù)包所需的各項置換和替換的數(shù)據(jù)，其中包括DNS查詢序列號標識、查詢問題及IP和端口等數(shù)據(jù)，為快速應(yīng)答處理做好數(shù)據(jù)準備。

(3)DNS域名提取模塊

DNS域名提取模塊的主要功能為提取DNS查詢數(shù)據(jù)包中的域名字段。但是DNS查詢數(shù)據(jù)包中的域名字段長度是不固定的，可以通過DNS查詢數(shù)據(jù)包的長度計算出DNS查詢域名的長度，然后進行提取。

(4)比較匹配模塊

比較匹配模塊主要功能是比較DNS查詢的域名是否與配置文件信息中需要攻擊的域名相匹配，匹配則調(diào)用欺騙應(yīng)答模塊構(gòu)造DNS欺騙應(yīng)答數(shù)據(jù)包，重定向客戶端的訪問。

(5)DNS欺騙應(yīng)答模塊

DNS欺騙應(yīng)答模塊的功能就是快速構(gòu)造與DNS查詢數(shù)據(jù)包序列號匹配的欺騙應(yīng)答數(shù)據(jù)包，若在合法DNS服務(wù)器返回響應(yīng)數(shù)據(jù)包之前到達客戶端，則合法響應(yīng)報文被丟棄，客戶端查詢的域名就被解析為自定義的IP。

2.2 DNS欺騙系統(tǒng)實現(xiàn)

2.2.1 DNS欺騙系統(tǒng)實現(xiàn)流程

DNS欺騙系統(tǒng)在監(jiān)控主機（攻擊主機）上運行，是基于Linux系統(tǒng)開發(fā)的系統(tǒng)，需要安裝Libpcap庫和搭建HTTP服務(wù)器。系統(tǒng)的網(wǎng)絡(luò)環(huán)境為：共享式以太網(wǎng)，攻擊主機處于旁路監(jiān)聽模式[4]。共享式以太網(wǎng)，即局域網(wǎng)的出入口為具有鏡像端口的交換機，而運行DNS欺騙系統(tǒng)的主機接入到交換機的鏡像端口上，從而捕獲該局域網(wǎng)的所有數(shù)據(jù)包。DNS欺騙系統(tǒng)實現(xiàn)流程如圖3

圖3 DNS欺騙系統(tǒng)實現(xiàn)流程

DNS欺騙系統(tǒng)是基于Linux系統(tǒng)設(shè)計的，它利用Libpcap庫[5]捕獲和過濾數(shù)據(jù)，在捕獲處理數(shù)據(jù)之前需要從配置文件中讀取數(shù)據(jù)，配置的參數(shù)有目標主機IP、攻擊的域名地址和重定向欺騙的IP地址（即HTTP服務(wù)器的IP地址）等。利用Libpcap庫函數(shù)捕獲網(wǎng)絡(luò)中的數(shù)據(jù)包，把網(wǎng)卡設(shè)置為混雜模式，先根據(jù)以太網(wǎng)首部中的幀類型字段判斷協(xié)議類型（0x0800為IP數(shù)據(jù)包），再根據(jù)IP首部中的8位協(xié)議字段判斷傳輸層的協(xié)議。因為DNS數(shù)據(jù)包是基于UDP的數(shù)據(jù)包，所以只需要處理UDP數(shù)據(jù)包，其它類型的直接丟棄。再從UDP數(shù)據(jù)包中分離出DNS查詢報文，即目的端口為53的UDP數(shù)據(jù)包，將其送入DNS欺騙模塊進行處理，繼續(xù)處理下一個數(shù)據(jù)包。

2.2.2 DNS欺騙系統(tǒng)主要模塊實現(xiàn)思路

DNS欺騙系統(tǒng)的實現(xiàn)思路是：利用旁路接入模式監(jiān)聽局域網(wǎng)中的數(shù)據(jù)包，當發(fā)現(xiàn)有客戶端發(fā)送DNS查詢數(shù)據(jù)包（UDP：目的端口53），則提取其域名字段內(nèi)容，與配置文件信息中的攻擊域名地址進行比較，如果匹配，則根據(jù)DNS查詢數(shù)據(jù)包的序列號標識構(gòu)造DNS欺騙應(yīng)答數(shù)據(jù)包，如果先于合法應(yīng)答數(shù)據(jù)包到達客戶端，則其訪問就被重定向到預(yù)先設(shè)定的網(wǎng)站。

提取域名字段內(nèi)容、域名攻擊判斷、構(gòu)造數(shù)據(jù)包、發(fā)送重定向數(shù)據(jù)包等功能都是由DNS欺騙系統(tǒng)來實現(xiàn)的。DNS欺騙系統(tǒng)的詳細功能實現(xiàn)如圖4中的虛線框所示。

