轉載鏈接:http://beacon.blog.51cto.com/442731/134211
原文題目:DNS Pharming Attacks Using Rogue DHCP
原文作者:Elia Florio
譯文如下
按照Dan Kaminsky對DNS不安全性的研究,我們可以看到***者與DNS服務器之間爲了網絡連接進行的爭奪,對於***者而言只是爭奪也是不夠的。
DHCP一直以來都是一個被廣泛使用的網絡協議—它用來在局域網絡中自動分配IP地址。當你在家或者辦公室裏把便攜式電腦連接到無線網絡中時,DHCP服務器將爲你的機器分配一個IP地址而且將提供所有重要的參數比如網關和DNS服務器的IP地址。雖然DHCP對於最終用戶來說是一個簡單、透明並且高效的協議,但是它卻存在着安全隱患。對DHCP沒什麼好說的,因爲衆所周知它的確在認證方面存在缺陷。Wikipedia已經對一般的DHCP***有了一個非常好的說明。
“DHCP在網絡安全方面還存在嚴重漏洞時就已經被標準化了,這使得基本的DHCP協議沒有包括安全特性,它脆弱到面臨兩種潛在的***類型: (1)未經授權的DHCP服務器(2)未經授權的DHCP客戶端……”
“未授權的DHCP服務器”***是這篇博客的主要議題,一個真實(糟糕)的消息是今天我們發現這種***正在被頻繁的使用在惡意代碼之中,它們以篡改同一個局域網中的其他機器的DNS配置爲目的。這種惡意代碼叫做Trojan.Flush.M。
這種代碼的思想很簡單但卻具有威脅:***被安裝在被感染的機器上,並在局域網中運行DHCP服務。當其他機器請求一個新的IP地址時,該服務僞造DHCP數據包應答。如果幸運的話,***搶在真正的DHCP服務器之前發出DHCP數據包,那它將修改其他計算機的網絡配置。這種***的基本原理也在Wikipedia的文章中有說明。
![]()
上面網絡嗅探工具詳細的顯示了一臺被Trojan.Flush.M感染的機器(地址 192.168.91.129)到底對所在的網絡有何影響。當一臺正常的機器(地址 192.168.91.132)在更新它的IP地址(例如在Windows系統中使用ipconfig /release 和 ipconfig /renew)時,它發送一個DHCP釋放數據包然後嘗試尋找DHCP服務器以便獲得新的網絡配置。請求得到的配置將包括所有重要的信息,任何設備(PC, Mac, Smartphone等)都需要這些配置來接入Internet,這些信息中尤爲重要的是DNS服務器的地址。
在一個正常的網絡中我們應該看到只有合法的DHCP服務器(192.168.91.254)向請求端發送DHCP OFFER包,如上圖第7行所示。然而感染***的機器搶先發出另一個DHCP OFFER數據包(第3行),圖標中接下來的部分清晰地說明了在網絡中發生的這一切:
![]()
![]()
感染***的機器發出的數據包首先到達DHCP客戶端;因此,它取代了真實的DHCP服務器並且最終分配給客戶端如下所示的IP配置信息:
很明顯,受感染機器已經分配給這個正常的機器192.168.91.132(正常並且沒有受到任何威脅被感染)IP配置,現在配置中包含着一些熟知的流氓DNS服務器地址:85.255.112.36 和 85.255.112.41。
按照這些DNS服務器的解析進行的Internet訪問只能出現非常糟糕的結果,這樣的結果大部分都與DNS “changer Trojans” 相關,它包括了Zlob和Mac OS X。一旦DNS服務器被修改,***者可以把你的計算機重定向到任何的惡意網站或者釣魚網站(例如,你輸入[url]www.symantec.com[/url] 而你的計算機卻訪問“6.6.6.6”這個主機)。
下面是關於DNS網絡欺騙***的幾點說明:
• 一臺中***的機器將威脅到同一網絡中其他正常機器,影響它們的DNS配置。
• 對於正常的機器識別自己的DNS服務器是否合法是非常困難的(例子中的DHCP服務器有效的並且沒有被感染)
• 機器上的註冊表選項和配置文件並沒有被修改—***信任網絡協議
• 這些惡意的DHCP數據包將侵襲受影響的網絡中任何設備,所以甚至是一個smartphone或者Mac都可能接受到僞造的配置然後開始使用流氓DNS服務器。
既然這是一場合法DHCP服務器和受感染機器之間的競爭,那競爭的結果取決於運氣和速度。我們注意到***並不是每次都得手,當DHCP數據包先被接收到時一切就會正常運行。
爲了發現這樣的***,管理員應該掃描那些來自於非DHCP服務器僞造DHCP offer數據包。最後一點,應該記錄可能會發生的***或者是在ISC SANS工作的朋友的建議,網絡管理員應該監控或者禁止85.255.112.0 – 85.255.127.255的網絡流量。