什么是DNS欺骗?DNS,是Domain Name Server域名服务器的缩写,域名虽然便于人们记忆,但网络中的计算机之间只能互相认识IP地址,它们之间的转换工作称为域名解析。DNS欺骗即域名信息欺骗是最常见的DNS安全问题。当一个DNS服务器掉入陷阱,使用了来自一个恶意DNS服务器的错误信息,那么该DNS服务器就被欺骗了。欺骗后便会为客户机器提供错误的IP地址指向,例如你打开百度的网址却成了另外的一个未知网页,试想如果跳转的页面被无声无息地挂着马又会多糟糕。
最狠的是,电脑没有一点感染病毒的症状,就是偷偷地修改了本地电脑的hosts文件,当你再次输入网址的时候,浏览器就会自动转向流氓网站了。其实好多流氓都使用的这一招,导致正常的网站不能浏览,甚至把百度,360安全卫士,本论坛,卡卡论坛,雅虎助手等网站的ip地址都指向它们,造成不能访问,我们这些修复网站,尤其是中3448的,hosts文件还不能修复。hosts文件其实就是一个存在本机的dns服务器,负责把域名解析成ip地址。在互联网的初始时期,网络速度慢,这个办法确实能提高链接到网站的速度,但现在,这个文件看来有百害而无一利了。
根治DNS欺骗/hosts欺骗的方法其实非常简单了。这个文件位于WINDOWS\system32\drivers\etc 目录(2000系统是:WINNT\system32\drivers\etc )下。无扩展名。我们把hosts文件删除,然后在WINDOWS\system32\drivers\etc 目录下建一个名为hosts的文件夹。这样hosts文件就在我们的系统中彻底消失,永远88了。这样即使中了流氓,它只能修改主页,但不会限制或影响我们对其他网站的访问了。
下面详细介绍一下DNS欺骗/hosts欺骗的相关知识:
一.什么是DNS欺骗?
DNS欺骗是一门改变DNS原始指向IP的艺术。
什么是DNSomain Name Server 域名服务器 域名虽然便于人们记忆,但网络中的计算机之间只能互相认识IP地址,它们之间的转换工作称为域名解析。DNS欺骗即域名信息欺骗是最常见的DNS安全问题。当一个DNS服务器掉入陷阱,使用了来自一个恶意DNS服务器的错误信息,那么该DNS服务器就被欺骗了。欺骗后便会为客户机器提供错误的IP地址指向,例如你打开百度的网址却成了另外的一个未知网页,试想如果跳转的页面被无声无息地挂着马又会多糟糕。
二.DNS欺骗的优点
由于DNS欺骗是在需要**的主机外部进行一些小动作,而且INTERNET上的主机都需要DNS的域名解析服务,所以DNS欺骗技术相对于其它的**手段有较好的隐蔽性,攻击的波及范围大,通用性也比较强。
三.DNS欺骗的方式
分析了一下网上有两种方法可以实现DNS劫持攻击。
第一种,“DNS ID欺骗”技术。
第二种,DNS高速缓冲存储器麻痹。
以上两种方法的具体步骤不详解了,百度一下去。
第三种,也是这篇文章的主要内容,完全原创。思路——通过修改路由器中的DNS到假的DNS地址,对路由所属的内网主机进行欺骗。大概思路是这样,十分简单,运用了移花接木的思想。相比前两种方法第三种比较容易实施,前两种是主要针对DNS服务器开展的,DNS服务器是互联网的基础设施,所以一般安全系防范比较好,岂能被菜鸟轻易得逞。所以前两种方法攻击的影响范围大,但很难且成功率不敢保证。第三种主要针对网络节点——路由器(如果技术好还可以扩大到交换机或者EPON上)开展的,虽然搞定路由的本领对菜鸟来说很简单但,但此法只能欺骗内网内的机器,所以钓鱼是我们的不二选择。下面讲方法。
①架设一个钓鱼网站。首先架设服务器,可以在本机架设,也可以花点钱买个虚拟主机(现在虚拟主机功能很强大,钓鱼网站是小菜,而且很便宜,还有海外主机),然后就是钓鱼站的整站源码,网上有下载的,如果有能力可以自己写,也可以花几百块钱请专业人士写,这样的质量高一些。得到源码后放到服务器上测试一下,没问题的话钓鱼网站就做好了。我们的钓鱼网站不需要域名,只要有服务器的IP就可以了,因为我们的假DNS可以给它任何域名。关于钓鱼网站的类型可以淘宝,可以腾讯,也可以搞其它常用的且要盗取的信息是对你有价值的,如果你搞一个很偏网站做钓鱼网站,别人压根就没有浏览过就白忙活了。
②架设自己的假DNS服务器。这个要在自己的机器上架设了,WIN2003中有DNS服务组件(Linux也可以),在控制面板中打开此服务,然后将钓鱼网站仿的原正常网站的域名解析到你的钓鱼站的IP,其它的就交由网上其它的DNS主机解析。配置完后,在自己机器中填用自己架设的DNS,测试一下,看看DNS和钓鱼站是否可以正常运行。还有一点要注意,一般电脑为了节省网络资源,在本机会有一个HOSTS文件,功能类似DNS服务器,但优先级高于DNS服务器,如果对方主机的HOSTS文件中有你想欺骗的正常解析记录的话,钓鱼的成功率就要降低了。
以上涉及到的技术(包括下面讲的破wifi连接密码)都可以百度到,而且技术都很成熟,文章也很详细。所以本文就不详解了,主要是思路。
③进入目标路由后台管理界面,并修改DNS地址。现在路由器都有无线功能,而且在城市家庭普及广,所以我们就有机会从外部进入到别人的内网中,当我们打开无线网卡可以搜索到大量AP的ssid,找一个家用的例如TPlink_XXXX Tenda_XXXX等连接,运气好碰到没有加密的就这么进去了,但大部分是加密的,碰到这种情况先用1234578之类的弱口令试一下,如果不行的话再用工具进行破解。
WPA2加密的用BT5或者奶瓶(Beni),先搞到握手包,然后要有一个强大的字典(字典十分重要,是否能破解主要靠字典),然后爆破出密码。WEP加密的也用BT3或BT5抓包破解。TPLINK路由器默认开了WPS方式连接,用BT5穷举出PIN。
得到密码后连接进内网,然后ipconfig \all 查下网关地址,一般为192.168.1.1然后用浏览器打开,要求密码验证,一般用户名及密码都是admin,不同品牌路由器会有不同。如果默认密码打不开,就用webcrack加上你强大的字典爆破一下。
破解各种密码后,终于拿下路由器,进入路由器的管理界面,点击网络参数里的WAN口设置,在那里面就能手动设置DNS,DNS1就用你刚才搭建的DNS服务器的地址,保存后重启路由器就OK了。
所有的欺骗,钓鱼环境就搭建好了,然后就等内网的主机打开网页,然后被我们的DNS服务器,带领到我们的钓鱼网站,用户输入用户名,密码等信息,就悄悄地被我们的钓鱼网站记录下来了,钓鱼+欺骗就此成功。
四.安全措施。
根据第三种攻击方法得到的启示:提高安全意识,把路由器的安全防护也要纳入到日常安防之列,密码要安全,勤换,千万不要留下弱口令,尽量隐藏SSID。