圖4 DNS欺騙系統(tǒng)詳細功能實現(xiàn)圖

3 DNS欺騙系統(tǒng)的測試與結(jié)果分析

實驗環(huán)境利用了福建信息職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)設(shè)備實驗室的局域網(wǎng)環(huán)境，局域網(wǎng)內(nèi)的計算機通過非智能交換機相連，這時候需要人為的進行旁路設(shè)置，一般情況下，利用一臺Hub來實現(xiàn)。將網(wǎng)關(guān)設(shè)備、內(nèi)網(wǎng)交換機、監(jiān)控機（攻擊主機）和目標主機都接在這臺Hub上，因為Hub是介質(zhì)共享的，所以監(jiān)控機也能得到全部被監(jiān)控主機的通信數(shù)據(jù)，網(wǎng)絡(luò)拓撲如圖5所示。這種情況下也可以把Hub換成可以做鏡像端口的交換機。

圖5 測試網(wǎng)絡(luò)拓撲

當客戶端訪問指定的域名（一般為門戶網(wǎng)站或百度等搜索引擎）時，構(gòu)造DNS欺騙數(shù)據(jù)包，把客戶端的訪問重定向到預(yù)先設(shè)定的惡意網(wǎng)頁作為中間過程，當完成該網(wǎng)頁的請求時，客戶端會以IP的形式跳轉(zhuǎn)到客戶端訪問的網(wǎng)站，達到欺騙的目的。

某次測試參數(shù)設(shè)置：目標主機IP為192.168.3.70（或者是某一網(wǎng)段的IP），監(jiān)控主機IP為192.168.3.111，DNS欺騙的域名為www.baidu.com，DNS域名欺騙后指向IP設(shè)置為為192.168.3.111。啟動“科來”網(wǎng)絡(luò)分析系統(tǒng)監(jiān)聽數(shù)據(jù)包，分析DNS欺騙[6]的過程。

某次測試的流程如下：首先運行監(jiān)控機（攻擊主機）上的欺騙系統(tǒng)，導(dǎo)入配置文件信息（包括目標主機IP、監(jiān)控主機IP和欺騙的域名信息），選擇監(jiān)控機的真實網(wǎng)絡(luò)適配器eth0捕獲數(shù)據(jù)包，設(shè)置過濾規(guī)則為僅捕獲192.168.3.70：53（UDP）數(shù)據(jù)包，欺騙系統(tǒng)運行后處于監(jiān)聽狀態(tài)，如圖6為DNS欺騙系統(tǒng)的初始運行狀態(tài)。

圖6 DNS欺騙系統(tǒng)初始運行狀態(tài)

當監(jiān)控主機捕獲到數(shù)據(jù)包時，就會調(diào)用DNS數(shù)據(jù)分析模塊分析數(shù)據(jù)包是否為DNS查詢數(shù)據(jù)包，若是，與配置文件信息中需要欺騙的域名比較，匹配的話，發(fā)送DNS欺騙數(shù)據(jù)包，重定向客戶端的訪問。在欺騙系統(tǒng)啟動后，目標主機192.168.3.70分別訪問了不同的網(wǎng)頁。圖7顯示的是DNS欺騙系統(tǒng)捕獲到目標主機訪問www.baidu.com，并發(fā)送DNS欺騙數(shù)據(jù)包的過程。

圖7 DNS欺騙系統(tǒng)的運行狀態(tài)

其中目標主機訪問谷歌和騰訊的網(wǎng)站，不是欺騙系統(tǒng)需要欺騙的域名，沒有對此DNS查詢數(shù)據(jù)包處理；當目標主機訪問百度時，DNS欺騙系統(tǒng)對客戶端進行了重定向欺騙，目標主機先訪問攻擊主機（192.168.3.111）設(shè)定的中間網(wǎng)頁，之后以IP的形式訪問百度（220.181.37.55為百度的一個服務(wù)器的IP地址）。如圖8顯示的是對目標主機欺騙跳轉(zhuǎn)后的結(jié)果。

圖8 DNS域名欺騙的結(jié)果

“科來”網(wǎng)絡(luò)分析系統(tǒng)也捕獲到客戶端訪問網(wǎng)頁（DNS域名解析）、DNS欺騙系統(tǒng)發(fā)送欺騙數(shù)據(jù)包和以IP形式跳轉(zhuǎn)的過程。如圖9所示。圖中第一列為數(shù)據(jù)包編號，第二列為數(shù)據(jù)包的捕獲時間，第三列為數(shù)據(jù)包源IP，第四列為數(shù)據(jù)包目的IP，第五列為TCP數(shù)據(jù)包的標志位，第六列為數(shù)據(jù)包的概要內(nèi)容。

