着一个DNS欺骗工具?

着一个DNS欺骗工具?,第1张

DNS欺骗可以用来上BBS隐藏ip,但其作用远远不止这些。

【简述】

熟悉网络的人都知道,当客户向一台服务器请求服务时,服务器方一般会 根

据客户的ip反向解析出该ip对应的域名。这种反向域名解析就是一个查DNS(Domain

Name Service)的过程。

如果客户的ip对应有域名,那么DNS查询会返回其域名。服务器端得到这一机

器名后会将其记录下来并传递给应用程序,于是我们可以看到有人上bbs来自

argo.zsu.edu.cn,其实她来自202.116.64.6--“逸 仙 时 空” BBS。细心的人会

发现BBS上显示ip的栏是有长度局限的,因此若客户机的域名足够长便可隐藏住自

己机器名,如parallelcomput其实是parallelcomputing.xx.xxx.xxx.xx。这便是

隐藏ip的方法之一,此法要和网管比较熟或者咱自己就是DNS网管。

但是您和您的网管熟吗?反正偶不熟。

让我们换个思路:如果服务器在进行DNS查询时能够人为地给它我们自己的应

答信息结果会怎样呢?答案显然不用我说了,这就是著名的DNS欺骗(

dnsspoofing)。说实话,DNS欺骗威力巨大,把它用来在BBS上隐藏ip实在是杀鸡

用牛刀。

【详述】

现有的大多数DNS服务实现存在两个比较“好”的性质。

其一为当DNS服务器收到一合法的DNS应答信息时它会接受这一返回包中的所有

信息,并存入CACHE。举一个例子:在10.10.1.2的用户要TELNET到100.100.100.

100上,100.100.100.100使用的DNS为100.100.100.200。三次握手后100.

100.100.100会向100.100.100.200发一PTR类型的DNS查询(由IP查主机名):

100.100.100.100 ->100.100.100.200 [Query]

NQY: 1 NAN: 0 NNS: 0 NAD: 0

QY: 2.1.10.10.in-addr.arpa PTR

而100.100.100.200并没有关于用户IP对应域的信息。它首先根据DNS协议极其

配置查找出10.10.1.2的授权DNS服务器--10.10.1.5。然后向其发出查询包:

100.100.100.200 ->10.10.1.5 [Query]

NQY: 1 NAN: 0 NNS: 0 NAD: 0

QY: 2.1.10.10.in-addr.arpa PTR

这里隐蔽了iterative与recursive两种方式的区别,一般的DNS设置为

iterative,recursive为可选。详见rfc1034。

10.10.1.5收到该查询信息后便可返回10.10.1.2对应的域名:

10.10.1.5 ->100.100.100.200 [Answer]

NQY: 1 NAN: 2 NNS: 1 NAD: 1

QY: 2.1.10.10.in-addr.arpa PTR

AN: 2.1.10.10.in-addr.arpa PTR client.host.com

AN: client.host.com A 10.10.1.2

NS: 1.10.10.in-addr.arpa NS ns.host.com

AD: ns.host.com A 10.10.1.5

返回的包中给出了10.10.1.2对应的域名为client.host.com,并指出client.

host.com对应的IP为10.10.1.2(请注意这两个对应的是不同的概念!)。如果这

个返回包能由我们给出,岂不是爽呆了!

那么怎么做呢?可以控制住你的DNS,然后你想设成什么就是什么。但是太暴

力了,偶不推荐这种方式 。还有更温和的方法--如果局域网内有DNS服务器,那么

可以通过监听、响应的方法实现DNS欺骗。

即先sniff传到局域网来的DNS查询包,然后代替本网段的DNS服务器给出应答

信息。

但是本网段的DNS服务器也会同时给出应答信息,这样我们构造的包与它的包

会有冲突,通常是我们的慢 。这样的DNS欺骗是不成功的。

为了获得稳定的DNS欺骗的效果,这就涉及到DNS实现的第二个“好”的性质:

当DNS服务器发查询包时,它在包内设有一query id,answer只有queryid及

ip都对上时才能为服务器所接受。而这一id每次加一,所以可以通过第一次向要欺

骗的DNS SERVER发一个查询并监听到该id值,随后再发一查询,紧接着马上send我

们构造好的应答包,包内的query id为预测的query id值(可以指定一个范围,比

如从previous_id+1到previous_id+100)。

接上例,如10.10.1.2的用户要欺骗100.100.100.100,他可以对100.100.

