網路安全管理議題 - DNS 欺騙攻擊

1. 網路安全管理議題 -DNS欺騙攻擊 指導教授：梁明章 老師 A0933348 高名勳

2. DNS欺騙攻擊原理 DNS sever 請求www.usa.com的ip位址 199.6.6.1 ns.haha.com ns.haha.com 199.6.6.1 www.usa.com的ip位址為1.1.1.1 Cracker 199.6.6.2 說明

3. DNS欺騙攻擊實現 當DNS伺服器發出查詢封包時，在封包內有一query id，回覆訊息只有query id及ip都正確時才能為服務器接受。這個id每次會自動加一，所以可以通過第一次向目標DNS伺服器發一個查詢封包並監聽該id值，隨後再發一查詢，並接著send出我們預先做好的回覆封包，封包內的query id為預測的query id值（為提高成功率可以指定一個範圍，比如從previous_id+1到previous_id+100）。

4. DNS欺騙攻擊實現(續) 接上例，如ns.haha.com向199.6.6.1要求查詢www.usa.com的ip位址，此時199.6.6.2上的Cracker就要欺騙ns.haha.com ns.haha.com --------> 199.6.6.1 [Query] NQY: 1 NAN: 0 NNS: 0 NAD: 0 QID:6573 QY: www.usa.com A 其中NQY、NAN是查詢封包的旗標值，當這兩個值為1時表示為查詢封包 此時可以在199.6.6.2監聽到這個封包，得到QID: 6573。然後我們也向199.6.6.1 發出查詢，使它忙於應答 11.11.11.11 -----------> 100.100.100.200 [Query] NQY: 1 NAN: 0 NNS: 0 NAD: 0 QY: other.usa.com A 緊接著發帶預測QID的應答包： 199.6.6.1 -----------> ns.haha.com [Answer] NQY: 1 NAN: 0 NNS: 0 NAD: 0 QID: 6574 QY: www.usa.com PTR AN: www.usa.com PTR 111.222.333.444

5. DNS欺騙攻擊實現(續) • 111.222.333.444 就是由我們自己指定的ip位址 • 發送這個封包的QID為前面聽到的QID+1 即6573+1=6574 • 這樣，DNS欺騙便完成， ns.haha.com會把111.222.333.444當作www.usa.com的ip位址

6. 結論 • 為了防範DNS欺騙攻擊，我們可以採直接用IP • 　訪問重要的服務，這樣至少能避開威脅 • 網路上的威脅何其多，當我們無法改變現況 • 　時，只好養成良好習慣，小心使用！