本问答内容由G3云推广提供！
您的举报已经提交成功，我们将尽快处理，谢谢！
DNS欺骗攻击的原理就是将被攻击者的主页隐藏起来，换上自己的主页，而并不是大家一直认为的“黑掉”了用户的主页一说。要是在发生DNS欺骗攻击时候，我们有两种方法可...
大家还关注[已解决 - ]
悬赏价格: 无忧币 5
急--请教DNS欺骗攻击解放方法~
今天去了一个客户公司遇到了点麻烦事情请教广大网友们！不多说了切入正题！
公司网络出现问题：
第一、360安全卫士提示（DNS欺骗攻击、IP192.168.1.1 攻击Mac地址00-EB-01-01-39-FD）
第二：访问某些网站提示（反正有危险子类的）不好意思没有记下提示
第三：老是提示系统或者IP冲突
第四：公司网络频繁莫名其妙断线、（网卡状态DNS收发数据包正常、就是不能上网）
小弟是这么做的、大家给点建议看看这样解决行不行、还望给出成功的解决方法。
第一步：公司WAN网是静态IP（DNS欺骗不确定和ISP运营商有没有关系）*.*.*.17和16。
居然16变成15了，我把它改回16，
第二步：动态DHCP我设置成静态IP、无线网络开启并加密
第三步：全部主机安装ARP防火墙、并把360ARP防火墙开启
第四步：我用检测工具，检测到攻击源那台主机，安装杀毒软件，安装ARP防火墙、（这样做我不知道能不能解决问题）
问题补充：internet连接后、输入进入路由器IP提示无法显示网页
最佳答案 ( 回答者:
首先,确认是apr攻击,和你说的dns欺骗没有直接关系,按照ls几位大虾的方法解决,我不再赘述
另外,等该问题彻底解决以后,请将所有客户端360删除,这个东西有等于没有,而且会给你带来更加麻烦的问题,强烈建议卸载
助理工程师&
采纳率1帖&&/&&7%
结帖率1帖&&/&&100%
帖子198&精华&无忧币20 &在线时间44 小时&注册时间&最后登录&DNS欺骗攻击及如何防护
作者：佚名
字体：[ ] 来源：互联网 时间：09-14 10:01:47
本文对以侦听为基础的DNS ID欺骗(DNS ID spoofing)进行了探讨，并提出了相关的防护解决方案。
域名系统(Domain Name System,DNS)是一个将Domain Name和IP Address进行互相映射的Distributed Database。DNS是网络应用的基础设施，它的安全性对于互联网的安全有着举足轻重的影响。但是由于DNS Protocol在自身设计方面存在缺陷，安全保护和认证机制不健全，造成DNS自身存在较多安全隐患，导致其很容易遭受攻击。很多专家就DNS Protocol的安全缺陷提出了很多技术解决方案。例如IETF提出的域名系统安全协议(Domain Name System Security,DNSSEC)，其目标就在于解决这些安全隐患。这个Protocol增加了安全认证项目，增强了Protocol自身的安全功能。但是新增加的安全机制需要占用更多的系统和网络资源，同时要升级Database和System Manggament Software,这些基于DNSSEC协议的软件还不成熟，距离普及应用还有较长时间。目前，常见的措施是定期升级DNS软件和加强相关的安全配置，禁用不安全的端口等。本文对以侦听为基础的DNS ID欺骗(DNS ID spoofing)进行了探讨，并提出了相关的防护解决方案。
一、DNS SERVER的服务工作过程
DNS是一种实现Domain Name和IP Address之间转换的系统，它的工作原理就是在两者间进行相互映射，相当于起到翻译作用，所以称为域名解析系统。DNS System分为Server和Client两部分，Server的通用Port是53。当Client向Server发出解析请求时，Local DNS Server第一步查询自身的Database是否存在需要的内容，如果有则发送应答数据包并给出相应的结果;否则它将向上一层DNS Server查询。如此不断查询，最终直至找到相应的结果或者将查询失败的信息反馈给客户机。如果Local DNS Server查到信息,则先将其保存在本机的高速缓存中，然后再向客户发出应答。日常我们上网是通过Browser方式来申请从Domain Name到IP Address的解析，即Client向DNS Server提交域名翻译申请，希望得到对应的IP Address。这里以笔者所在院校为例,说明DNS的工作原理。
