DNS污染,又称为域名服务器缓存污染(DNS cache poisoning)或者域名服务器快取侵害(DNS cache pollution)。 是指一些刻意制造或无意中制造出来的域名服务器分组,把域名指往不正确的IP地址。一般来说,外间在互联网上一般都有可信赖的域名服务器,但为减免网络上的交通,一般的域名都会把外间的域名服务器数据暂存起来,待下次有其他机器要求解析域名时,可以立即提供服务。一但有关网域的局域域名服务器的缓存受到污染,就会把网域内的电脑导引往错误的服务器或服务器的网址。域名服务器缓存污染可能是通过域名服务器软件上的设计错误而产生,但亦可能由别有用心者通过研究开放架构的域名服务器系统来利用当中的漏洞。
dns污染_DNS污染 -定义
某些网络运营商为了某些目的,对DNS进行了某些操作,导致使用ISP的正常上网设置无法通过域名取得正确的IP地址。
某些国家或地区出于某些目的为了防止某网站被访问,而且其又掌握部分国际DNS根目录服务器或镜像,也会利用此方法进行屏蔽。
常用的手段有:DNS劫持和DNS污染。
dns污染_DNS污染 -常用污染方法
对于运营商,网络管理员等人,尤其是在办公室等地方,管理员希望网络使用者无法浏览某些与工作无关的网站,通常采用DNS抢答机制。机器查询DNS时,采用的是UDP协议进行通讯,队列的每个查询有一个id进行标识。
从一个正常的DNS查询说起
源IP目的IP
内容
192.168.2.2
8.8.8.8
Standard query 0x0001 PTR 8.8.8.8.in-addr.arpa8.8.8.8
192.168.2.2
Standard query response 0x0001 PTR google-public-dns-a.google.com192.168.2.28.8.8.8Standard query 0x0002 A baidu.com8.8.8.8
192.168.2.2
Standard query response 0x0002 A 220.181.57.217 A 123.125.114.144 A 180.149.132.47192.168.2.28.8.8.8Standard query 0x0003 AAAA baidu.com8.8.8.8192.168.2.2
Standard query response 0x0003
我们对一次正常的DNS请求进行抓包,结果如下表:
这里我们查询了百度的A记录(ipv4)以及AAAA记录(ipv6)每一个请求都有一个回应。
一个奇怪的查询
源IP
目的IP
内容
192.168.2.2
8.8.8.8
Standard query 0x0001 PTR 8.8.8.8.in-addr.arpa8.8.8.8
192.168.2.2
Standard query response 0x0001 PTR google-public-dns-a.google.com192.168.2.28.8.8.8Standard query 0x0002 A facebook.com8.8.8.8
192.168.2.2
Standard query response 0x0002 A 8.7.198.458.8.8.8192.168.2.2Standard query response 0x0002 A 159.106.121.75192.168.2.28.8.8.8
Standard query 0x0003 AAAA facebook.com8.8.8.8
192.168.2.2
Standard query response 0x0003 A 93.46.8.898.8.8.8
192.168.2.2
Standard query response 0x0002 A 31.13.90.28.8.8.8
192.168.2.2
Standard query response 0x0003 AAAA 2a03:2880:f01a:1:face:b00c:0:1
从上表中我们可以看到一个神奇的东西,本地在向服务器发送id为3的查询时,返回的结果竟然有以id2标识的结果,同时在整个查询中,A记录居然返回了三条,通过whois来对上述的三条A记录进行检查,我们发现,只有31.13.90.2才是facebook的ip地址,也就是那个姗姗来迟的id为2的查询结果,而标记着编号为3的AAAA查询结果中,我们竟然发现了一个A记录的查询结果。由此可见,上表用底色标记的就是被污染的DNS。下面我们就来讲述一下这个的实现方法。
原理解析
我们假设A为用户端,B为DNS服务器,C为A到B链路的一个节点的网络设备(路由器,交换机,网关等等)。然后我们来模拟一次被污染的DNS请求过程。
A向B构建UDP连接,然后,A向B发送查询请求,查询请求内容通常是:“A baidu.com”,这一个数据包经过节点设备C继续前往DNS服务器B;然而在这个过程中,C通过对数据包进行特征分析(远程通讯端口为DNS服务器端口,激发内容关键字检查,检查特定的域名如上述的“baidu.com",以及查询的记录类型"A记录"),从而立刻返回一个错误的解析结果(如返回了"A 123.123.123.123"),总所周知,作为链路上的一个节点,C机器的这个结果必定会先于真正的域名服务器的返回结果到达用户机器A,而目前我们的DNS解析机制有一个重要的原则,就是只认第一,因此C节点所返回的查询结果就被A机器当作了最终返回结果,用于构建链接。
dns污染_DNS污染 -验证方法
我们在命令行下通过这样一条命令:
nslookup 域名 144.223.234.234,即可判断该域名是否被污染,由于144.223.234.234不存在,理应没有任何返回。但我们却得到了一个错误的IP(不确定)。即可证明这个域名已经被DNS污染了。
dns污染_DNS污染 -解决方案
1、使用各种SSH加密代理,在加密代理里进行远程DNS解析,或者使用VPN上网。
2、修改hosts文件,操作系统中Hosts文件的权限优先级高于DNS服务器,操作系统在访问某个域名时,会先检测HOSTS文件,然后再查询DNS服务器。可以在hosts添加受到污染的DNS地址来解决DNS污染和DNS劫持。
3、通过一些软件编程处理,可以直接忽略返回结果是虚假IP地址的数据包,直接解决DNS污染的问题。
4、如果你是Firefox only用户,并且只用Firefox,又懒得折腾,直接打开Firefox的远程DNS解析就行了。在地址栏中输入:
about:config
找到network.proxy.socks_remote_dns一项改成true。