一、DNS污染的概念
DNS污染是指某些恶意攻击者通过修改DNS系统中的记录内容,导致用户想访问真正的站点时,却被导向了一个类似于钓鱼网站的恶意网站。攻击者通常是利用DNS系统的漏洞绕过了DNS查询的安全机制,进而篡改DNS响应消息,在显示正常响应的同时实现对用户的欺骗行为。
DNS污染有时候被称为DNS劫持或DNS欺诈,因为它使用了一些欺骗手段,让用户误以为他们正在访问一个合法的站点,但实际上他们正在被引导到承载网络钓鱼或恶意软件的篡改站点上。
二、DNS污染的类型
常见的DNS污染类型如下:
1. DNS缓存污染
攻击者利用DNS响应消息中的安全漏洞,修改了本地DNS服务器的缓存内容,让用户在访问正常站点时被误导到篡改站点上,从而实现网络欺诈。
2. DNS服务器劫持
黑客攻击了DNS服务器,修改了其记录内容,将正常站点的IP地址改为钓鱼站点或恶意站点的IP地址。这样,用户无论如何访问,都会被导向篡改站点。
3. DNS欺诈
DNS欺诈是通过欺诈的手段,诱骗用户访问篡改的站点,从而吸取用户的个人信息或绕过系统安全控制等不良行为。攻击者通常会发送邮件或者短信,诱骗用户点击恶意链接,进而访问篡改站点,导致DNS污染。
三、DNS污染检测方法
为了保障用户信息安全,防止DNS污染行为的发生,我们需要对其进行检测。下面主要介绍两种常用的DNS污染检测方法。
1. DNS解析对比法
这种方法比较简单,主要是根据通常的DNS解析过程,对输入的网址进行解析,并将其与本地NS的解析结果进行对比。这个方法的具体流程如下:
def dns_compare(target_url, local_ns):
dns_resolver = dns.resolver.Resolver(configure=False)
dns_resolver.nameservers = [local_ns]
try:
dns_request = dns_resolver.resolve(target_url)
ip = dns_request.response.answer[0].items[0].address
except Exception:
ip = False
if ip:
compare_request = dns_resolver.resolve(target_url)
compare_ip = compare_request.response.answer[0].items[0].address
if compare_ip == ip:
print("DNS解析一致,不存在DNS污染")
else:
print("DNS解析不一致,存在DNS污染")
else:
print("DNS解析失败,请检查URL是否正确")
2. DNS请求TRACEROUTE法
这种方法通过分析DNS请求的路由路径,确定请求是否被篡改,可判断DNS污染的具体位置,并对网站进行监控。这个方法的具体流程如下:
def dns_traceroute(target_url):
tracert_command = "tracert -h 120 %s" % target_url
tracert_result = os.popen(tracert_command).read()
ip_list = re.findall("\d+\.\d+\.\d+\.\d+", tracert_result)
ns_finder = dns.resolver.Resolver(configure=False)
ns_finder.nameservers = ["114.114.114.114"]
for ip in ip_list:
try:
dns_request = ns_finder.resolve(dns.reversename.from_address(ip), "PTR")
ns = dns_request.response.answer[0].items[0].to_text()[:-1]
print("Route path: %s, NS: %s" % (ip, ns))
except Exception:
continue
四、总结
随着互联网的不断发展,网络安全使用越来越受到大家的关注。DNS污染是一种常见的网络安全隐患,它可以导致用户的信息被窃取或者恶意软件的入侵。本文介绍了DNS污染的概念和类型,以及DNS污染的两种检测方法。网络安全问题的解决不是一蹴而就的,我们需要更加关注网络安全问题,结合实际情况加强网络安全防范。
