第33篇：DNS劫持攻击原理讲解及溯源分析的常规步骤

ABC_123

发布于 2022-12-06 10:42:59

3.7K0

发布于 2022-12-06 10:42:59

Part1 前言

在世界杯举办期间，DNS劫持事件估计会和链路劫持事件一样，风险提升很多。上期分享了一篇《第32篇：某运营商链路劫持(被挂博彩页)溯源异常路由节点(上篇)》，本期就讲一下DNS劫持攻击的相关知识吧。关于DNS层面的攻击手段比较多，比如DNS劫持、DNS污染、DNS重绑定攻击、DNS反射放大攻击等等。一般认为DNS劫持攻击与DNS污染是两回事，DNS污染一般指的是DNS缓存投毒攻击，这个我们后续再讲。DNS劫持通过改变用户的域名解析记录实现攻击，即使用户访问的是正常网址，也会在不知情的情况下被引流到仿冒网站上，因此DNS劫持破坏力强，而且不易察觉。

Part2 前置基础知识

依照惯例，为了照顾一些新手朋友，首先讲一些前置的基础知识，否则始终理解不了DNS劫持的分析方法。

DNS解析过程

在分析DNS劫持攻击事件前，一定要先把DNS解析过程理清楚。网上对于DNS解析的流程图很多，但很多图画的不是很清晰明白，有的还有错误。ABC_123看了10几篇文章，选择了一张看起来清晰明了的示意图分享给大家。

网上的文章对于DNS解析后半程的“迭代查询”过程讲的都差不多，但是对于前期的“递归查询”部分说法不一。接下来我就重点讲讲“递归查询”部分吧。这里ABC_123给出自己的见解，欢迎大家批评指正。

大致流程应该是这样：当我们在浏览器中输入www.qq.com时，浏览器首先会检查浏览器自己的缓存记录中是否有此域名的dns解析记录；如果没有，接下来会去查找操作系统的DNS缓存记录；如果还没有，就会去本机的HOST文件去找；如果还没找到，浏览器会向我们电脑“本地连接”中的“TCP/IP参数”中设置的首选DNS服务器（本地DNS服务器）中发起域名解析请求，如果这个本地DNS服务器的本地区域文件与缓存解析的记录都没有找到，那么本地DNS服务器会替代我们的本地浏览器，将域名解析请求转发给全球13个根服务器去进行迭代查询。

后续的DNS迭代查询，网上的文章说法都比较统一，没有异议，我这里就不多讲了。其实真实的DNS解析过程比这个要复杂多的，如果细究起来，一个DNS本地缓存解析，就能写很长很长的一篇文章了。

谷歌浏览器DNS缓存记录

打开chrome浏览器，输入命令chrome://net-internals/#dns，可以看到浏览器的DNS缓存记录，但是此功能默认是关闭的，需要开启相应选项才能用。

操作系统DNS缓存记录

执行ipconfig /displaydns命令可以查看本地DNS缓存记录，输入ipconfig /flushdns可以刷新DNS缓存。

使用指定DNS查询域名

如果在应急排查中，需要使用指定DNS服务器来查询域名的ip地址，可以用如下命令：

Windows系统：nslookup www.baidu.com 114.114.114.114

Linux系统：dig @114.114.114.114 www.baidu.com

Part3 DNS劫持排查点

前面我们弄清楚了DNS域名解析的过程，那我们也就知道攻击者可以在哪些地方去篡改用户的DNS解析记录了，接下来依次给大家讲一讲。

本地HOSTS文件配置

网上传播的木马病毒，可能会修改HOSTS文件，强制将受害者电脑的百度、淘宝、银行等网站的域名解析到一个恶意IP上，实施DNS劫持攻击，HOSTS文件的位置是C:\Windows\System32\drivers\etc\HOSTS。如果一些攻击者想要盗取我们密码，他们可以做一个跟目标网站一模一样的页面，让用户登录，当用户输入完密码提交的时候就，用户名密码就被攻击者记录到了。

本地连接的DNS配置

网上传播的木马病毒，可能会修改用户本地的“首选DNS服务器”配置，将用户的首选DNS服务器指向一个恶意的DNS服务器，攻击者可以操作此恶意DNS服务器，篡改用户的域名解析记录。

路由器的DNS配置

如果用户将个人电脑设置了“自动获取DNS服务器地址”，那么这个DNS地址一般会从路由器上获取。打开路由器web管理界面，即可看到默认的DNS服务器地址。攻击者可以批量入侵用户的路由器，将路由器的DNS记录更改掉。读者可能会有疑问，现在的路由器一般外网访问不到，客户怎么会中招呢？举个例子，DNS重绑定攻击就可以做到外网打内网，这种攻击比较复杂，我们后续再讲。再比如说，假设酒店的总路由存在弱口令，一旦被攻击者猜解成功后，就可以将DNS地址更改掉。