100.200进行欺骗: 11.11.11.11 ->100.100.100.200 [Query]

NQY: 1 NAN: 0 NNS: 0 NAD: 0

QY: 12345.host.com A

由于host.com的域名由10.10.1.5控制,100.100.100.200向10.10.1.5发查询

包: 100.100.100.200 ->10.10.1.5 [Query]

NQY: 1 NAN: 0 NNS: 0 NAD: 0 QID: 2345

QY: 12345.host.com A

10.10.1.2的用户可以监听到给包,得到QID: 2345。然后再向100.100.100.200发

第二次查询: 11.11.11.11 ->100.100.100.200 [Query]

NQY: 1 NAN: 0 NNS: 0 NAD: 0

QY: 67890.host.com A

紧接着发带预测QID的应答包:

10.10.1.5 ->100.100.100.200 [Answer]

NQY: 1 NAN: 0 NNS: 0 NAD: 0 QID: 2346

QY: 2.1.10.10.in-addr.arpa PTR

AN: 2.1.10.10.in-addr.arpa PTR you.want.name

you.want.name就是用户自己指定的域名。注意发这个包时应该用10.10.1.5这一

IP地址,且query id为2346=2345+1。

大功告成!

【后记】

如果您对DNS不熟甚至根本不知其为何物那么请您先参考有关DNS的文档.

Adobe Acrobat DC是一款办公常用软件,且受到很多人的喜欢,虽然它具有强大的PDF编辑功能,但是该软件也会出现闪退的现象,具体原因不明。下面将介绍方法解决这个问题。

工具/材料

电脑、Adobe Acrobat DC

01

02

03

04

05

06

07

操作方法

01

首先,闪退时它具有比较明显的征兆,在闪退前无法动鼠标,甚至是加载不出来内容而停止工作。

02

打开卸载软件的地方并找到该软件。

03

如果有修复功能则点击修复功能,因为有的软件没有将修复功能集成在卸载之中。

04

启动修复以后继续点击“下一步”。

05

修复和修改两者都可以使用,选择其一即可。

06

以修改作为示范,点击进行安装即可,也就是该软件重新安装了一遍。

07

启动以后重新打开基本就没有闪退现象了。

闪退的原因是联机版权校验问题,更多深层次的原理这里不做过多讨论,本文主要讲解如何避免闪退。既然原因找到了,就可以从以下方面着手进行处理:阻拦该软件进行联网校验即可。办法很多,这里提供两种稍微容易操作的方法进行说明(本文所说方法在Win10 X64系统中已经过测试和证实):

一、域名欺骗,添加伪造的host解析条目

Acrobat校验的域名为:acroipm.adobe.com,因此只要将该域名定位到一个假的IP地址即可。最简单的办法就是在host文件中添加条目:

127.0.0.1 acroipm.adobe.com

具体步骤如下:

打开以下路径:C:\Windows\System32\drivers\etc,这里的C指的系统盘,用户可根据自己实际情况调整。在该目录下找到一个名为hosts的无后缀文件,右击-》打开方式-》选择“记事本”或者“写字板”打开都可以-》添加host条目“127.0.0.1 acroipm.adobe.com”,保存即可。

二、阻断Acrobat主程序联网

这里使用windows自带防火墙进行阻断。具体操作步骤如下:

开始-》设置-》更新与安全,打开更新与安全设置,如下2图所示

在打开的更新与安全设置界面,点击左侧导览栏中的“Windows安全中心”,然后选择右侧的“防火墙与网络保护”

在打开的“防火墙与网络保护”界面,选择“高级设置”,如下图所示:

在“Windows Defender防火墙”的高级设置界面,选择“出站设置”-》然后点击右侧的“新建规则”,创建出站规则(也可以选择菜单栏上的“操作”-》新建规则),如下图所示:

在弹出的新建规则向导界面中,选择要创建的规则类型为“程序”,然后下一步:

这里选择指定的程序路径,找到Acrobat安装目录下的软件主程序执行文件“Acrobat.exe”,添加到这里,我的系统为Win10 X64,Acrobat程序默认安装到C盘的情况下,路径为:C:\Program Files (x86)\Adobe\Acrobat 11.0\Acrobat,

用户可根据自己操作系统和软件安装路径,浏览到该文件后,点击下一步,如下图所示:

在操作类型界面,选择“组织连接”,然后点击下一步,如下图所示:

在选择何时应用规则界面,选择所有的场景,并点击下一步,如下图所示:

在命名界面,选择输入出站规则的名称和描述,可以任意填写,然后点击完成即可。如下图所示:

完成后,在出站规则中可以看到刚刚创建的出站规则如下:

需要注意的是,本方法的前提是要保障Windows Defender防火墙对三个应用区域都已经启用。


欢迎分享,转载请注明来源:夏雨云

原文地址:https://www.xiayuyun.com/zonghe/67973.html

(0)
打赏 微信扫一扫微信扫一扫 支付宝扫一扫支付宝扫一扫
上一篇 2023-03-01
下一篇2023-03-01

发表评论

登录后才能评论

评论列表(0条)

    保存