安全设备的DNS Spoofing有什么用?劫持dns吗?
(0)
最佳答案
当DNS Proxy或DNS Relay上没有配置域名服务器地址或不存在到达DNS服务器的路由,配置DNS Spoofing功能后,则DNS Proxy或DNS Relay会利用配置的IP地址作为域名解析结果,欺骗性地应答域名解析请求。
DNS Spoofing主要应用于如图4-3所示的拨号网络。
图4-3中,Router作为DNS Proxy,通过拨号接口连接到网络。只有存在通过拨号接口转发的报文时,报文流量才会触发拨号接口建立连接。Router作为DNS Proxy,在主机A和主机B上将Router当作DNS服务器;拨号接口建立连接后,设备通过DHCP等方式动态获取DNS Server地址。
Router上没有使能DNS Spoofing功能时,设备接收到主机发送的域名解析请求报文后,如果不存在对应的域名解析表项,则需要向DNS Server发送域名解析请求。由于此时拨号接口尚未建立连接,Router上不存在DNS Server地址,Router不会向DNS Server发送域名解析请求,也不会应答DNS Client的请求。最终导致域名解析失败,且没有流量触发拨号接口建立连接。
使能DNS Spoofing功能后,即使Router上不存在DNS Server的IP地址或到达DNS Server的路由,Router也会利用指定的IP地址作为域名解析结果,应答DNS Client的域名解析请求。DNS Client后续发送的报文可以用来触发拨号接口建立连接。
DNS Spoofing是指试图将返回到查询器的DNS记录更改为攻击者选择的响应记录。这个攻击可以包含DNS Hijacking的技术,使用的DNS缓存度化,也属于中间人攻击的一种形式。有时,我们交换的使用DNS Spoofing或DNS Hijacking。
这种技术被广泛的用于在机场或酒店的付费使用的WIFI热点,并且有时也被作为网络安全团队隔离隔离受感染设备的一种手段。
(0)
H3C的安全设备支持DNS劫持吗?
是,就是强制所有dns都劫持到安全设备设定的dns地址,就算终端设置了别的dns也把请求改成向安全设备设定的dns,这样做不到对吧?
图1-3 DNS spoofing典型应用场景
DNS spoofing(DNS欺骗)主要应用于图1-3所示的拨号网络。在该网络中:
· Device通过拨号接口连接到PSTN/ISDN等拨号网络。只有存在通过拨号接口转发的报文时,才会触发拨号接口建立连接。
· Device作为DNS proxy。在Host上将Device指定为DNS服务器;拨号接口建立连接后,Device通过DHCP等方式动态获取DNS服务器地址。
Device上没有使能DNS spoofing功能时,Device接收到Host发送的域名解析请求报文后,如果不存在对应的域名解析表项,则需要向DNS server发送域名解析请求。但是,由于此时拨号接口尚未建立连接,Device上不存在DNS server地址,Device不会向DNS server发送域名解析请求,也不会应答DNS client的请求。从而导致域名解析失败,且没有流量触发拨号接口建立连接。
DNS spoofing功能可以解决上述问题。使能DNS spoofing功能后,即便Device上不存在DNS server地址或到达DNS server的路由,Device也会利用指定的IP地址作为域名解析结果,应答DNS client的域名解析请求。DNS client后续发送的报文可以用来触发拨号接口建立连接。
图1-3所示网络中,Host访问HTTP server的报文处理流程为:
(1) Host通过域名访问HTTP server时,首先向Device发送域名解析请求,将HTTP server的域名解析为IP地址。
(2) Device接收到域名解析请求后,如果拨号接口尚未建立连接,Device上不存在DNS server地址,或者设备上配置的DNS server地址均不可达,则Device利用DNS spoofing中指定的IP地址作为域名解析结果,应答DNS client的域名解析请求。该域名解析应答的老化时间为0。并且,应答的IP地址满足如下条件:Device上存在到达该IP地址的路由,且路由的出接口为拨号接口。
(3) Host接收到Device的应答报文后,向应答的IP地址发送HTTP请求。
(4) Device通过拨号接口转发HTTP请求时,触发拨号接口建立连接,并通过DHCP等方式动态获取DNS server的地址。
(5) 域名解析应答老化后,Host再次发送域名解析请求。
(6) 之后,Device的处理过程与DNS proxy工作过程相同,请参见“1.1.3 2. DNS代理的工作机制”。
(7) Host获取到正确的HTTP server地址后,可以正常访问HTTP server。
由于DNS spoofing功能指定的IP地址并不是待解析域名对应的IP地址,为了防止DNS client上保存错误的域名解析表项,该IP地址对应域名解析应答的老化时间为0。
(0)
好像和我的理解不太一样,这功能并不是劫持dns让客户端必须走我设置的dns对吧?
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
防护墙做DNS代理也是代理的公网DNS