(quack_at_xfocus.org)
DNS ID Hacking
by quack[email protected]
参考资料:DNS ID Hacking by ADM crew
一、关于DNS ID Hacking的一些描述
你可能会对DNS ID Hacking\spoofing的含义有些迷惑,它与一般直接攻击一样,只
不过利用的是DNS协议上的漏洞,并且可能有较大的普遍性及伤害作用――好象没什
么DNS服务器能够逃过它――甚至WINNT。
1、DNS协议机制简述
首先我们来看看DNS是如何工作的,我将在这里说明这一协议中相对重要的一些部份。
为了更好的叙述,我们先用一个实例来看一看一个DNS请求的信息包是如何在网络里
传送的吧。
1.1 : 客户机(bla.bibi.com)发送一个请求要求解析域名"www.heike.com",bla.bibi.com
的DNS是ns.bibi.com这台机器,现在我们看看下图吧:
/———————————\
| 111.1.2.123 = bla.bibi.com |
| 111.1.2.222 = ns.bibi.com |
| 格式: |
| IP_ADDR:PORT->IP_ADDR:PORT |
| 示例: |
| 111.1.2.123:2999->111.1.2.222:53|
-——————————–/
这图是我们要分析的情况的示意,应该很清楚了,好,那就看看gethostbyname是如何
工作的:
….
gethosbyname("www.heike.com");
….
[bla.bibi.com] [ns.bibi.com]
111.1.2.123:1999 —>?[www.heike.com]——> 111.1.2.222:53
这里我们可以看到这个名字请求从bla.bibi.com的1999端口(随机选择)发送到了dns
机器的53端口――DNS的绑定端口。
dns.bibi.com收到这个解析的请求后,就开始了它的工作了……
[ns.bibi.com] [ns.internic.net]
111.1.2.222:53 ——–>dns?[www.heike.com]—-> 198.41.0.4:53
它先问ns.internic.net哪台机器是www.heike.com的主名称服务器,如果没查到的话
它就把请求发往.com域的权威服务器。在这里要先问ns.internic.net的原因是,可
能这个域名在它的缓存里存在着――这可以节约时间。
[ns.internic.net] [ns.bibi.com]