例如Client的Address为10.252.2.16，学校DNS Server为218.30.19.40，从此客户机来访问西安财经学院网站。在地址栏键入学校网站的www.，通过DNS Server查找其对应的IP Address。这个申请从10.252.2.16的一个随机PORT发送出去，由218.30.19.40的53绑定端口接收到此申请并进行翻译，首先在218.30.19.40的高速缓存中查找www.的IP Address，若存在对应的映射关系,就直接将IP Address发送给客户机，若缓存中没有，则218.30.19.40会向上层DNS SERVER查询，最后将查询到的结果先发送到218.30.19.40，最后由218.30.19.40将西安财经学院的IP Address(281.195.32.1)返回给Client 10.252.2.16。这样10.252.2.16就可以和西安财经学院站点建立连接并访问了。
二、DNS欺骗攻击原理
2.1 欺骗原理
Client的DNS查询请求和DNS Server的应答数据包是依靠DNS报文的ID标识来相互对应的。在进行域名解析时，Client首先用特定的ID号向DNS Server发送域名解析数据包，这个ID是随机产生的。DNS Server找到结果后使用此ID给Client发送应答数据包。Client接收到应答包后，将接收到的ID与请求包的ID对比，如果相同则说明接收到的数据包是自己所需要的，如果不同就丢弃此应答包。根据攻击者的查询和应答原理，可使用不同方法实现攻击，如：
(1)因为DNS Message仅使用一个简单的认证码来实施真实性验证，认证码是由Client程序产生并由DNS Server返回结果的，客户机只是使用这个认证码来辨别应答与申请查询是否匹配，这就使得针对ID认证码的攻击威胁成为可能。
(2)在DNS Request Message中可以增加信息，这些信息可以与客户机所申请查询的内容没有必然联系，因此攻击者就能在Request Message中根据自己的目的增加某些虚假的信息，比如增加其它Domain Server的Domain Name及其IP Address。此时Client在受到攻击的Domain Server上的查询申请均被转向此前攻击者在Request Message中增加的虚假Domain Server，由此DNS欺骗得以产生并对网络构成威胁。
(3)当DNS Server接收到Domain Name和IP Address相互映射的数据时，就将其保存在本地的Cache中。若再有Client请求查询此Domain Name对应的IP Address，Domain Server就会从Cache中将映射信息回复给Client，而无需在Database中再次查询。如果黑客将DNS Request Message的存在周期设定较长时间，就可进行长期欺骗。
2.2 DNS欺骗攻击的方式
DNS欺骗技术常见的有内应攻击和序列号攻击两种。内应攻击即黑客在掌控一台DNS Server后,对其Domain Database内容进行更改，将虚假IP Address指定给特定的Domain Name，当Client请求查询这个特定域名的IP时，将得到伪造的IP。
序列号攻击是指伪装的DNS Server在真实的DNS Server之前向客户端发送应答数据报文，该报文中含有的序列号ID与客户端向真实的DNS Server发出请求数据包中含有的ID相同，因此客户端会接收该虚假报文，而丢弃晚到的真实报文，这样DNS ID序列号欺骗成功。客户机得到的虚假报文中提供的域名的IP是攻击者设定的IP，这个IP将把客户带到攻击者指定的站点。
2.3 DNS 序列号欺骗攻击原理
