原文题目:DNS Pharming Attacks Using Rogue DHCP
原文作者:Elia Florio
原文地址: [url]https://forums2.symantec.com/t5/Emerging/DNS-Pharming-Attacks-Using-Rogue-DHCP/ba-p/370377[/url]

译文如下

按照 Dan Kaminsky DNS 不安全性的研究,我们可以看到***者与 DNS 服务器之间为了网络连接进行的争夺,对于***者而言只是争夺也是不够的。

DHCP 一直以来都是一个被广泛使用的网络协议—它用来在局域网络中自动分配 IP 地址。当你在家或者办公室里把便携式电脑连接到无线网络中时, DHCP 服务器将为你的机器分配一个 IP 地址而且将提供所有重要的参数比如网关和 DNS 服务器的 IP 地址。虽然 DHCP 对于最终用户来说是一个简单、透明并且高效的协议,但是它却存在着安全隐患。对 DHCP 没什么好说的,因为众所周知它的确在认证方面存在缺陷。 Wikipedia 已经对一般的 DHCP ***有了一个非常好的说明。

      DHCP 在网络安全方面还存在严重漏洞时就已经被标准化了,这使得基本的 DHCP 协议没有包括安全特性,它脆弱到面临两种潜在的***类型: (1) 未经授权的 DHCP 服务器 (2) 未经授权的 DHCP 客户端 ……
 
“未授权的 DHCP 服务器”***是这篇博客的主要议题,一个真实(糟糕)的消息是今天我们发现这种***正在被频繁的使用在恶意代码之中,它们以篡改同一个局域网中的其他机器的 DNS 配置为目的。这种恶意代码叫做 Trojan.Flush.M

这种代码的思想很简单但却具有威胁:***被安装在被感染的机器上,并在局域网中运行 DHCP 服务。当其他机器请求一个新的 IP 地址时,该服务伪造 DHCP 数据包应答。如果幸运的话,***抢在真正的 DHCP 服务器之前发出 DHCP 数据包,那它将修改其他计算机的网络配置。这种***的基本原理也在 Wikipedia 的文章中有说明。



上面网络嗅探工具详细的显示了一台被 Trojan.Flush.M 感染的机器(地址 192.168.91.129 )到底对所在的网络有何影响。当一台正常的机器(地址 192.168.91.132 )在更新它的 IP 地址(例如在 Windows 系统中使用 ipconfig /release ipconfig /renew )时,它发送一个 DHCP 释放数据包然后尝试寻找 DHCP 服务器以便获得新的网络配置。请求得到的配置将包括所有重要的信息,任何设备( PC, Mac, Smartphone 等)都需要这些配置来接入 Internet ,这些信息中尤为重要的是 DNS 服务器的地址。

在一个正常的网络中我们应该看到只有合法的 DHCP 服务器( 192.168.91.254 )向请求端发送 DHCP OFFER 包,如上图第 7 行所示。然而感染***的机器抢先发出另一个 DHCP OFFER 数据包(第 3 行),图标中接下来的部分清晰地说明了在网络中发生的这一切:



感染***的机器发出的数据包首先到达 DHCP 客户端;因此,它取代了真实的 DHCP 服务器并且最终分配给客户端如下所示的 IP 配置信息:



很明显,受感染机器已经分配给这个正常的机器 192.168.91.132 (正常并且没有受到任何威胁被感染) IP 配置,现在配置中包含着一些熟知的流氓 DNS 服务器地址: 85.255.112.36 85.255.112.41
按照这些 DNS 服务器的解析进行的 Internet 访问只能出现非常糟糕的结果,这样的结果大部分都与 DNS “changer Trojans” 相关,它包括了 Zlob Mac OS X 。一旦 DNS 服务器被修改,***者可以把你的计算机重定向到任何的恶意网站或者钓鱼网站(例如,你输入 [url]www.symantec.com[/url] 而你的计算机却访问 “6.6.6.6” 这个主机)。

下面是关于 DNS 网络欺骗***的几点说明:
        一台中***的机器将威胁到同一网络中其他正常机器,影响它们的 DNS 配置。
        对于正常的机器识别自己的 DNS 服务器是否合法是非常困难的(例子中的 DHCP 服务器有效的并且没有被感染)
        机器上的注册表选项和配置文件并没有被修改 ***信任网络协议
        这些恶意的 DHCP 数据包将侵袭受影响的网络中任何设备,所以甚至是一个 smartphone 或者 Mac 都可能接受到伪造的配置然后开始使用流氓 DNS 服务器。

既然这是一场合法 DHCP 服务器和受感染机器之间的竞争,那竞争的结果取决于运气和速度。我们注意到***并不是每次都得手,当 DHCP 数据包先被接收到时一切就会正常运行。

为了发现这样的***,管理员应该扫描那些来自于非 DHCP 服务器伪造 DHCP offer 数据包。最后一点,应该记录可能会发生的***或者是在 ISC SANS 工作的朋友的建议,网络管理员应该监控或者禁止 85.255.112.0 – 85.255.127.255 的网络流量。