dns欺骗攻击使用的是什么欺骗原理,是很多朋友们都比较感兴趣的,针对这些以下业内相关专家就来进行介绍。
大家知道client的dns查询请求和dns server的应答数据包都是依靠dns报文的ID标示来进行相互对应的,在进行域名解析的时候client会用特定的ID号向server发送域名解析数据包,dns server找到结果后就会使用此id给client发送应答数据包,client接收到应答数据包后就能接收到ID与请求包ID的对比,如果相同就说明接收到的数据包是自己所需要的,如果不同就是丢弃的应答包;简单的说dns欺骗攻击就是根据攻击者的查询和应答原理,使用不同方法来进行实现攻击的。
还有在dns欺骗攻击中由于dns message仅使用了一个简单的认证码来进行实施真实性验证,而认证码就是有client程序产生并有dns server返回结果的,客户机只是使用这个认证码来辨别应答与申请查询是否匹配,这就让针对ID认证码的攻击威胁成为了可能;在dns request message中也能增加信息,这些信息也可以与客户机所申请查询的内容没有必然联系,这就让攻击者能在request message中可根据自己的目的增加一些虚假信息;
如增加其他的domain server的domain name和其IP Address,这时client在受到攻击的domain server上的查询申请就会被转向此前攻击者在requnest message中增加的虚假domain server,由此也让dns欺骗攻击产生对网络构成的威胁。
关于—ARP局域网攻击原理和防护
当然了当dns server接收到domain name和IP address相互映射的数据时候,也能将其保存在本地的cache中,如果再有client请求查询此domain name对应的IP Addess,Domain server就能从Cache中将映射信息直接回复给client,而不需要在database中再次进行查询,如果黑客把das request message的存在后期设定为比较长时间,也能达到进行长期欺骗目的。
另外dns欺骗攻击常见的方式有内应攻击和序列号攻击2种,前者就是黑客在掌控一台dns server后对其domain database内容进行更改,并将虚假的IP address指定给特定的domain name,一旦当client请求查询特定域名IP的时候,就能得到伪造的IP;后者的攻击就是指伪造的dns server在真实的dna server之前向客户端进行发送应答数据报文,这种报文中就含有序列号ID与客户端真实的dns server发送请求数据包中含有的相同ID,因此客户端也就会接收该虚假报文,而直接丢弃一些晚到的真实报文这样dns id序列号就欺骗成功了。
