dns协议端标语 为53（dns协议利用 的端标语 是）〔dns协议端口号为53〕

我们已经相识 过DDoS攻防的原理，探究 过最常见的DNS Request Flood攻击和DNS Reply Flood攻击 。本日 华安给大伙说说缓存投毒。

　　DDoS攻击者的“恶作剧 ”

Lizard Squad ，可算是近来 两年最活泼 的黑客构造 之一了。这个自诩为“DDoS攻击之王”的黑客构造 在已往 一段时间里，但是 没少干坏事。2014年的圣诞节，Lizard Squad乐成 “调戏”了IT巨头微软和索尼，攻陷了PlayStation Network和Xbox在线服务 ，影响了环球 数亿用户上网 。

2015年2月，Lizard Squad又“调戏”了一把越南Google。越南网民在访问Google主页的时间 ，看到的不是Google搜刮 页面 ，而是一个夫君 的自照相 。

根据Google的DNS服务商OpenDNS所述，这名自称Lizard Squad成员的黑客通过将Google的域名服务器(ns1.google.com, ns2.google.com)修改成CloudFlare的IP(173.245.59.108, 173.245.58.166)来重定向访客 。

不外 Google受攻击可不止这一次，2015年4月 ，马来西亚的Google也遭受了黑客攻击。这次攻击和越南那次攻击如出一辙，差别 的是，这次网民访问主页时 ，看到的不是自照相 ，而是下面这个黑底红字的页面。

这些变乱 的发生，着实 都是由于黑客窜改 了域名和IP地点 的映射关系 ，将用户访问的域名指向了其他IP地点 。DNS窜改 大概 发生在各个环节，比如 在客户端侧窜改 、在授权服务器端窜改 ，大概 在缓存服务器端窜改 。本日 我们就来聊聊比力 常见的几种窜改 方式。

　　路由器DNS挟制

黑客利用 路由器的弊端 入侵受害者的路由器，窜改 路由器中设置的DNS服务器的地点 ，将DNS服务器地点 指向恶意的DNS服务器 。这种窜改 对于一个用户来说是最可骇 的，一旦发生了这种环境 ，那么这个用户访问的每一个域名 ，大概 都会被分析 成其他恶意地点 。

之前的TP-Link路由器的挟制 变乱 ，就是黑客构造了一个恶意Web页面，页面的功能是主动 登录路由器并修改DNS地点 。然后 ，黑客再构造一个URL发送给受害者，当受害者点击这个链接的时间 就访问了恶意页面 。攻击要想乐成 的条件 是黑客必须知道TP-link路由器的登录账号和暗码 ，才华 完成恶意Web页面的构造。实际 上 ，大多数人都会利用 TP-link路由器厂商预置的默认暗码 ，以是 这就给了黑客实行 攻击的机遇 ，导致路由器的DNS服务器的IP地点 更改为恶意的IP地点 。

　　▲ 毒了你的路由器 ，让你上网云里雾里

这种挟制 方式不轻易 被发现，受害者只要输入真实域名大概 合法 网站地点 ，黑客就可将其重定向到一个垂纶 网站上。一旦发生了这种环境 ，那么对于受害者来说结果 黑白 常可骇 的 。受害者访问的每一个域名 ，大概 都是假的。他看到的淘宝不再是淘宝，登录的网银也不再是网银，用户的各种敏感信息都会受到严峻 威胁。

对于这种方式 ，最有效 的防御办法就是路由器设置安全系数高的暗码 ，然后定期修改暗码 。别的 ，对于不明链接 ，也不要任意 点击。

　　修改授权服务器

直接在授权服务器上修改域名和IP地点 的映射关系，这是最直接，最暴力的一种方式。这种方式假如 作为攻击的本领 的话 ，必要 黑客通过特别 本领 获取授权服务器的管理员权限，难度系数着实 黑白 常大的 。

固然 ，也有另一种大概 ，就是出于某种特别 目标 ，管理员直接修改授权服务器上的域名和IP地点 映射关系，这种范例 比力 少见，也不是我们能控制的 ，这里就不做具体 先容 。

　　修改缓存服务器

这就是常见的DNS缓存投毒，是一种典范 的DNS攻击，也是我们本日 要讲授 的重点。下面我们就一起来看一下黑客怎样 窜改 缓存服务器 。

　　▲ DNS缓存服务器：“就如许 被你投毒 ”

前面我们也讲过 ，缓存服务器并不知道域名和IP地点 的映射关系，一旦从授权服务器获取了映射关系后，会存储在内存中一段时间 ，直到记录 老化。老化时间由DNS reply报文中的TTL决定。在这个有效 期内假如 再有客户端哀求 这个雷同 域名的分析 ，缓存服务器就会直接用缓存中的IP地点 举行 回应 。老化以后，假如 有客户端再次哀求 这个域名时 ，缓存服务器就会重新向授权服务器哀求 。

缓存投毒攻击就是黑客伪造了恶意的DNS reply报文，导致缓存服务器偶然 中将恶意的域名和IP地点 映射关系存储到本身 的缓存中。当客户端再通过缓存服务器哀求 这个域名分析 时，就会被指向恶意主机。

为了到达 攻击的目标 ，黑客伪造的DNS reply报文的源IP地点 必须是授权服务器的源IP地点 ；目标 端口也必须是缓存服务器的源端口；同时DNS reply报文的Query ID和DNS request报文的Query ID也要同等 。

源IP地点 和目标 端口都很好伪造，但是Query ID伪造乐成 是有肯定 难度的。以是 黑客伪造大量DNS reply报文时，会不绝 变更 Query ID字段。大概 就会有一个Query ID字段掷中 DNS request的Query ID 。一旦先于授权服务器发送给缓存服务器，缓存服务器就会将黑客发送的伪分析 IP地点 作为分析 地点 ，生存 到本地 的缓存表中。

后续当授权服务器再将真正的回应报文发送到缓存服务器时，缓存服务器也不会吸取 ，直接扬弃 。

在DNS缓存服务器中 ，假如 仅仅gh1.ddos.com的分析 地点 是假的，这个着实 也没有多大影响 。毕竟 黑客利用 投毒的这个子域名gh1.ddos.com通常都是不存在的，正常客户端也不会哀求 这个不存在的子域名。

但是我们再细致 看一下下面这个DNS reply报文就会发现 ，蓝框内是对子域名gh1.ddos.com的分析 地点 ，而红框内则是主域名ddos.com地点 的DNS授权服务器和IP地点 的对应关系。授权服务器在答复 缓存服务器哀求 时，也会将这部分 内容一起发送已往 。而缓存服务器不但 仅存储子域名的分析 地点 ，还会将主域名的分析 地点 一并更新到本身 的缓存列表中。

如许 后续再有客户端哀求 这个主域名时，也会一并被指向卖弄 的IP地点 。

对于缓存投毒，Anti-DDoS体系 采取 会话查抄 模式举行 防御 。在防御过程中 ，查抄 DNS reply报文的会话五元组信息（源IP地点 、目标 IP地点 、源端标语 、目标 端标语 、协议），Query ID和域名是否和缓存服务器发出的DNS request报文同等 。

　　▲ Anti-DDoS匹配会话信息，投毒报文被拒之门外

好啦，到本日 为止 ，我们基于DNS类攻击和防御的连载告一段落了。从DNS报文底子 到DNS类攻防原理，再到网络中怎样 利用 DNS底子 办法 架构制造DDoS攻击，各人 是不是有了一个全新的认识 ？

　　点击“阅读原文” ，解密缓存投毒！