DNS SPOOFING LÀ GÌ

      36

Trong bài xích này cửa hàng chúng tôi sẽ tiếp tục reviews cho chúng ta về các tiến công Man-in-the-Middle, cụ thể là sẽ tập trung vào trình làng một loại tiến công MITM khác với tên giả mạo DNS.

Bạn đang xem: Dns spoofing là gì


Bạn đang xem: Dns spoofing là gì

Trong phần đầu của loạt bài này, chúng tôi đã trình làng cho những bạn về truyền thông online ARP và ARP cache của một máy hoàn toàn hoàn toàn có thể bị trá trong khi thế nào nhằm redirect giữ lượng mạng của những máy vi tính qua một vật dụng khác cùng với ý kim chỉ nam xấu. Trong bài bác này, công ty chúng tôi trình làng mang lại những chúng ta về một kiểu tiến công MITM khác, trá hình giả mạo DNS ( DNS Spoofing ). Nếu không đọc phần trá hình giả mạo ARP Cache, những các bạn nên quay trở về và hiểu qua nó trước vì nội dung bài viết này sẽ sử dụng một số ít ít chuyên môn mà chúng tôi đã ra mắt trong bài xích đó .

Giả mạo DNS


Bạn đã đọc: Ngộ Độc Dns Spoofing Là Gì, bí quyết Phòng kháng Dns Spoofing


Giả mạo DNS là 1 kỹ thuật MITM được sử dụng nhằm mục đích phân phối thông tin DNS sai cho một host nhằm khi người tiêu dùng duyệt mang đến một showroom nào đó, ví dụ, www.bankofamerica.com gồm IP XXX.XX.XX.XX, thì cố gắng này sẽ được gửi mang lại một add www.bankofamerica.com trá hình cư trú ở địa chỉ cửa hàng IP YYY.YY.YY.YY, phía trên là add mà kẻ đánh đã sản xuất trước để đánh tráo những tin tức thông tin tài khoản bank nhà nước trực đường từ người dùng. Tiến công này trả toàn hoàn toàn có thể thực thi khá dễ dàng và trong bài bác này vớ cả họ sẽ đi nghiên cứu và phân tích và điều tra cách làm việc của nó, cách nó xúc tiến tiến công thế nào và sau cuối là cách chống trả ra sao .

Truyền thông DNS

Giao thức tên miền Naming System ( DNS ) như được quan niệm trong RFC 1034 / 1035 hoàn toàn có thể được coi như thể trong số những giao thức đặc biệt quan trọng nhất được áp dụng trong Internet. Nói ngắn ngọn để dễ hiểu, bất kể lúc nào bạn tấn công một địa chỉ cửa hàng web lấy một ví dụ điển bên cạnh đó http://www.google.com vào trình duyệt, yêu cầu DNS đã được mang tới sever DNS để tìm ra địa chỉ IP khớp ứng với tên miền mà chúng ta vừa nhập. Những router và hầu như thiết bị links Internet sẽ thiếu hiểu biết nhiều google.com là gì, bọn chúng chỉ gọi những địa chỉ cửa hàng ví dụ điển bên cạnh đó 74.125.95.103 .Máy nhà DSN thao tác bằng phương pháp lưu một cửa hàng tài liệu phần đa entry ( được gọi là bản ghi khoáng sản ) địa chỉ cửa hàng IP để map hóa tên DNS, truyền thông media online những bạn dạng ghi tài nguyên đó mang đến máy khách cùng đến sever DNS khác. Kiến trúc sever DNS trong toàn doanh nghiệp lớn và Internet là một thứ hơi phức tạp. Như một nhân tố của trong thực tiễn, bạn hoàn toàn rất có thể tưởng tượng chúng như các quyển sổ chuyên dụng cho bản vẽ xây dựng DNS. Cửa hàng chúng tôi sẽ không đi vào ra mắt những góc nhìn về kiến trúc hay thậm chí là còn hồ hết kiểu lưu lượng DNS khác nhau, cơ mà chỉ trình làng một phiên thanh toán giao dịch giao dịch DNS cơ bản, các bạn hoàn toàn có thể thấy điều ấy trong hình 1 .

*
Hình 1 : tầm nã vấn và đáp trả DNSDNS vận động giải trí theo bề ngoài truy vấn cùng đáp trả ( query / response ). Một thứ khách đề nghị phân giải DNS mang đến một địa chỉ cửa hàng IP nào này sẽ gửi đi một truy hỏi vấn đến máy chủ DNS, sever DNS này vẫn gửi thông tin được yêu cầu trong gói đáp trả của nó. Đứng trên phối cảnh sản phẩm công nghệ khách, chỉ tất cả hai gói Open bây giờ là tầm nã vấn và đáp trả .
*
Hình 2 : các gói truy nã vấn cùng đáp trả DNSKịch bản này sẽ sở hữu đôi chút phức hợp khi xem xét đến sự hồi quy DNS. Nhờ có cấu trúc thứ bậc DNS của Internet, những máy chủ DNS cần có năng lực media online cùng với nhau để mang ra câu vấn đáp cho phần đa truy vấn được đệ trình do máy khách. Nếu tổng thể đều diễn ra dễ dàng như mong mỏi đợi, sever DNS bên phía trong của tất cả họ sẽ biết thương hiệu để bản đồ hóa địa chỉ IP mang đến sever bên phía trong mạng nội bộ, mặc dù nhiên không thể mong chờ nó biết địa chỉ cửa hàng đối sánh đối sánh giữa Google hoặc Dell. Đây là khu vực sự đệ quy nhập vai trò quan lại trọng. Sự đệ quy ra mắt khi một sever DNS truy tìm vấn sever DNS không giống với tư biện pháp máy khách sản xuất nhu yếu. Về thực chất, phương pháp này sẽ thay đổi một máy chủ DNS thành một thiết bị khách, xem vào hình 3 .
*
Hình 3 : truy hỏi vấn cùng đáp trả DNS bằng đệ quy

