dns劫持分析

  最近在做dns解析,关注的重点在查询域名ns记录上,异常日志中捕获到一个域名,dig查询:

  

  查询请求类型为ns,dig结果确只有一条A记录。处于好奇,查询类型改为a类型:

  

  

  

  这个域名dig 查询A记录,返回一条结果,但是每次dig下去结果都不大一样。回到最开始的问题,请求类型为NS,

dig下去发现没有ns结果,那么是否是域名没有设置ns呢?我们用whois查看下:

  

  可以看到ns是有的,可是dig的结果为何显示没有ns记录呢?我们修改下上上节的程序代码(完整代码在github见文末),构造一个dns解析请求,请求类型为ns,程序分析响应的内容,

发现其结果和我们用dig命令查询是一样的,返回结果分析后只有一条A记录:

  

  查一下这个地址,结果如下:

  

  很明显,这个结果是不正确的。

  我们模拟了dig工具的dns解析过程,发现只能获取到域名的A记录,为了搞清楚到底发生了什么,我们用抓包工具来帮助我们了解原由。首先打开抓包工具,

然后运行程序,发一个dns查询包,在wireshark中过滤类型,查看结果:

  

  第一个是我们发起的查询,可以看到类型是NS,请求的域名是3331.com,返回的响应结果有三个,对于linux的dig命令来说,它至处理最先到达的响应包,也就是第一个,看看第一个包中都有什么内容:

  

  请求类型ns,answers中确只有type A,并告诉我们A记录是243.185.187.39。这就是我们所说的dns劫持的一种,但是,查看第三个响应包:

  

  

可以看到,ns记录和我们用whois查询的结果是一样的。这就是说,查询过程是没有被打断的,被问询的server有响应我们的解析请求,只不过在这个过程中,劫持者截获了请求,并伪造了多个响应包发回来。

  对于这种情况,我所使用的方法是检测每一个返回的响应包,判断是否有我期望的结果,如果没有,则丢弃这个包,否则就解析这个响应包,同事设置read超时时间,超过设定时间则认为没有后续的响

应包了。有兴趣的可以移步github查看代码:https://github.com/taoge2520/test_for_dig

  

  

  

时间: 2024-12-27 05:01:46

dns劫持分析的相关文章

DNS污染和DNS劫持的解决办法

DNS污染是指一些刻意制造或无意中制造出来的域名服务器分组,把域名指往不正确的IP地址. DNS劫持又称域名劫持,是指在劫持的网络范围内拦截域名解析的请求,分析请求的域名,把审查范围以外的请求放行,否则返回假的IP地址或者什么都不做使请求失去响应,其效果就是对特定的网络不能访问或访问的是假网址. DNS污染解决方法 1.使用各种SSH加密代理,在加密代理里进行远程DNS解析,或者使用VPN上网. 2.修改hosts文件,操作系统中Hosts文件的权限优先级高于DNS服务器,操作系统在访问某个域名

DNS劫持

一.DNS原理 1.1.基本概念 1.1.1.DNS(Domain Name System,域名系统)是指由域名到ip地址的映射,DNS协议运行在udp协议之上,使用端口号53.该域名->ip地址的映射分两种:静态映射(本地维护一个映射表),动态映射(需要一套域名解析系统). 1.1.2.主机名:三级域名.二级域名.顶级域名. 1.1.3.Internet的域名空间 (1)国家顶级域名nTLD:cn代表中国,us代表美国,uk代表英国,等等. (2)通用顶级域名gTLD:最常见的通用顶级域名有7

