關於DNS劫持(一)

前言

在平時上網的過程當中,常常會遇到在瀏覽器中輸入a網站,而後出來的頁面倒是b網站的頁面,瀏覽器上的網址仍是a網站的網址.或者在輸入了a網站的網址後,瀏覽器通過一個或幾個跳轉,跳到了b網站,此時瀏覽器上的網址也跟着發生了變化.

若是發生了上述狀況,那麼你頗有多是被dns劫持了,不少人不知道其中的原理,下面就來簡單講解黑客實現DNS劫持攻擊的一種方式.

DNS是什麼?

DNS（Domain Name System，域名系統）因特網上做爲域名和IP地址相互映射的一個分佈式數據庫，可以使用戶更方便的訪問互聯網，而不用去記住可以被機器直接讀取的IP數串。簡單的將,就是咱們平時所訪問的頁面是保存在遠端的服務器上面的.

而在因特網中,各個主機是用IP地址來相互訪問的,也就是你要上百度的網站,最原始的方法是在瀏覽器中輸入百度服務器的ip地址來實現訪問.IP地址是一段32位二進制數,後來爲了輸入方便,人們將它改成了點分十進制,例如192.168.1.1(更多知識請查閱相

關資料)這種形式,但是,這樣的話訪問幾個網站還好,更多的話就須要記住不少IP地址,十分不便.爲了解決這個問題(不單是),人們發明了DNS,在DNS服務器上面存放IP地址與域名的對應關係,這樣就不用再記憶枯燥的數字了,例如須要訪問百度,只須要知道它

的域名是www.baidu.com,而不用關心它的IP地址是多少.那域名系統具體的工做流程是什麼樣的?

　　1.打開瀏覽器,在網址欄輸入www.baidu.com

　　2.瀏覽器向DNS服務器詢問www.baidu.com對應的IP地址是多少

　　3.獲得IP瀏覽器去訪問百度服務器

大概流程就是這樣,實際狀況複雜一些,那麼瀏覽器怎麼知道dns服務器地址的呢,其實在操做系統的IP設置裏早已定義好,你會說,我沒有定義啊?那麼你的dns服務器的ip多是由局域網中的DHCP服務器提供的,無論哪一種方式,均可以在命令行界面中輸入

ipconfig /all來查看或者點擊以太網的詳細信息來查看.

 

固然你能夠選擇ip地址自動獲取,DNS本身定義,這個須要瞭解DHCP的知識:

 

DNS劫持是什麼?

顧名思義就是黑客經過各類方式,將你的dns服務器地址改成黑客指定的地址,以提供錯誤的IP與域名對應關係,達到欺騙正常網絡訪問請求的目的.

可用的方式比較多,例如經過搶答,或者污染緩存的方式,本文試着重現一下較爲簡單的方式,修改路由器DHCP服務器來劫持下級DHCP客戶端網絡對網絡的訪問.

使用DHCP的主機一般不關心本身的dns服務器是什麼,這種狀況在手機上或者是對網絡不瞭解的人的電腦上比較多見,這也給黑客提供了可乘之機.

網絡安全意識不高的人有不少,家用路由器弱口令的分佈狀況能很好的證實這一點.側面說明了網絡安全任重道遠.下面就從家用路由器入手,實現dns劫持.

注意:本文提供的方法爲理解和學習之用,請勿用於對他人實施攻擊.做者對於所產生的後果不負任何責任.

 

尋找目標

既然要對家用路由弱口令進行利用,那麼就從寬帶分配ip段入手.看看有沒有路由器對wan口網絡端開放管理頁面並且可操做的.首先要對網絡實施掃描,我比較喜歡使用Nmap,由於其可定製性很是強大,功能全面,除了上手有些難度外,幾乎沒有其餘的缺點.

選取我所在的網絡某個段,實施掃描,參數以下(關於nmap使用,可參考官方中文man page: https://nmap.org/man/zh/)

nmap *.76.0-10.0-255 -p80 -oG d:\Nmapout\test1.txt --open

上面指令的結果爲顯示  *.76.0-10.0-255 (實際地址隱去) 中開放80端口的ip,並將結果輸出到文本文件.文件內容以下:

一共有20幾個,選取幾個IP進行訪問,發現一個弱口令而且可操做的路由器:默認密碼admin,進入路由器,修改dhcp服務器:

只須要將首選或者備用DNS改成你本身指定的,便可完成dns劫持,固然了,實際狀況須要有能夠控制的DNS服務器才能夠,須要本身搭建dns服務器,並且,除了定向攻擊意外,單獨劫持一臺路由器的dns沒有實際意義.本文的第二篇會繼續記錄DNS服務器搭建

以及分析用戶上網習慣等內容.