dns欺骗攻击_dns欺骗攻击有什么危害_ettercap dns欺骗(5)

图23 DNS ID欺骗成功

注意：在发送自己伪造数据包的过程中可能因为网络传输延迟等的影响，条件9并不是每次都满足，即并不是每次都欺骗成功，所以受害者每次打开网站可能是原来的网站也可能是伪造的网站。

DNS通配符是DNS配置文件中的特殊表项，用来处理容器名称解析。例如，下面的表项就是一个通配符入口：

*.example.com. IN A 128.230.212.170 ;modify IP address as required

example.com域中所有的主机名，例如，，如果没有更好的匹配，将被映射到128.230.212.170,在本次攻击中，攻击者向受害者发出一个很长的URL，就如上面用到的那个。受害者通常被这个URL的第一部分所欺骗，那是一个真正的网站名字。然而，如果受害者点击此链接，DNS请求将发往攻击者的DNS服务器，会返回一个恶意网站的IP地址。攻击者将使虚假网页看起来和来自的一样，如果受害者输入密码，他们的密码将暴露给攻击者。使用DNS通配符配置，攻击者可以构建许多不同的误导URL。具体操作如下：

1）在入侵者成功入侵到用户机器后，首先修改/etc/resolv.conf文件，使用户的DNS服务器重定向到攻击者的DNS服务器，如下图所示：

图24 重定向DNS服务器

然后在攻击者的DNS服务器的配置文件example.com.db里添加一行

*.example.com. IN A 173.194.72.147 ;

其中173.194.72.147是你自己恶意网站的IP，然后给用户发送一个较长的看起来像真实URL的伪造URL，如：，将会被映射到事先设置好的173.194.72.147上，如下图：

图25 添加通配符项

图26 伪造URL映射成功

防范方法其实很简单，总结来说就只有两条：

(1) 直接用IP访问重要的服务，这样至少可以避开DNS欺骗攻击。但这需要你记住要访问的IP地址。

(2) 加密所有对外的数据流，对服务器来说就是尽量使用SSH之类的有加密支持的协议，对一般用户应该用PGP之类的软件加密所有发到网络上的数据。只要能做到这些，基本上就可以避免DNS欺骗攻击了。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/tongxinshuyu/article-38581-5.html