利用流氓DHCP进行的DNS网络欺骗攻击

原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://beacon.blog.51cto.com/442731/134211


原文题目:DNS Pharming Attacks Using Rogue DHCP

原文作者:Elia Florio
译文如下

 
按照Dan KaminskyDNS不安全性的研究,我们可以看到攻击者与DNS服务器之间为了网络连接进行的争夺,对于攻击者而言只是争夺也是不够的。

DHCP一直以来都是一个被广泛使用的网络协议—它用来在局域网络中自动分配IP地址。当你在家或者办公室里把便携式电脑连接到无线网络中时,DHCP服务器将为你的机器分配一个IP地址而且将提供所有重要的参数比如网关和DNS服务器的IP地址。虽然DHCP对于最终用户来说是一个简单、透明并且高效的协议,但是它却存在着安全隐患。对DHCP没什么好说的,因为众所周知它的确在认证方面存在缺陷。Wikipedia已经对一般的DHCP攻击有了一个非常好的说明

     DHCP在网络安全方面还存在严重漏洞时就已经被标准化了,这使得基本的DHCP协议没有包括安全特性,它脆弱到面临两种潜在的攻击类型: (1)未经授权的DHCP服务器(2)未经授权的DHCP客户端……
 =========================================
    白话网络术语—网关 DNS DHCP服务 路由 路由表 DDOS攻击 ARP表 ARP欺骗

转一篇关于网络术语的白话描述,感觉作者写得还挺生动。原文地址:[url]http://hi.baidu.com/suruiqiang/blog/item/4b202b81d93397debc3e1ebb.html[/url]
假设你叫小不点(本地主机),住在一个大院子(本地局域网)里,有很多邻居(网络邻居),门口传达室有个看大门的李大爷,李大爷就是你的网关。当你想跟院子里的某个伙伴玩,只要你在院子里大喊一声他的名字(ping他一下),他听到了就会回应你,并且跑出来跟你玩。

但是你不被允许走出大门,你与外界的一切联系,都必须李大爷(网关)用电话帮助你联系。假如你想找你的同学小明聊天,小明家住在很远的另外一个院子里 (小明和你不在一个局域网),他家的院子里也有一个看门的王大爷(小明的网关)。你不知道小明家的电话号码,不过你的班主任老师有一份你们班全体同学的名 单和电话号码对照表,你的老师就是你的DNS服务器。于是你在家里拨通了门口李大爷的电话,有了下面的对话:

小不点:李大爷,我想找班主任查一下小明的电话号码行吗?(DNS查询)

李大爷:好,你等着。(接着李大爷给你的班主任挂了一个电话,问清楚了小明的电话)问到了,他家的号码是211.99.99.99(小明家的IP地址)

============================

 

在日常的校园 网维护中,管理数百台机器的IP地址是比较令人头疼的一件事。现实情况一,校园网的Internet的连接采用代理服务器或路由器模式,为保证各工作站能 正常访问Internet,必须在每个客户端添加网关设置;情况二,学校的校园网发布,一般都分为对内版和对外版,考虑到校内老师访问的方便,需提供校内 域名解析(例如我们学校对内使用www.fnzx.edu,对外www.fnzx.com),因此要在每个客户端添加校内DNS服务器设置。

  问题的提出

  一次性为每个客户机添加网关和DNS解析地址并不难。但问题是,提供服务的各服务器地址不能变。否则因故要调整网关或校内DNS解析地址,工作量可想而知。

  那能不能把这些所有的服务固化在一台机器上呢?实际上,我们平时使用的DHCP(动态主机配置协议)服务本身就有客户机网关配置和DNS服务指向功能。而我们平时只注意到DHCP动态地址分配功能,而把其他服务忽视了。

  如果您以前一直没有使用DHCP,现在准备使用,那么在具体新建作用域的过程中,会提示您是否配置有关路由、DNS、WINS等服务,这里就不 再多讲。下面,笔者就已在校园网中使用DHCP服务但没有设置它的网关和DNS解析指向这种情况,讲述如何借助DHCP服务器来解决以上问题。

  解决方法

  在校园网中有一台运行正常的DHCP服务器,其地址为172.18.1.1,各客户机器采用动态分配地址,并且整个网络状态良好。现在要求以代 理模式实现各客户机与Internet互联以及提供学校内部DNS解析。以我们学校为例,代理服务器地址为172.18.1.254,DNS服务器地址为 172.18.1.1,与DHCP相同。

  1、打开DHCP管理器。选“开始→程序→管理工具→DHCP”。默认情况下,里面已经有了一直在使用的服务器,比如“Centerserver.fnzx.edu”。如图所示。

   

  2、在以上对话框中的左窗格内,用鼠标右键单击“作用域选项”,从弹出的快捷菜单中选择“配置选项”,出现“作用域选项”对话框。在对话框中,我们会发现有几个可用选项,其中“003路由器”和“006DNS服务器”就是需要我们设置的。

   

  3、路由器和DNS属性要分别设置,方法:先用鼠标勾选路由器前的单选框出现图中所示的对话框。此时,要在对话框数据输入部分填写上代理服务器 信息。可以填服务器主机名或IP地址。在本例中为172.18.1.254,输入地址后,点击右边的[添加]按钮,再点击[确定]则可完成DHCP捆绑网 关地址的过程。

4、同上,我们可以完成DHCP捆绑DNS解析。如下图所示,本例中DNS地址为172.18.1.1。

   

5、到此所有的设置都已经完成。这时,我们再打开DHCP管理器,在左窗格内用鼠标单击“作用域选项”。此时,我们会在右窗格中观察到如图所示的画面,它表示此时的DHCP服务器已经捆绑了路由网关地址和DNS服务。

  到此为止,上述所需的设置已经完成。此时的DHCP服务器不仅提供动态地址分配服务,而且还捆绑了代理网关设置和DNS服务。这样,校园网内的 其他客户机,在具体网络属性设置时,只要把“TCP/IP协议”设置成“自动获得IP地址”就可享受到所有的网络服务。如果代理地址或DNS服务有变,我 们只要在DHCP服务器上重新设置一下就可轻松搞定。

[an error occurred while processing this directive]

Click here to find out more!

软件频道  DHCP  最新报道