DNS 序列号(ID)欺骗以侦测ID和Port为基础。在Switch构建的网络中，攻击方首先向目标实施ARP欺骗。当Client、攻击者和DNS Server同在一个网络时，攻击流程如下：①攻击方向目标反复发送伪造的ARP Request Message，修改目标机的ARP 缓存内容，同时依靠IP续传使Data经过攻击方再流向目的地;攻击方用Sniffer软件侦测DNS请求包，获取ID序列号和P②攻击方一旦获得ID和Potr，即刻向客户机发送虚假的DNS Request Message，Client接收后验证ID和Potr正确，认为接收了合法的DNS应答;而Client得到的IP可能被转向攻击方诱导的非法站点，从而使Client信息安全受到威胁;③Client再接收DNS Server的Request Message，因落后于虚假的DNS响应，故被Client丢弃。当Client访问攻击者指向的虚假IP时，一次DNS ID欺骗随即完成。
三、DNS欺骗检测和防范思路
3.1 检测思路
发生DNS欺骗时，Client最少会接收到两个以上的应答数据报文，报文中都含有相同的ID序列号，一个是合法的，另一个是伪装的。据此特点，有以下两种检测办法：
(1)被动监听检测。即监听、检测所有DNS的请求和应答报文。通常DNS Server对一个请求查询仅仅发送一个应答数据报文(即使一个域名和多个IP有映射关系，此时多个关系在一个报文中回答)。因此在限定的时间段内一个请求如果会收到两个或以上的响应数据报文，则被怀疑遭受了DNS欺骗。
(2)主动试探检测。即主动发送验证包去检查是否有DNS欺骗存在。通常发送验证数据包接收不到应答，然而黑客为了在合法应答包抵达客户机之前就将欺骗信息发送给客户，所以不会对DNS Server的IP合法性校验，继续实施欺骗。若收到应答包，则说明受到了欺骗攻击。
3.2 防范思路
在侦测到网络中可能有DNS欺骗攻击后，防范措施有：①在客户端直接使用IP Address访问重要的站点，从而避免DNS欺骗; ②对DNS Server和Client的数据流进行加密，Server端可以使用SSH加密协议，Client端使用PGP软件实施数据加密。
对于常见的ID序列号欺骗攻击，采用专业软件在网络中进行监听检查，在较短时间内，客户端如果接收到两个以上的应答数据包，则说明可能存在DNS欺骗攻击，将后到的合法包发送到DNS Server并对DNS数据进行修改，这样下次查询申请时就会得到正确结果。
四、DNS防护方案
4.1 进行IP地址和MAC地址的绑定
(1)预防ARP欺骗攻击。因为DNS攻击的欺骗行为要以ARP欺骗作为开端，所以如果能有效防范或避免ARP欺骗，也就使得DNS ID欺骗攻击无从下手。例如可以通过将Gateway Router 的Ip Address和MAC Address静态绑定在一起，就可以防范ARP攻击欺骗。
(2)DNS信息绑定。DNS欺骗攻击是利用变更或者伪装成DNS Server的IP Address，因此也可以使用MAC Address和IP Address静态绑定来防御DNS欺骗的发生。由于每个Network Card的MAC Address具有唯一性质，所以可以把DNS Server的MAC Address与其IP Address绑定，然后此绑定信息存储在客户机网卡的Eprom中。当客户机每次向DNS Server发出查询申请后，就会检测DNS Server响应的应答数据包中的MAC Address是否与Eprom存储器中的MAC Address相同，要是不同，则很有可能该网络中的DNS Server受到DNS欺骗攻击。这种方法有一定的不足，因为如果局域网内部的客户主机也保存了DNS Server的MAC Address，仍然可以利用MAC Address进行伪装欺骗攻击。
4.2 使用Digital Password进行辨别
在不同子网的文件数据传输中，为预防窃取或篡改信息事件的发生，可以使用任务数字签名(TSIG)技术即在主从Domain Name Server中使用相同的Password和数学模型算法，在数据通信过程中进行辨别和确认。因为有Password进行校验的机制，从而使主从Server的身份地位极难伪装，加强了Domain Name信息传递的安全性。
安全性和可靠性更好的Domain Name Service是使用域名系统的安全协议(Domain Name System Security, DNSSEC))，用Digital Signature的方式对搜索中的信息源进行分辨，对DATA的完整性实施校验，DNSSEC的规范可参考RFC2605。因为在设立Domain时就会产生Password，同时要求上层的Domain Name也必须进行相关的Domain Password Signature，显然这种方法很复杂，所以InterNIC域名管理截至目前尚未使用。然而就技术层次上讲，DNSSEC应该是现今最完善的Domain Name设立和解析的办法，对防范Domain Name欺骗攻击等安全事件是非常有效的。