一次网络劫持分析过程

最近在维护的网站底部突然冒出一个横幅广告,而且在办公网没有发现,而通过WIFI就会显示广告,两个网段用的不是一个DNS或路由器网关.由于遇到这种情况很多了,自然而然的就会想到是DNS劫持. DNS是把域名解析到ip地址,DNS劫持就是在一定范围内,拦截并分析解析请求,解析到假的ip地址上.目前最常见的做法是在网站中植入恶意代码,例如植入广告. 用Chrome怎么发现DNS劫持呢?首先通过Chrome的开发工具查看广告的域名,通过Chrome的Ctrol+Shift+F搜索域名,就可以找出恶意代码

openwrt-智能路由器hack技术(1)---"DNS劫持"

openwrt-智能路由器hack技术(1)---"DNS劫持" 1   导读 PS:之前写的一个文章,现在发现结构内容排版不是太好,导致阅读体验太差,影响传播和SEO,所以现在整理拆分一下,从小处写起, 本系列介绍了两个关于智能路由器的hack技术,供大家赏玩一下. 本文提到的两个基于网络的hack技术: DNS劫持 数据抓包 基本本质上就是路由器设备的两个主要网络功能: 网关配置功能 网关数据中转功能 但是用于软件开发的正途,就变换成下面的说法: 网络环境迁移 数据监控 由于大家可

DNS劫持是什么意思?DNS被劫持怎么办?

域名是否被墙 被改标题 DNS污染检测 被挂黑链 网站是否被黑 网站打开速度检测 检测网站是否被劫持 被入侵 IIS7 网站监控 DNS劫持又称域名劫持,是指在劫持的网络范围内拦截域名解析的请求,分析请求的域名,把审查范围以外的请求放行,否则返回假的IP地址或者什么都不做使请求失去响应,其效果就是对特定的网络不能反应或访问的是假网址. 一.基本原理 DNS(域名系统)的作用是把网络地址(域名,以一个字符串的形式)对应到真实的计算机能够识别的网络地址(IP地址),以便计算机能够进一步通信,传递网址

手机被DNS劫持后的更改方案

首先说什么是DNS劫持 DNS劫持又称域名劫持,是指在劫持的网络范围内拦截域名解析的请求,分析请求的域名,把审查范围以外的请求放行,否则返回假的IP地址或者什么都不做使请求失去响应,其效果就是对特定的网络不能反应或访问的是假网址.运营商DNS劫持 再看看DNS劫持怎么检测 通过iis7网站监控,输入自己的域名,就可以立马看到自己的网站是不是被劫持了,并且查询结果都是实时的,可以利用查询结果来更好的优化我们的网站. 用户在接入网络运营商(联通.电信等)网络时,一般都默认获取运营商自动下发的DNS服

DNS劫持 DNS污染 介绍 与 公共DNS 推荐

来源:http://www.itechzero.com/dns-hijacking-dns-pollution-introduction-and-public-dns-recommend.html 我们知道,某些网络运营商为了某些目的,对 DNS 进行了某些操作,导致使用 ISP 的正常上网设置无法通过域名取得正确的 IP 地址.常用的手段有:DNS劫持 和 DNS污染.DNS劫持 和 DNS污染 在天朝是非常常见的现象.一般情况下输入一个错误或不存在的 URL 后,本应该出现404页面,而我们

小说dns劫持

小说dns劫持 我们都知道,dns服务器的作用在于解析域名,将人容易记忆的域名与机器理解的ip地址联系起来.我们用域名访问一个网站的时候,主机首先会访问dns服务器,得到所要访问网站的ip地址,然后主机再根据这个IP地址来访问网站. 什么是dns劫持: DNS劫持又称域名劫持,是指通过某些手段取得某域名的解析控制权,修改此域名的解析结果,导致对该域名的访问由原IP地址转入到修改后的指定IP,其结果就是对特定的网址不能访问或访问的是假网址. DNS的查询过程: dns劫持的方法: dns劫持的方法

DNS劫持(网页打不开的解决方法)

我们上网,必不可少的就是DNS,在这里先介绍下DNS的相关知识. DNS 是域名系统 (Domain NameSystem) 的缩写,它是由解析器和域名服务器组成的.域名服务器是指保存有该网络中所有主机的域名和对应IP地址,并具有将域名转换为IP地址功能的服务器.其中域名必须对应一个IP地址,而IP地址不一定有域名. 其实,我们平时访问网站,例如我们访问百度,那么我们在浏览器里面输入www.baidu.com然后通过网络,经过解析器和域名服务器的翻译转换,我们就成功访问到220.181.111.