网络攻防技术—

网络攻防技术——DNS欺骗

article/2025/9/23 17:42:14

一、题目

本实验的目标是让学生获得对DNS（域名系统）的各种攻击的第一手经验。DNS是互联网的电话簿；它将主机名转换为IP地址，反之亦然。这种转换是通过DNS解析实现的，这种解析发生在幕后。DNS欺骗攻击以各种方式操纵此解析过程，目的是将用户误导到其他目的地，这些目的地通常是恶意的。本实验室主要研究几种DNS欺骗攻击技术。学生将首先设置和配置DNS服务器，然后在实验室环境中的目标上尝试各种DNS欺骗攻击。

第一个大实验任务（本地DNS欺骗）中进行的攻击假设攻击者位于同一本地网络上，因此可以嗅探DNS数据包。这个假设是为了简化实验任务。第二个大实验任务为远程DNS攻击实验，攻击者在没有嗅探数据包的情况下发起远程欺骗攻击，远程攻击实验室比本地DNS欺骗实验更具挑战性。

二、过程

（一）DNS_LOCAL
1.配置环境
要在容器上运行命令，我们通常需要在该容器上获得一个外壳。我们首先需要使用“dockerps”命令来找出容器的ID，然后使用“dockerexec”在该容器上启动一个外壳。
在这里插入图片描述

在这里插入图片描述

3.DNS缓存。在攻击期间，我们需要检查本地DNS服务器上的DNS缓存。以下两个命令与DNS高速缓存有关。rndc dumpdb -cache命令将高速缓存的内容转储到文件/var/cache/bind/dump.db中。
在这里插入图片描述

一、Task 1: Directly Spoofifing Response to User
当用户在Web浏览器中键入网站的名称(主机名，如www.example.com)时，用户的计算机将向本地DNS服务器发送DNS请求，以解析主机名的IP地址。攻击者可以嗅探DNS请求消息，然后他们可以立即创建一个假的DNS响应，然后发送回用户计算机。
在这里插入图片描述

编译运行spoof_answer.py。
在这里插入图片描述

在user机中dig www.example.com，得到如下结果：看到结果已经被修改，并且example.net域名下的地址都指向ns.attacker32.com域名。
在这里插入图片描述

二、Task 2: DNS Cache Poisoning Attack – Spoofifing Answers
当本地DNS服务器接收到一个查询时，它首先从自己的缓存中查找答案；如果答案存在，DNS服务器将简单地回复其缓存中的信息。如果答案不在高速缓存中，则DNS服务器将尝试从其他DNS服务器中获取答案。当它得到答案时，它将把答案存储在缓存中，因此下次，不需要询问其他DNS服务器。
如果攻击者可以欺骗来自其他DNS服务器的响应，那么本地DNS服务器将在其缓存中保留一段时间的欺骗响应。下次，当用户的计算机希望解析相同的主机名时，它将从缓存中得到欺骗性的响应。这样，攻击者只需要欺骗一次，并且这种影响将持续到缓存的信息过期为止。

在这里插入图片描述

三、Task 3: Spoofifing NS Records
在攻击代码中添加一个欺骗的NS记录，然后启动攻击。
在这里插入图片描述

清除dns上的缓存：
在这里插入图片描述

可以看到增加了ns记录
在这里插入图片描述

（二）DNS_ROMOTE
在这里插入图片描述

1.获取ns.attacker32.com的IP地址。当我们运行dig ns.attacker32.com挖掘命令时，本地DNS服务器将由于转发区域条目添加到本地DNS服务器的配置文件，将请求转发给攻击者名称服务器。
在这里插入图片描述

2.获取www.example.com的IP地址。两个名称服务器现在托管着example.com域，一个是域的官方名称服务器，另一个是攻击者容器。
一、Task 1
卡米斯基袭击：
1.攻击者查询DNS服务器Apollo中的example.com中不存在的名称，如twysw.example.com，其中twysw是一个随机名称。
2.由于映射在阿波波的DNS缓存中不可用，阿波罗向example.com域的名称服务器发送一个DNS查询。
3.当阿波罗等待回复时，攻击者用一连串欺骗的DNS回复淹没，每个人都尝试不同的事务ID，希望其中一个是正确的。在响应中，攻击者不仅为twysw.example.com提供了IP解析，而且还提供了一个“权威命名服务器”记录，指示ns.attacker32.com为example.com域的命名服务器。
4.即使欺骗的DNS响应失败(例如，事务ID不匹配或来得太晚)，也不重要，因为下次，攻击者将查询另一个名称，所以阿波罗必须发送另一个查询，给攻击另一个机会来进行欺骗攻击。这有效地破坏了缓存效果。
5.如果攻击成功，在阿波罗的DNS缓存中，example.com的命名服务器将被攻击者的命名服务器ns.attacker32.com所取代。

二、Task 2: Construct DNS request
为了完成攻击，攻击者需要触发目标DNS服务器来发送DNS查询，这样他们就有机会欺骗DNS回复。
用真实值替换+++，编写py文件如下：
Qdsec = DNSQR(qname=’www.example.com’)
dns = DNS(id=0xAAAA, qr=0, qdcount=1, ancount=0, nscount=0,
arcount=0, qd=Qdsec)
ip = IP(dst=’+++’, src=’+++’)
udp = UDP(dport=+++, sport=+++, chksum=0)
request = ip/udp/dns

在这里插入图片描述

三、Task 3: Spoof DNS Replies.
需要在卡明斯基攻击中欺骗DNS回复。由于我们的目标是example.com，所以我们需要欺骗来自这个域的名称服务器的回复。
domain = ’+++’
ns = ’+++’
Qdsec = DNSQR(qname=name)
Anssec = DNSRR(rrname=name, type=’A’, rdata=’1.2.3.4’, ttl=259200)
NSsec = DNSRR(rrname=domain, type=’NS’, rdata=ns, ttl=259200)
dns = DNS(id=0xAAAA, aa=1, rd=1, qr=1,
qdcount=1, ancount=1, nscount=1, arcount=0,
qd=Qdsec, an=Anssec, ns=NSsec)
ip = IP(dst=’+++’, src=’+++’)
udp = UDP(dport=+++, sport=+++, chksum=0)
reply = ip/udp/dns
在示例代码中，我们使用+++作为占位符；需要用所需的正确值来替换。编写py文件如下：
在这里插入图片描述