從圖9中可以看出，數(shù)據(jù)包80為目標主機向首選DNS服務(wù)器（202.115.32.36）查詢百度(需要欺騙的域名)的IP地址。當DNS欺騙系統(tǒng)捕獲到數(shù)據(jù)包80時，立即構(gòu)造DNS欺騙數(shù)據(jù)包，假冒首選DNS服務(wù)器把www.baidu.com對應(yīng)的IP地址設(shè)置為192.168.3.111，即圖9中的數(shù)據(jù)包81。真正的首選DNS服務(wù)器202.115.32.36的應(yīng)答為圖9中的數(shù)據(jù)包82。

從圖9數(shù)據(jù)包的絕對時間可以看出數(shù)據(jù)包81比數(shù)據(jù)包82先到達客戶端192.168.3.70，則客戶端訪問的www.baidu.com就被重定向到192.168.3.111。由于所有DNS客戶端處理DNS應(yīng)答報文都是簡單的信任首先到達的數(shù)據(jù)包，丟棄所有后到達的，而不對數(shù)據(jù)包的合法性做任何的分析，所以數(shù)據(jù)包82被客戶端丟棄，不做任何處理。

數(shù)據(jù)包83、84、85為客戶端與HTTP服務(wù)器（192.168.3.111）三次握手建立連接的過程，數(shù)據(jù)包86～96為中間網(wǎng)頁的下載過程，93～96為完成頁面下載雙方端口關(guān)閉連接的過程；數(shù)據(jù)包107～115為客戶端以IP形式連接其請求的真實網(wǎng)站的過程（本測試中為客戶端以220.181.37.55連接百度），如圖10所示。

圖9 DNS欺騙系統(tǒng)對DNS數(shù)據(jù)包的處理

圖10 客戶端以IP形式連接其請求的真實網(wǎng)站

在局域網(wǎng)的中小流量的網(wǎng)絡(luò)環(huán)境下，經(jīng)過上面的測試分析，可以知道當目標主機訪問配置文件中的攻擊域名時，DNS欺騙系統(tǒng)成功地把客戶端重定向到預(yù)先設(shè)定的中間網(wǎng)頁，當客戶端下載完中間網(wǎng)頁時，又根據(jù)其腳本語言的指令以IP的形式跳轉(zhuǎn)到客戶端訪問的網(wǎng)站。因為攻擊的域名一般為門戶網(wǎng)站或百度等搜索引擎，這些站點是客戶端信任的站點，所以對于一般用戶而言，瀏覽器的地址欄出現(xiàn)IP的形式也不會懷疑，這樣就達到了欺騙的目的。

4 總結(jié)

堡壘最容易從內(nèi)部攻破。據(jù)調(diào)查統(tǒng)計，已發(fā)生的網(wǎng)絡(luò)安全事件中，70%的攻擊是來自內(nèi)部，因此網(wǎng)絡(luò)安全不僅僅是對外的，內(nèi)部網(wǎng)絡(luò)的欺騙攻擊行為成為內(nèi)部網(wǎng)絡(luò)安全研究的重點。通過研究DNS欺騙技術(shù)，將來可以為擁有中小型網(wǎng)絡(luò)的企事業(yè)單位提供全方位的內(nèi)部網(wǎng)絡(luò)非法網(wǎng)站訪問監(jiān)控服務(wù)。

[1] WRICHARDSTEVENS. TCP/IP詳解卷1：協(xié)議[M].北京:機械工業(yè)出版社, 2005: 101-110.

[2] DECCIO, CASEYSEDAYAO. Quantifying DNS namespace influence[J]. Computer Networks, 2012, 56(2): 780-794.

[3] 楊青. 基于蜜罐的網(wǎng)絡(luò)動態(tài)取證系統(tǒng)研究[J]. 山東科學(xué), 2010(5): 59-65.

[4] 宋廣軍. 基于校園網(wǎng)的防火墻和入侵檢測聯(lián)動技術(shù)研究[J]. 科技資訊, 2011(34): 25.

[5] 張毅. 基于Libnet和Libpcap的網(wǎng)絡(luò)丟包率測試平臺設(shè)計[J]. 廣東通信技術(shù), 2010(1): 23-27.

[6] 孔政, 姜秀柱. DNS欺騙原理及其防御方案[J], 計算機工程, 2010, 36(03): 125-127.

A Study of DNS Spoofing Technology Based on Web

ZHANG Shang-tao

(Fujian Polytechnic of Information Technology, Fuzhou 350003, China)

According to the DNS resolution process and the drawback of DNS itself, this paper analyses the principle of DNS spoofing and DNS information hijack.When the client sends a domain resolution query, it will send the spoofing response packet to the client ahead of the DNS server. Since the way of the client processing DNS response is to trust the first arrival data simply, the client query can be redirected to malicious Web site only by matching the IDof the response with the IDof the query. This paper designs and develops DNS spoofing system based on LAN.

DNS spoofing; redirection; system

TP393

A

1008-2395(2012)03-0024-06

2012-02-27

張尚韜（1980-），講師，碩士，研究方向：計算機網(wǎng)絡(luò)技術(shù)。