Giả mạo DNS

Có nhiều phương pháp để hoàn toàn rất có thể thực thi yếu hèn tố giả mạo DNS. Cửa hàng chúng tôi sẽ sử dụng một kỹ thuật sở hữu tên giả mạo DNS ID .Mỗi tróc nã vấn DNS được gửi vào mạng đều sở hữu chứa 1 số ít ít dấn dạng duy nhất, phương châm của số dấn dạng này là để riêng biệt những truy hỏi vấn với đáp trả chúng. Điều này còn có nghĩa rằng trường hợp một laptop đang tiến công của vớ cả chúng ta hoàn toàn có thể chặn một truy vấn DNS nào đó được gửi đi từ 1 thiết bị đối kháng cử, thì toàn diện và tổng thể những gì vớ cả họ cần thực thi là tạo một gói trá hình giả mạo có cất số dìm dạng đó để gói tài liệu đó được đồng ý bởi tiềm năng .Chúng ta đã hoàn tất quy trình này bằng phương pháp thực thi hai bước với một công cụ 1-1 thuần. Đầu tiên, vớ cả bọn họ cần giả mạo ARP cache thứ tiềm năng nhằm định tuyến đường lại lưu lượng của chính nó qua host vẫn tiến công của mình, từ đó hoàn toàn rất có thể chặn nhu cầu DNS cùng gửi đi gói dữ liệu trá hình. Mục đích của ngữ cảnh này là lừa người tiêu dùng trong mạng tiềm năng tróc nã vấn vào website độc thay vì website mà họ đang cố gắng truy vấn. Để rõ rộng bạn hoàn toàn có thể tham khảo thêm thêm hình tiến công dưới .

Xem thêm: Vòng Đời Tên Miền Quốc Tế, Tất Tần Tật Thông Tin Cần Biết, Bạn Biết Gì Về Vòng Đời Của Một Tên Miền Quốc Tế

*

Hình 4: Tấn công giả mạo DNS bằng phương pháp giả mạo DNS ID


Có một số trong những công nắm khác có thể được áp dụng để thực hiện hành động giả mạo DNS. Shop chúng tôi sẽ thực hiện một trong số đó là Ettercap, đấy là công cụ rất có thể sử dụng cho tất cả Windows với Linux. Chúng ta có thể download Ettercap về máy của chính bản thân mình tại đây. Nếu tìm hiểu thêm một chút về trang web này, cứng cáp chắn bạn sẽ thấy rằng Ettercap còn có nhiều tính năng tuyệt vời khác bên cạnh việc hàng fake DNS và có thể được thực hiện để triển khai nhiều kiểu tấn công MITM.


Nếu cài đặt Ettercap trên máy vi tính Windows, bạn sẽ thấy nó bao gồm một bối cảnh đồ họa người dùng ( GUI ) khá tốt vời, mặc dù trong lấy một ví dụ này, shop chúng tôi sẽ thực hiện giao diện dòng lệnh .Trước khi thực thi Ettercap, yêu thương cần bạn phải triển khai một chút ít thông số kỹ thuật kỹ thuật. Ettercap ở tầm mức lõi của nó là 1 trong bộ đánh hơi ( sniffer ) tài liệu, nó thực hiện plug-in để xúc tiến những tiến công không giống nhau. Plug-in dns_spoof là tất cả những gì mà tất cả bọn họ sẽ triển khai trong ví dụ như này, vì thế tất cả chúng ta phải kiểm soát và kiểm soát và điều chỉnh file thông số kỹ thuật kỹ thuật có đối sánh với plug-in đó. Trên mạng lưới hệ thống Windows, file này hoàn toàn hoàn toàn có thể tải về tại C : Program Files ( x86 ) EttercapNG share etter.dns, với tại / usr / nội dung / ettercap / etter.dns. Đây là chiêu mộ file khá đối kháng thuần và gồm chứa những phiên bản ghi DNS mà bạn có nhu cầu trá hình. Với mục tiêu thử nghiệm, vớ cả chúng ta muốn ngẫu nhiên người cần sử dụng nào đang nỗ lực nỗ lực truy vấn vấn vào yahoo.com rất nhiều bị phía ( direct ) đến một host bên trên mạng nội bộ, hãy thêm một entry được lưu giữ trong hình 5 .

