我正在尝试使用 Pcap 库和 C 代码执行 DNS 攻击。目前我可以: 1. 读取 DNS 查询 2. 根据 DNS 查询,创建 DNS 答案并注入恶意 IP。 3. 将虚假响应注入网络。
在使用 Wireshark 时,我可以看到我的数据包已成功注入网络。然而 IP 地址没有改变,即在 ns 查找时,它说“连接超时;无法访问服务器”。相反,它接受来自 DNS 服务器的实际响应。
知道为什么这不起作用吗?我哪里出错了?
【问题讨论】:
标签: dns
确保交易 ID 匹配。此外,根据客户端,您可能需要欺骗源 IP 地址。 TTL 可能很重要,但如果它很小则无关紧要,即根据 RFC 1035,可以阻止超过 1 周。
另请注意,第一个有效的 DNS 响应是被接受的响应。因此,您需要确保您的回复速度比其他服务器快。
这也可能对http://www.sans.org/reading_room/whitepapers/dns/dns-spoofing-man-middle_1567 有所帮助。
【讨论】:
您生成的数据包可能有问题。您是否更新了所需的标志并设置了正确的部分?并正确复制交易ID? 在创建新答案之前,您可以尝试捕获真实答案并对其进行修改。
作为旁注,我建议在这个练习中使用 Python,编码要简单得多;-)
【讨论】:
首先,确保你可以让你的假服务器响应直接发送给它的数据包,这样它就不必“赢得比赛”就可以先到达。
然后您可以使用简单的dig 命令来确保您实际上符合 DNS 协议规范。
除了这里提到的其他事项外,您还需要确保您的数据包在 IP 层也是一致的。如果您要欺骗响应,则需要确保 IP 校验和字段已正确计算 - 如果不正确,您的数据包可能永远无法到达预期的受害机器的更高级别。
【讨论】: