国产噜噜噜精品免费,日韩欧美一区二区三区在线,一区二区午夜,成人免费va视频,久久精品中文字幕有码日本,青草国内精品视频在线观看 ,视频精品一区

域名劫持到百度被黑詳解DNS技術(shù)

建站經(jīng)驗 / 2010-01-14 09:31:00

域名劫持就是在劫持的網(wǎng)絡(luò)范圍內(nèi)攔截域名解析的請求,分析請求的域名,把審查范圍以外的請求放行,否則直接返回假的IP地址或者什么也不做使得請求失去響應(yīng),其效果就是對特定的網(wǎng)址不能訪問或訪問的是假網(wǎng)址。

域名解析(DNS)的基本原理是把網(wǎng)絡(luò)地址(域名,以一個字符串的形式,比如 www.google.com)對應(yīng)到真實的計算機能夠識別的網(wǎng)絡(luò)地址(IP地址,比如216.239.53.99 這樣的形式),以便計算機能夠進一步通信,傳遞網(wǎng)址和內(nèi)容等。

由于域名劫持往往只能在特定的被劫持的網(wǎng)絡(luò)范圍內(nèi)進行,所以在此范圍外的域名服務(wù)器(DNS)能夠返回正常的IP地址,高級用戶可以在網(wǎng)絡(luò)設(shè)置把DNS指向這些正常的域名服務(wù)器以實現(xiàn)對網(wǎng)址的正常訪問。所以域名劫持通常相伴的措施——封鎖正常DNS的IP。

如果知道該域名的真實IP地址,則可以直接用此IP代替域名后進行訪問。比如訪問http://www.google.com/ ,可以把訪問改為http://216.239.53.99/ ,從而繞開域名劫持

你有沒有遭遇過這樣的情況?當你在瀏覽器中輸入正確的URL地址,但是打開的并不是你想要去的網(wǎng)站;蛘呤114的查詢頁面,或者是互聯(lián)星空的網(wǎng)站,或者一個廣告頁面,或者是一個刷流量的頁面,甚至是一個掛馬的網(wǎng)站。這樣的話,極有可能你遭遇了DNS欺騙。最近鬧得沸沸揚揚的“百度被黑”事件,本質(zhì)上就是來自黑客對DNS的篡改。下面我們就來解析一下DNS的知識

我們以百度被黑為例,看看正常的DNS請求和被劫持的DNS請求的不同

1、正常的DNS請求流程為:

(1)在瀏覽器輸入http://www.baidu.com;

(2)計算機將會向DNS服務(wù)器發(fā)出請求;

(3)DNS服務(wù)器進行處理分析得到http://www.baidu.com的相應(yīng)地址為119.xxx.209.xxx;

(4)DNS將把次IP地址119.xxx.209.xxx返回到發(fā)出請求的計算機;

(5)你正常登錄到http://www.baidu.com的網(wǎng)站。

2、被DNS欺騙以后的DNS請求為:

(1)在瀏覽器輸入http://www.baidu.com;

(2)計算機將會向DNS服務(wù)器發(fā)出請求(這里注意:實際上你發(fā)起的請求被發(fā)送到了攻擊者那里);

(3)攻擊者對請求處理進行偽造DNS回復報告,返回給計算機的是攻擊者指定的IP地址;

(4)你登錄到的網(wǎng)站實際上不是http://www.baidu.com,而是掉進了攻擊者設(shè)計好的“陷阱網(wǎng)站”。

解析DNS報文

DNS報文是我們了解DNS攻擊所必須了解的知識。

1.格式:

 

2.DNS報文結(jié)構(gòu)分為

標識(id),用來簽證每個DNS報文的印記,由客戶端設(shè)置,由服務(wù)器返回,它可以讓客戶匹配請求與響應(yīng)。參數(shù)(flag),參數(shù)被分成好幾步分。

QR 如果QR位設(shè)置為0表示報文是查詢,如果為1表示響應(yīng)

opcode 通常是0,指標準查詢,1是反向查詢,2是服務(wù)器狀態(tài)查詢

AA 如果此位為1,表示服務(wù)器對問題部分的回答是權(quán)威性的

TC 截斷,如果UDP包超過512字節(jié)將被截流

RD 表示希望遞歸,如果它設(shè)為1的話,表示遞歸查詢

RA 如果設(shè)為1,表示遞歸可用

Zero 如它的名稱一樣,總是0

rcode 0表示有錯誤,3表示名字錯誤

3.DNS查詢報文,圖3為DNS報文查詢的格式。

響應(yīng)報文有個共同的格式,我們稱之為資源記錄---RR響應(yīng)報文的格式(RR)如下:

域名:域名是與下面的資源數(shù)據(jù)對應(yīng)的名字,它的格式同前面講到的查詢一樣。

類型:類型標識了RR類型代碼號,它同前面查詢類值一樣。

類:通常為1,表示因特網(wǎng)數(shù)據(jù)。

生存時間:表示客戶方將RR放在高速緩存里的時間,RRs的TTL通常為2天。

資源數(shù)據(jù)長度:標識資源數(shù)據(jù)的大小。

概念:說到這里,對于網(wǎng)絡(luò)基礎(chǔ)知識有一定了解的朋友都知道,當客戶向一臺服務(wù)器發(fā)送請求服務(wù)時,服務(wù)器會根據(jù)客戶的 IP地址反向解析出該IP對應(yīng)的域名。這種反向城名解析就是一個查DNS(域名解析服務(wù)器 ) 的過程。

我們換一下思路,如果服務(wù)器在進行DNS查詢時能夠人為地給它我們自己的應(yīng)答信息,那么結(jié)果會怎樣呢?

答案顯然不用我說了,這就是所謂的DNS欺編 (dnsspoofing )。說實話,“DNS欺騙”威力巨大,如果被攻擊者巧妙利用,人侵局域網(wǎng)更是痛快淋漓。

下面配圖講解百度域名劫持的過程!

1.黑客刺探baidu.com 域名服務(wù)商

2.黑客入侵register.com www服務(wù)器

3.黑客通過register.com 域名管理功能修改百度DNS

4.register.com DNS服務(wù)器更新緩存指向伊朗黑客WEB網(wǎng)站IP

5.同步register.com DNS服務(wù)器更新百度DNS記錄緩存

6.百度被黑,我用谷歌搜索“百度不知道自己被黑”

原文地址:http://sitedir.com.cn/exploit-1043.html

【相關(guān)閱讀】

百度被攻擊事件始末

百度宕機事件調(diào)查:注冊商漏洞或成最大禍首

快訊:百度大宕機 DNS遭劫持疑為伊朗黑客所為

百度被黑歷史回顧:06年曾遭攻擊停機半小時

百度公告:域名被美國域名注冊商非法篡改

李彥宏在其i貼吧發(fā)帖 稱百度此次宕機史無前例

內(nèi)部人士稱百度將baidu.com域名轉(zhuǎn)移到國內(nèi)

訂閱號

上饒幫

服務(wù)號

獵人傳媒