4.3 优化DNS SERVER的相关项目设置
对于DNS Server的优化可以使得DNS的安全性达到较高的标准，常见的工作有以下几种：①对不同的子网使用物理上分开的Domain Name Server,从而获得DNS功能的冗余;②将外部和内部Domain Name Server从物理上分离开并使用Forwarders转发器。外部Domain Name Server可以进行任何客户机的申请查询，但Forwarders则不能，Forwarders被设置成只能接待内部客户机的申请查询;③采用技术措施限制DNS动态更新;④将区域传送(zone transfer)限制在授权设备上;⑤利用事务签名对区域传送和区域更新进行数字签名;⑥隐藏服务器上的Bind版本;⑦删除运行在DNS服务器上的不必要服务，如FTP、telnet和H⑧在网络外围和DNS服务器上使用防火墙,将访问限制在那些DNS功能需要的端口上。
4.4 直接使用IP地址访问
对个别信息安全等级要求十分严格的WEB站点尽量不要使用DNS进行解析。由于DNS欺骗攻击中不少是针对窃取客户的私密数据而来的，而多数用户访问的站点并不涉及这些隐私信息，因此当访问具有严格保密信息的站点时，可以直接使用IP地址而无需通过DNS解析，这样所有的DNS欺骗攻击可能造成的危害就可以避免了。除此，应该做好DNS Server的安全配置项目和升级DNS软件，合理限定DNS Server进行响应的IP地址区间，关闭DNS Server的递归查询项目等。
4.5 对DNS数据包进行监测
在DNS欺骗攻击中，Client会接收到至少两个DNS的数据响应包，一个是真实的数据包，另一个是攻击数据包。欺骗攻击数据包为了抢在真实应答包之前回复给Client，它的信息数据结构与真实的数据包相比十分简单，只有应答域，而不包括授权域和附加域。因此，可以通过监测DNS响应包，遵循相应的原则和模型算法对这两种响应包进行分辨，从而避免虚假数据包的攻击。
本文对DNS解析及DNS欺骗的原理进行了阐述，对DNS欺骗攻击的方式、检测和防范的思路进行了探讨，最后给出了一些预防DNS欺骗的常见方法。相信这些方案的应用，可以大大提高DNS的安全性和可靠性。但网络的发展和应用日新月异，在实践中还要不断紧跟技术变化的步伐，不断学习和总结才能有效抵御各种新类型的DNS故障。
大家感兴趣的内容
12345678910
最近更新的内容当前位置： >
> AntiARP-DNS(ARP和DNS欺骗攻击的实时监控和防御) V3.90 简体中文版
AntiARP-DNS(ARP和DNS欺骗攻击的实时监控和防御) V3.90 简体中文版
千万用户推荐，无与伦比的体验感，不要犹豫即刻下载！
软件大小：342.84 KB 软件语言：简体中文
软件类别：
软件官网： 软件授权：共享版
应用平台：winall
病毒检测：
用户评分：88.00
相关合集：
相关热搜：
在你的校园网内，你的网络是否经常掉线？是否经常访问不了网页或很慢？是否经常发生IP冲突？ 你的网络速度是否受到网管软件限制？（目前常见的ARP攻击软件有：聚生网管、P2P终结者、网络执法官、网络剪刀手、局域网终结者 ...等等...）
以上的问题都属于ARP的欺骗攻击。在没有ARP欺骗攻击之前，数据流向为：网关本机。ARP欺骗攻击之后，数据流向变为：网关攻击者本机，本机与网关之间的所有通讯数据都将流经攻击者，
所以“任人宰割”就在所难免了。
于是就有了 AntiARP-DNS，嘿嘿。强烈推荐校园网的朋友使用，能有效解决这类问题，效果不错。
历史更新记录：
Ver:3.8.8 完全免费版
1、新增一个安全选项
2、新增一个显示/隐藏窗口的热键
3、增强了稳定性
精品软件推荐
61.4MB/5.15.16.1035
9.7MB/1.0.2.78
18.5M/V11.1.0
95.1M/1.1.1
74.3M/1.0.6
51.5M/v2.2.0.0
62.7MB/10.1
57.4M/v1.2.3
Wireshark网络DNS数据包怎么捕捉...
百度杀毒实时监控怎么打开 百度...
