网络安全 频道

让旁注见鬼去吧 巧绑域名防范whois查询

注:本文已在《非安全 黒客手册》发表

自从whois技术公布以后,旁注攻击已经成为黑客十分常用的一个攻击手段。防范旁注攻击,除了配置好目录权限外,我们其实还可以在whois查询时就将黑客堵住。
我们先来分析一下whois查询的原理,我们现在使用的DNS域名其实都是需要统一向总部位于美国的国际域名组织进行注册的,而国际域名组织为了方便管理等原因,将域名的信息放到了whois查询系统中,这样,我们只要使用whois就能查出某域名解析的IP是什么了,得到解析的IP后,我们可以继续通过whois的查询功能,在域名的记录里寻找到所有解析到这个IP的域名信息,这样我们利用whois查询的目的也就达到了。
从整个whois查询的过程中我们可以看出,一旦whois查出某域名所解析的IP是什么,要阻止它继续查询IP上绑定的其它域名似乎有点困难。那么,我们就从whois查询域名所解析的IP处入手就阻止它查询吧。当然这里的阻止并不是要对whois主机进行攻击,而且这也不太现实。其实,whois查询到的域名解析IP地址就是我们在域名管理的A记录中填写的IP地址。所以,我们只须在域名管理的A记录中填上一个错误的解析地址,这样whois查询到的地址也就自然是错误的了。
有人也许会说:“你在A记录中填写了一个错误的IP,这样whois是查不了,但域名也无法正常解析啊。”这里就是本文重点讲的内容了。其实,我们只须在A记录中动点手脚,就可以使域名正常解析了。下面我们还是来看看DNS解析的一般流程吧,一般地,我们在这浏览器中输入一个域名后,浏览器的查询顺序是:本机记录→本地域名服务器→……→下一个域名服务器→解析网站或错误信息。一般地,如果我们按正常方法设置A记录的话,浏览器会顺利解析到网站,现在我们假设我们的域名由“下一个域名服务器”解析到网站的,浏览器在“下一个域名服务器”中找到了相关的记录,就会按记录中的IP去访问网站,而如果我们绑定的IP是错误的,即在解析到的IP中没有绑定这个域名(通俗点读就是服务器的IIS中并未绑定这个域名),浏览器会有什么动作呢?这里我们可以想象一个如果我们在图书馆中按目录找一本书却找不到会作何感相,当然是怀疑自己的看错目录了!不错,浏览器也会怀疑自己在原来的域名服务器上检索到的信息是错误的,这时,它就会返回“下一个域名服务器”重新检查,好,我们现在就可以利用这一点,使我们的网站正常访问了,只要我们错误的域名解析后再新增一个一模一样的域名,解析到正确的IP就可以了。
一个域名可以绑定多个IP吗?行不行我们试试就知道了,下面就要把1.XXX.net绑定到×.×.×.1,为了隐藏我这个IP,我先在A记录中增加一个域名1.XXX.net解析到×.×.×.2这个IP中(如图1),×.×.×.2那肯定没有绑上我的域名,所以同在用1.XXX.net是肯定询问不了我的网站的,下面,我们再新增一个域名,还是1.XXX.net,但这次是解析到正确的×.×.×.1,怎么样,一个域名绑了两个IP吧(如图2),下面我们来看看这个“双IP”的域名能否正确解析,在浏览器中输入1.XXX.net,似乎有点慢,但过了一分钟左右就正常解析出来,因为是要多了一个解析环节,慢是理所当然的了,但只要首次成功解析以后,解析的速度就正常了,因为这时已经将域名信息下载到了本机,直接在本机解析就可以了,下面我们再来看whois查询,拿出老兵的虚拟站点查询工具,输入1.XXX.net,怎么样,查到的IP是×.×.×.2吧(图3),我们再试试ping 1.XXX.net,得到的也是×.×.×.2这个IP(图4)。其实,像网易等许多网站都是用类似的方法捆绑域名的,只不过他们捆绑的都是正确的IP,以便询问量过大时能自动分流。
使用这个方法一定要注意,要先在A记录中设置错误的解析地址,然后再添加正确的解析。因为无论是whois查询还是ping都是按顺序查出域名对应的IP的。另外,那个错误的IP地址最好设成一台不开有web服务的主机,不然该机的IIS可能会帮你直接转到它默认的主站去的。
当然,使用这个方法也不是就能完全避免网站IP被查到,正如上文所说,成功解析后域名信息完全已经下载到了本机中,我们只须查看本机的相关文件即可得知网站的真实IP(写到这里我忽然有一个想法,就是如果某人入侵了某个域名服务器(这也是常有的事),他能不能把病毒木马域名信息捆绑在一起呢?这们一来,只要我们通过那个服务器去解析的域名就会把木马一起下载下来,那可真是肉鸡多多了,汗)。另外,我们还可以通过在ping后加参数,就可以得出某域名所捆绑的所有IP了。我们也还可以通过一些类似显IP浏览器的工具直接得到某站的IP。但这样绑定域名对防菜鸟whois查询而言是足够的了,如果再加上对目录权限的控制,旁注攻击可谓是彻底地死亡了。
附件为相关图片
attachments/200506/10_170057_1.gif

attachments/200506/10_170107_2.gif

attachments/200506/10_170113_3.gif

attachments/200506/10_170117_4.gif

 

http://netadmin.77169.com/HTML/20050611031128.html

0
相关文章