利用流氓DHCP进行的DNS网络欺骗攻击


原文题目:DNS Pharming Attacks Using Rogue DHCP
原文作者:Elia Florio
原文地址: [url]https://forums2.symantec.com/t5/Emerging/DNS-Pharming-Attacks-Using-Rogue-DHCP/ba-p/370377[/url]

译文如下

按照 Dan Kaminsky DNS 不安全性的研究,我们可以看到攻击者与 DNS 服务器之间为了网络连接进行的争夺,对于攻击者而言只是争夺也是不够的。

DHCP 一直以来都是一个被广泛使用的网络协议―它用来在局域网络中自动分配 IP 地址。当你在家或者办公室里把便携式电脑连接到无线网络中时, DHCP 服务器将为你的机器分配一个 IP 地址而且将提供所有重要的参数比如网关和 DNS 服务器的 IP 地址。虽然 DHCP 对于最终用户来说是一个简单、透明并且高效的协议,但是它却存在着安全隐患。对 DHCP 没什么好说的,因为众所周知它的确在认证方面存在缺陷。 Wikipedia 已经对一般的 DHCP 攻击有了一个非常好的说明。

      DHCP 在网络安全方面还存在严重漏洞时就已经被标准化了,这使得基本的 DHCP 协议没有包括安全特性,它脆弱到面临两种潜在的攻击类型: (1) 未经授权的 DHCP 服务器 (2) 未经授权的 DHCP 客户端 ……
 
“未授权的 DHCP 服务器”攻击是这篇博客的主要议题,一个真实(糟糕)的消息是今天我们发现这种攻击正在被频繁的使用在恶意代码之中,它们以篡改同一个局域网中的其他机器的 DNS 配置为目的。这种恶意代码叫做 Trojan.Flush.M

这种代码的思想很简单但却具有威胁:木马被安装在被感染的机器上,并在局域网中运行 DHCP 服务。当其他机器请求一个新的 IP 地址时,该服务伪造 DHCP 数据包应答。如果幸运的话,木马抢在真正的 DHCP 服务器之前发出 DHCP 数据包,那它将修改其他计算机的网络配置。这种攻击的基本原理也在 Wikipedia 的文章中有说明。



上面网络嗅探工具详细的显示了一台被 Trojan.Flush.M 感染的机器(地址 192.168.91.129 )到底对所在的网络有何影响。当一台正常的机器(地址 192.168.91.132 )在更新它的 IP 地址(例如在 Windows 系统中使用 ipconfig /release ipconfig /renew )时,它发送一个 DHCP 释放数据包然后尝试寻找 DHCP 服务器以便获得新的网络配置。请求得到的配置将包括所有重要的信息,任何设备( PC, Mac, Smartphone 等)都需要这些配置来接入 Internet ,这些信息中尤为重要的是 DNS 服务器的地址。

在一个正常的网络中我们应该看到只有合法的 DHCP 服务器( 192.168.91.254 )向请求端发送 DHCP OFFER 包,如上图第 7 行所示。然而感染木马的机器抢先发出另一个 DHCP OFFER 数据包(第 3 行),图标中接下来的部分清晰地说明了在网络中发生的这一切:



感染木马的机器发出的数据包首先到达 DHCP 客户端;因此,它取代了真实的 DHCP 服务器并且最终分配给客户端如下所示的 IP 配置信息:



很明显,受感染机器已经分配给这个正常的机器 192.168.91.132 (正常并且没有受到任何威胁被感染) IP 配置,现在配置中包含着一些熟知的流氓 DNS 服务器地址: 85.255.112.36 85.255.112.41
按照这些 DNS 服务器的解析进行的 Internet 访问只能出现非常糟糕的结果,这样的结果大部分都与 DNS “changer Trojans” 相关,它包括了 Zlob Mac OS X 。一旦 DNS 服务器被修改,攻击者可以把你的计算机重定向到任何的恶意网站或者钓鱼网站(例如,你输入 [url]www.symantec.com[/url] 而你的计算机却访问 “6.6.6.6” 这个主机)。

下面是关于 DNS 网络欺骗攻击的几点说明:
        一台中木马的机器将威胁到同一网络中其他正常机器,影响它们的 DNS 配置。
        对于正常的机器识别自己的 DNS 服务器是否合法是非常困难的(例子中的 DHCP 服务器有效的并且没有被感染)
        机器上的注册表选项和配置文件并没有被修改 攻击信任网络协议
        这些恶意的 DHCP 数据包将侵袭受影响的网络中任何设备,所以甚至是一个 smartphone 或者 Mac 都可能接受到伪造的配置然后开始使用流氓 DNS 服务器。

既然这是一场合法 DHCP 服务器和受感染机器之间的竞争,那竞争的结果取决于运气和速度。我们注意到攻击并不是每次都得手,当 DHCP 数据包先被接收到时一切就会正常运行。

为了发现这样的攻击,管理员应该扫描那些来自于非 DHCP 服务器伪造 DHCP offer 数据包。最后一点,应该记录可能会发生的攻击或者是在 ISC SANS 工作的朋友的建议,网络管理员应该监控或者禁止 85.255.112.0 �C 85.255.127.255 的网络流量。

你可能感兴趣的:(职场,dns,DHCP,欺骗,休闲)