高速下载通道
其他下载通道
备用下载通道
，软件？ 软件下载后？雷达下载小编十二分诚意等待着您的投诉与建议。
软件无法下载
下载后无法使用
与描述不一致
热门关键字【我被别人DNS欺骗了，请问360追踪不到攻击方的真正IP是什么原因？？谢谢啦】-突袭网
10:22:51【 转载互联网】 作者： &&|&责编：李强
&&& &为了解决用户可能碰到关于"我被别人DNS欺骗了，请问360追踪不到攻击方的真正IP是什么原因？？谢谢啦"相关的问题，突袭网经过收集整理为用户提供相关的解决办法，请注意，解决办法仅供参考，不代表本网同意其意见,如有任何问题请与本网联系。"我被别人DNS欺骗了，请问360追踪不到攻击方的真正IP是什么原因？？谢谢啦"相关的详细问题如下:RT,我想知道:我被别人DNS欺骗了，请问360追踪不到攻击方的真正IP是什么原因？？谢谢啦===========突袭网收集的解决方案如下===========
解决方案1：你可以在你的网络里面手工设定一个应该是ARP欺骗，除非你有技术能反向检查数据包。ARP欺骗都是用伪造的地址，欺骗给你一个假的DNS地址，分城市和网络运营商的，具体DNS服务器地址上网查吧，有很多，不然你看不到是从哪儿来的解决方案2：谢谢啦
================可能对您有帮助================
答：应该是ARP欺骗，欺骗给你一个假的DNS地址。你可以在你的网络里面手工设定一个，具体DNS服务器地址上网查吧，有很多，分城市和网络运营商的。 ARP欺骗都是用伪造的地址，除非你有技术能反向检查数据包，不然你看不到是从哪儿来的。===========================================问：一直在被人攻击啊，不知道该怎么办`太郁闷了，看了好多都看不懂 虽然有3...答：用的路由器上网吧，别人在攻击你的电脑或者在使用p2p类的软件===========================================问：攻击源IP192 168 11 MAC 00 D0 D0 62 3B 15答：IP地址是 局域网的地址 可以找到对方 这个IP地址应该是网关的地址===========================================问：我的电脑今天早上360卫士提示受到DNS欺骗攻击，开始的时候网超慢，然后...答：DNS欺骗是一种非常复杂的攻击手段。但是它使用起来比IP欺骗要简单一些，所以也比较常见。最近一个利用DNS欺骗进行攻击的案列，是全球著名网络安全销售商RSA Security的网站所遭到的攻击。其实RSA Security网站的主机并没有被入侵，而是RSA的域名...===========================================问：我的360显示什么DNS欺骗攻击。但是拦截住了，网速好像没有太大影响。请...答：DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。 原理：如果可以冒充域名服务器，然后把查询的IP地址设为攻击者的IP地址，这样的话，用户上网就只能看到攻击者的主页，而不是用户想要取得的网站的主页了，这就是DNS欺骗的基本原理。DNS欺骗其...===========================================问：我的360显示什么DNS欺骗攻击。但是拦截住了，网速好像没有太大影响。请...答：您好： 这样的情况一般是您的区域网中的某台电脑中了木马病毒造成的DNS欺骗攻击，建议您使用腾讯电脑管家的闪电杀毒功能对您区域网中的电脑杀毒，然后您可以开启腾讯电脑管家的apk防火墙保护您的电脑免受攻击，您可以点击这里下载最新版的腾讯电...===========================================问：我的360显示什么DNS欺骗攻击。但是拦截住了，网速好像没有太大影响。请...答：LZ,那个并不是楼上所说的什么局域网IP冲突。那个DNS攻击总体的说法是ARP欺骗，是一个远程伪造网关身份来欺骗局域网从而导致网速变慢或不断地断网现象。是一个网络攻击，并不影响电脑安全，只是会影响网速。这样的欺骗攻击在局域网很常见，所以不...===========================================问：我的360显示什么DNS欺骗攻击。但是拦截住了，网速好像没有太大影响。请...答：既然已经拦截了应该就没有问题了。===========================================问：我没有用路由器，是宽带直接上网的，且局域网仅我一人答：如果确定是误报，关掉360的防御就好了，本来就经常抽风的===========================================
12345678910}