攻击原理 现行标准中 DNS 查询通常使用 UDP 协议并且没有任何验证机制,并且根据惯例查询者会接受第一个返回的结果而抛弃之后的。因此只需监控 53 端口(DNS 标准端口)的 UDP查询数据报并分析,一旦发现敏感查询,则抢先向查询者返回一个伪造的错误结果,从而实现 DNS 污染。
DNS污染并无法阻止正确的DNS解析结果返回,但由于旁路产生的数据包发回的速度较国外DNS服务器发回的快,操作系统认为第一个收到的数据包就是返回结果,从而忽略其后收到的数据包,从而使得DNS污染得逞。
实验拓扑
攻击步骤 1、关闭虚拟机的DNS防护机制 在/etc/bind/named.conf.options 文件中
2、修改DNS解析的配置文件 在 /etc/bind/named.conf.default-zones 中
3、在正向解析记录文件中书写文件配置 在/var/cache/bind/ciscon.com 文件中 3、重启DNS服务 sudo systemctl restart bind9.service
4、更改客户端DNS地址
5、尝试访问
6、使用kali进行攻击 sudo netwox 105 -h www.huawei.com -H 192.168.162.132 -a ns.cisco.com -A 192.168.162.131 当客户端访问www.huawei.com这个网址时,kali将捕捉到DNS请求包,然后将上面编辑好的伪装包回复给客户端
此时客户端也成功登录到www.huawei.com这个网页上了 注意:在我们的DNS服务器中并没有对www.huawei.com的地址进行解析
我们在kali上抓包也可以看到,DNS应答包中的源IP是192.168.162.131,这是kali伪造的数据包,是kali伪装成DNS服务器回复的数据包。 在包中也可以看到对www.huawei.com这个地址进行解析的是ns.cisco.com这个DNS服务器。不过这也是kali伪装出来的。
