利用流氓DHCP进行的DNS网络欺骗攻击

原文题目：DNS Pharming Attacks Using Rogue DHCP

原文作者：Elia Florio

原文地址： [url]https://forums2.symantec.com/t5/Emerging/DNS-Pharming-Attacks-Using-Rogue-DHCP/ba-p/370377[/url]

译文如下

按照 Dan Kaminsky 对 DNS 不安全性的研究，我们可以看到攻击者与 DNS 服务器之间为了网络连接进行的争夺，对于攻击者而言只是争夺也是不够的。

DHCP 一直以来都是一个被广泛使用的网络协议―它用来在局域网络中自动分配 IP 地址。当你在家或者办公室里把便携式电脑连接到无线网络中时， DHCP 服务器将为你的机器分配一个 IP 地址而且将提供所有重要的参数比如网关和 DNS 服务器的 IP 地址。虽然 DHCP 对于最终用户来说是一个简单、透明并且高效的协议，但是它却存在着安全隐患。对 DHCP 没什么好说的，因为众所周知它的确在认证方面存在缺陷。 Wikipedia 已经对一般的 DHCP 攻击有了一个非常好的说明。

      “ DHCP 在网络安全方面还存在严重漏洞时就已经被标准化了，这使得基本的 DHCP 协议没有包括安全特性，它脆弱到面临两种潜在的攻击类型： (1) 未经授权的 DHCP 服务器 (2) 未经授权的 DHCP 客户端 …… ”

 

“未授权的 DHCP 服务器”攻击是这篇博客的主要议题，一个真实（糟糕）的消息是今天我们发现这种攻击正在被频繁的使用在恶意代码之中，它们以篡改同一个局域网中的其他机器的 DNS 配置为目的。这种恶意代码叫做 Trojan.Flush.M 。

这种代码的思想很简单但却具有威胁：木马被安装在被感染的机器上，并在局域网中运行 DHCP 服务。当其他机器请求一个新的 IP 地址时，该服务伪造 DHCP 数据包应答。如果幸运的话，木马抢在真正的 DHCP 服务器之前发出 DHCP 数据包，那它将修改其他计算机的网络配置。这种攻击的基本原理也在 Wikipedia 的文章中有说明。

上面网络嗅探工具详细的显示了一台被 Trojan.Flush.M 感染的机器（地址 192.168.91.129 ）到底对所在的网络有何影响。当一台正常的机器（地址 192.168.91.132 ）在更新它的 IP 地址（例如在 Windows 系统中使用 ipconfig /release 和 ipconfig /renew ）时，它发送一个 DHCP 释放数据包然后尝试寻找 DHCP 服务器以便获得新的网络配置。请求得到的配置将包括所有重要的信息，任何设备（ PC, Mac, Smartphone 等）都需要这些配置来接入 Internet ，这些信息中尤为重要的是 DNS 服务器的地址。

在一个正常的网络中我们应该看到只有合法的 DHCP 服务器（ 192.168.91.254 ）向请求端发送 DHCP OFFER 包，如上图第 7 行所示。然而感染木马的机器抢先发出另一个 DHCP OFFER 数据包（第 3 行），图标中接下来的部分清晰地说明了在网络中发生的这一切：

感染木马的机器发出的数据包首先到达 DHCP 客户端；因此，它取代了真实的 DHCP 服务器并且最终分配给客户端如下所示的 IP 配置信息：

很明显，受感染机器已经分配给这个正常的机器 192.168.91.132 （正常并且没有受到任何威胁被感染） IP 配置，现在配置中包含着一些熟知的流氓 DNS 服务器地址： 85.255.112.36 和 85.255.112.41 。

按照这些 DNS 服务器的解析进行的 Internet 访问只能出现非常糟糕的结果，这样的结果大部分都与 DNS “changer Trojans” 相关，它包括了 Zlob 和 Mac OS X 。一旦 DNS 服务器被修改，攻击者可以把你的计算机重定向到任何的恶意网站或者钓鱼网站（例如，你输入 [url]www.symantec.com[/url] 而你的计算机却访问 “6.6.6.6” 这个主机）。

下面是关于 DNS 网络欺骗攻击的几点说明：

    •    一台中木马的机器将威胁到同一网络中其他正常机器，影响它们的 DNS 配置。

    •    对于正常的机器识别自己的 DNS 服务器是否合法是非常困难的（例子中的 DHCP 服务器有效的并且没有被感染）

    •    机器上的注册表选项和配置文件并没有被修改 ― 攻击信任网络协议

    •    这些恶意的 DHCP 数据包将侵袭受影响的网络中任何设备，所以甚至是一个 smartphone 或者 Mac 都可能接受到伪造的配置然后开始使用流氓 DNS 服务器。

既然这是一场合法 DHCP 服务器和受感染机器之间的竞争，那竞争的结果取决于运气和速度。我们注意到攻击并不是每次都得手，当 DHCP 数据包先被接收到时一切就会正常运行。

为了发现这样的攻击，管理员应该扫描那些来自于非 DHCP 服务器伪造 DHCP offer 数据包。最后一点，应该记录可能会发生的攻击或者是在 ISC SANS 工作的朋友的建议，网络管理员应该监控或者禁止 85.255.112.0 �C 85.255.127.255 的网络流量。