*
Hình 5 : ngã sung phiên bản ghi DNS giả mạo vào etter.dnsCác entry này sẽ chỉ dẫn cho plug-in dns_spoof rằng khi thấy truy vấn DNS đến yahoo.com hoặc www.yahoo.com ( với một bạn dạng ghi tài nguyên mẫu mã A ), nó đã sử dụng địa chỉ cửa hàng IP 172.16.16.100 để đáp trả. Trong ngữ cảnh thực, đồ vật tại add IP 172.16.16.100 sẽ chạy một ứng dụng máy chủ web và hiển thị cho người dùng website giả mạo .Khi file này được thông số kỹ thuật kỹ thuật và lưu lại, tất cả bọn họ trọn vẹn trả toàn có thể thực thi chuỗi lệnh dùng làm khởi chạy tiến công. Chuỗi lệnh áp dụng những tùy chọn sau đây :-T – Chỉ định áp dụng giao diện văn bản-q – Chạy các lệnh trong cơ chế “yên lặng” để những gói tài liệu đã được capture không hiện trên màn hình.-P dns_spoof – Chỉ định sử dụng plug-in dns_spoof-M arp – Khởi tạo tiến công MITM hàng fake ARP để chặn những gói tài liệu giữa những host.// // – Chỉ định toàn thể mạng là phương châm tấn công.– T – Chỉ định áp dụng giao diện văn bản-q – Chạy đều lệnh trong chính sách “ tĩnh mịch ” để rất nhiều gói tài liệu đã được capture không hiển thị trên màn hình hiển thị. – p dns_spoof – Chỉ định áp dụng plug-in dns_spoof-M arp – Khởi tạo ra tiến công MITM giả mạo ARP để chặn những gói dữ liệu một trong những host. / / / / – Chỉ định 1 loạt mạng là tiềm năng tiến công .Chuỗi lệnh ở đầu cuối cho mục tiêu của vớ cả họ là :Ettercap. Exe – T – q – p dns_spoof – M arp / / / / khi chạy lệnh trên, bạn sẽ khởi đầu một tiến công hai quá trình, tiên phong là trá hình giả mạo ARP cache của thiết bị trên mạng, kế tiếp là phát đa số đáp trả tróc nã vấn DNS trá hình giả mạo .Khi khởi chạy, ngẫu nhiên ai đang cố gắng nỗ lực truy hỏi vấn www.yahoo.com sẽ phần lớn bị redirect mang lại website mã độc của tất cả chúng ta .
*
Hình 7 : tác dụng nỗ lực trá hình giả mạo DNS từ bỏ phối cảnh người dùng

Phòng chống giả mạo DNS


Khá nặng nề phòng phòng việc giả mạo DNS vì gồm khá ít những biểu thị tiến công. Thông thường, bạn không còn biết DNS của bản thân mình bị trá hình cho tới khi điều ấy xảy ra. Số đông gì các bạn nhận được là một website khác trọn vẹn so với phần đông gì muốn đợi. Trong số những tiến công với công ty đích lớn, rất hoàn toàn có thể các bạn sẽ không hề hiểu được mình đã bị lừa nhập những tin tức quan trọng của bản thân mình vào một website trá hình tính đến khi nhận ra cuộc điện thoại tư vấn từ ngân hàng nhà nước hỏi lý do bạn lại rút các tiền mang lại vậy. Mặc dù khó nhưng chưa hẳn không có giải pháp nào trả toàn rất có thể phòng chống những kiểu đánh này, đó là một sô thứ bạn cần tiến hành :Bảo vệ những máy tính phía bên trong của bạn: các tấn công giống hệt như trên hay được thực hiện từ phía bên trong mạng của bạn. Nếu những thiết bị mạng của bình an thì sẽ các bạn sẽ giảm được tài năng các host bị thỏa hiệp với được áp dụng để khởi chạy tiến công giả mạo.Không dựa vào DNS mang lại các hệ thống bảo mật: Trên những hệ thống an toàn và tất cả độ nhạy cảm cao, không chu đáo Internet bên trên nó là biện pháp thực hiện cực tốt để không sử dụng đến DNS. Nếu như khách hàng có ứng dụng sử dụng hostname để triển khai một số công việc của nó thì chúng cần được được kiểm soát và điều chỉnh những gì cần thiết trong file thông số kỹ thuật thiết bị.Sử dụng IDS: Một hệ thống phát hiện nay xâm nhập, khi được để và xúc tiến đúng, rất có thể vạch mặt các bề ngoài giả mạo ARP cache và hàng fake DNS.Sử dụng DNSSEC: DNSSEC là một phương án thay thế mới cho DNS, sử dụng các bạn dạng ghi DNS gồm chữ ký kết để đảm bảo an toàn sự thích hợp lệ hóa của đáp trả truy vấn. Tuy DNSSEC vẫn chưa được triển khải rộng rãi nhưng nó sẽ được đồng ý chấp thuận là “tương lai của DNS”.