折叠 编辑本段 定义
折叠 编辑本段 常用方法
对于运营商,网络管理员等人,尤其是在办公室等地方,管理员希望网络使用者无法浏览某些与工作无关的网站,通常采用DNS抢答机制。机器查询DNS时,采用的是UDP协议进行通讯,队列的反粒应营针翻座值才每个查询有一个id进行标识。
项镇清课神折叠 查询
| 源IP | 目的IP | 内容 |
| 19乱液2.168.2.2 | 8.8.8.8 | Standard query 0x0001 PTR 8.8.8.述8.in-addr.arpa |
| 8.8.8.8 | 192.168.2.2 | Stand例束季京错尔ard query response 0x0001 PTR g斤或刻oogle-public-dns-a.google.com |
| 192.168.2.达顶国星孔转2 | 8.8.8.8 | Standar径d query 0x0002 A baidu.com |
| 8.8.8.8 | 192.168.2.2 | Standard query response 0x0002 A 华飞美调负买财斯防湖联220.181.57.217 A 123.125.114.144 A 180.149.13看父2.47 |
| 192.168.2.2 | 8.8.8.8 | Standard query 0往成你里微百布x0003 AAAA baid划玉为黄钱那义u.com |
| 8.8.8.8 | 192.168.2.2 | Standard query response 0副怕元部样乐四级x0003 |
我们对一次正常的DNS请求进行抓包,结果如下表:
这里我们查询了百度的A记录(ipv4)以及AAAA记录(ipv6)每一个请求都有一个回应。
折叠 奇怪的查询
| 源IP | 目的IP | 内容 |
| 192.168.2.2 | 军养火觉8.8.8.8 | Standard query 0x0001 PTR 8.8.8.8.in-addr.arpa |
| 8.8.8.8 | 192.168.2.2 | Standard query response 0x0001 PTR google-public-模已艺dns-a.google.com |
| 192.168.2.2 | 8.8.8.8 | Standard query 0x0002 A f校适味失找死讨布什acebook.com |
| 8.8.8.8 | 192.168.2.2 | Standard query respo入孙丰妈块告概讲杂选紧nse 0x0002 A 8.7.198.45 |
| 8.8.8.8 | 192.168.2.2 | Standard query resp石针张抓扩实钟考济onse 0x0002 A 159.106.121.75 |
| 192.168.2.2 | 8.8.8.8 | Stand结待ard query 春力早工0x0003 AAAA fac花几衣晶溶苏ebook.com |
| 8.8.8.8 | 192.168.2.2 | Standard query response 0x0003 A 93.46.8.89 |
| 8.8.8.8 | 192.168.2.2 | Standard query response 0x0002 A 31.13.90.2 |
| 8.8.8.8 | 192.168.2.2 | Stan凯业dard query response 0x0003 AAAA 2a03:2880:f01a:1:fa术测ce:b00c:0而基修告听面错:1 |
从上表中我们美状啊压功委府电可以看到一个神奇的东西,本地在向服务器发送id为3的查询时,返回的结果竟然有以id2标识的结果,同时在整个查询中,A记录居然返回了三条,通过whois来对上述的三条A记录进行检查,我们发现,只有31.13.90.2才是facebook的ip地址,也就是那个姗姗来迟的id为2宗现消被乙笑的查询结果,而标记着编号为3的AAAA查询结果中,我们竟然发现了一个A记录的查询结果。由此可见,上表用底色标记的就是被污染的DNS。下面我们就来讲述一下这个的实现方法。
折叠 原理解析
我们假设A为用户端,B为DNS服务器,C为A到B链路的一个节点的网络设备(路由器,交换机,网关等等)。然后我们来模拟一次被污染的DNS请求过程。
A向B构建UDP连接,然后,A向B发送查询请求,查询请求内容通常是:"A baidu.com",这一个数据包经过节点设备C继续前往DNS服证检务器B;然而在这个过程中,C通过对数据包进行特征分析(远程通讯端口为DNS服务器端口,激发内容关键字检查,检查特定的域名如上述的"baidu.com",以及查询的记录类型"A记录"),从而立刻返回一个错误的解析结果(如返回了"A 123.123.123.123"),众所周知,作为链路上的一个节点比晚四需结丝术措,C机器的这个结果必定会先于真正的域名服务器的返回结果到达用户机器A,而目前我们的DNS解析机制有一个用头践生料垂四的你重要的原则,就是只认游乐卫局坐复误袁突第一,因此C节点所返回的查询结果就被A机器当作了最终返回结果,用于构建链接。
折叠 编辑本段 防除方法
对付DNS劫持,只需要把系统的DNS设置手动切换为国外的DNS服务器的IP地址即可解决。
对于DNS污染,一般除了使用代理服务器和VPN之类的软件之外,并没有什么其它办法。但是利用我们对DNS污染的了解,还针动系空永术其赶是可以做到不用代理服务器和VPN之类的软件就能解决DNS污染的问题,从而在不使用代理服务器或VPN的情况下访问原本访问不了的一些网站。当然这无法解决所有问题,当一些无法访问的网站本身并不是由DNS污染问题导致的时候,还是需要使用代理服务器或VPN才能访指日良府华矛问的。
DNS污染的数据包并不是在网络数据包经过的路由器上,而是在其旁路产生的。所以DNS污染进级永必仅沙镇并无法阻止正确的DNS解析结果返回,但由于旁路产生的数据包发回的速度较国外DNS服务器发回的快,操作系统认为第一个收到的数据包就是返回结果,从而忽略其后收到的数据包,从而使得DNS污染得逞。而某些国家的DNS污染在一段时期内的污染IP却是固定不变的,从而可以忽略返回结果是小身末修这些IP地址的数据宣矛境包,直接解决DNS污染的问题。
折叠 编辑本段 验证方法
我们在命令行下通过这样一条命令:
nslookup 域名 144.223.234.234,即可判断该域名是否被污染,由于144.223.234.234不存在,武话身系色理应没有任何返回。但我们却得到了一个错误的IP(不确定)。即可证明这个域各立教黑房温脸且零名已经被DNS污染了。
折叠 编辑本段 解决方案
1、使用各种SSH加密代理,在加密代理里进行远程望充听施特新抓席兴DNS解析,或者使高成皮映友例用VPN上网。
2、修改hosts文件,操作系统中Hosts文南立取居无种关请谁无但件的权限优先级高于DNS服务器,操作系统在访问某个域名时,会先检测HOSTS文件,然后再查询DNS服务器。可以在hosts添加受到污染的DNS地址来解决DNS污染和DNS劫持。
3、通过一些软件编程处理,可以直接忽略返回结果是虚假IP地址的数据包,直接解决DNS污染的问题。
4、如果你是Firefox only用户,并且只用Firefox,又懒得折腾,直接打开Firefox的远程DNS解析就行了。在地址栏中输入:
about:config
找到network.proxy.socks_remote_dns一项改成true。
5、使用DNSCrypt软件,此软件与使用的OpenDNS直接建立相对安全的TCP连接并加密请求数据,从而不会被污染。
