DNS Spoofing有什么用?
- 0关注
- 0收藏,845浏览
问题描述:
安全设备的DNS Spoofing有什么用?劫持dns吗?
- 2022-12-29提问
- 举报
-
(0)
最佳答案
当DNS Proxy或DNS Relay上没有配置域名服务器地址或不存在到达DNS服务器的路由,配置DNS Spoofing功能后,则DNS Proxy或DNS Relay会利用配置的IP地址作为域名解析结果,欺骗性地应答域名解析请求。
DNS Spoofing主要应用于如图4-3所示的拨号网络。
图4-3中,Router作为DNS Proxy,通过拨号接口连接到网络。只有存在通过拨号接口转发的报文时,报文流量才会触发拨号接口建立连接。Router作为DNS Proxy,在主机A和主机B上将Router当作DNS服务器;拨号接口建立连接后,设备通过DHCP等方式动态获取DNS Server地址。
Router上没有使能DNS Spoofing功能时,设备接收到主机发送的域名解析请求报文后,如果不存在对应的域名解析表项,则需要向DNS Server发送域名解析请求。由于此时拨号接口尚未建立连接,Router上不存在DNS Server地址,Router不会向DNS Server发送域名解析请求,也不会应答DNS Client的请求。最终导致域名解析失败,且没有流量触发拨号接口建立连接。
使能DNS Spoofing功能后,即使Router上不存在DNS Server的IP地址或到达DNS Server的路由,Router也会利用指定的IP地址作为域名解析结果,应答DNS Client的域名解析请求。DNS Client后续发送的报文可以用来触发拨号接口建立连接。
- 主机通过域名请求方式访问HTTP Server时,首先向DNS Proxy发送域名解析请求,请求将HTTP Server的域名解析为IP地址。
- Router接收到域名解析请求后,由于在本地没有找到对应的域名解析表项,且拨号接口尚未建立连接,Router上不存在DNS Server地址,无法应答正确的IP地址。Router利用DNS Spoofing中指定的IP地址作为域名解析结果,应答DNS Client的域名解析请求。该域名解析应答的老化时间为0。应答的IP地址满足Router上存在到达该IP地址的路由,且路由的出接口为拨号接口。
- 主机接收到Router的应答报文后,向应答的IP地址发送HTTP请求。
- Router通过拨号接口转发HTTP请求时,触发拨号接口建立连接,并通过DHCP等方式动态获取DNS Server的IP地址。
- 域名解析应答表项老化后,主机将再次向Router发送域名解析请求。
- Router的处理过程与DNS Proxy工作过程相同。此时可以用正确的IP地址应答主机请求。
- 主机获取到正确的HTTP Server地址后,可以正常访问HTTP Server。
DNS Spoofing是指试图将返回到查询器的DNS记录更改为攻击者选择的响应记录。这个攻击可以包含DNS Hijacking的技术,使用的DNS缓存度化,也属于中间人攻击的一种形式。有时,我们交换的使用DNS Spoofing或DNS Hijacking。
这种技术被广泛的用于在机场或酒店的付费使用的WIFI热点,并且有时也被作为网络安全团队隔离隔离受感染设备的一种手段。
- 2022-12-29回答
- 评论(5)
- 举报
-
(0)
DNS Spoofing
图1-3 DNS spoofing典型应用场景
DNS spoofing(DNS欺骗)主要应用于图1-3所示的拨号网络。在该网络中:
· Device通过拨号接口连接到PSTN/ISDN等拨号网络。只有存在通过拨号接口转发的报文时,才会触发拨号接口建立连接。
· Device作为DNS proxy。在Host上将Device指定为DNS服务器;拨号接口建立连接后,Device通过DHCP等方式动态获取DNS服务器地址。
Device上没有使能DNS spoofing功能时,Device接收到Host发送的域名解析请求报文后,如果不存在对应的域名解析表项,则需要向DNS server发送域名解析请求。但是,由于此时拨号接口尚未建立连接,Device上不存在DNS server地址,Device不会向DNS server发送域名解析请求,也不会应答DNS client的请求。从而导致域名解析失败,且没有流量触发拨号接口建立连接。
DNS spoofing功能可以解决上述问题。使能DNS spoofing功能后,即便Device上不存在DNS server地址或到达DNS server的路由,Device也会利用指定的IP地址作为域名解析结果,应答DNS client的域名解析请求。DNS client后续发送的报文可以用来触发拨号接口建立连接。
图1-3所示网络中,Host访问HTTP server的报文处理流程为:
(1) Host通过域名访问HTTP server时,首先向Device发送域名解析请求,将HTTP server的域名解析为IP地址。
(2) Device接收到域名解析请求后,如果拨号接口尚未建立连接,Device上不存在DNS server地址,或者设备上配置的DNS server地址均不可达,则Device利用DNS spoofing中指定的IP地址作为域名解析结果,应答DNS client的域名解析请求。该域名解析应答的老化时间为0。并且,应答的IP地址满足如下条件:Device上存在到达该IP地址的路由,且路由的出接口为拨号接口。
(3) Host接收到Device的应答报文后,向应答的IP地址发送HTTP请求。
(4) Device通过拨号接口转发HTTP请求时,触发拨号接口建立连接,并通过DHCP等方式动态获取DNS server的地址。
(5) 域名解析应答老化后,Host再次发送域名解析请求。
(6) 之后,Device的处理过程与DNS proxy工作过程相同,请参见“1.1.3 2. DNS代理的工作机制”。
(7) Host获取到正确的HTTP server地址后,可以正常访问HTTP server。
由于DNS spoofing功能指定的IP地址并不是待解析域名对应的IP地址,为了防止DNS client上保存错误的域名解析表项,该IP地址对应域名解析应答的老化时间为0。
- 2022-12-29回答
- 评论(2)
- 举报
-
(0)
好像和我的理解不太一样,这功能并不是劫持dns让客户端必须走我设置的dns对吧?
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
H3C的安全设备支持DNS劫持吗?
用的公网DNS吗,那样的话做不到
是,就是强制所有dns都劫持到安全设备设定的dns地址,就算终端设置了别的dns也把请求改成向安全设备设定的dns,这样做不到对吧?
做不到
防护墙做DNS代理也是代理的公网DNS