您现在的位置: 首 页 >> SCI论文 >> 一种基于DNAT技术的DNS重定向改进文案

一种基于DNAT技术的DNS重定向改进文案

作者:建筑设计
出处:www.lunrr.com
时间:2019-10-03

引言

随着用户越来越关注自己的信息安全和网络终端的处理能力,越来越多的网站和移动应用程序开始使用SSL/TLS和其他加密的通信协议来保护其全部或部分通信数据。加密通信协议的应用可以有效地防止基于被动嗅探技术的监视,为普通用户提供隐私数据保护,也为某些非法分子逃避相关部门审查提供了温床。要查看SSL/TLS等加密流量,必须使用主动嗅探。何龙涛等。在研究基于协议欺骗的主动嗅探[1]时,指出协议欺骗实际上是攻击者故意破坏网络访问过程中存在的映射关系,并且可以根据破坏的映射关系将其用于主动嗅探。探索的协议欺骗技术分为四类: ARP欺骗,路由欺骗,DNS欺骗和应用程序层欺骗。其中,ARP欺骗和路由欺骗仅适用于同一局域网中的主动嗅探,应用层欺骗不能用于嗅探加密的传输协议。这些技术有一定的局限性。因此,出于通用性考虑,DNS欺骗通常用于实现数据流重定向,也称为DNS重定向。在分析现有DNS重定向技术及其缺点的基础上,提出了一种基于DNAT技术的DNS重定向改进方案。

1 DNS重定向技术的原理和缺陷分析根据欺诈的不同基础,DNS欺骗可分为:(1)。攻击应该成功,具体取决于DNS服务器。攻击者可以利用此漏洞来非法控制DNS服务器,然后直接操纵域名数据库将与特定域名对应的IP地址修改为其自己的指定IP地址,以便所有使用DNS服务器的客户端都特定于查询。获取域名后,即可获取攻击者伪造的IP地址。在某些文献中,这种攻击也被直观地称为DNS服务器危害[2]。 (2)序列号攻击的成功取决于身份验证机制中DNS协议本身的缺点。嗅探到特定域名的DNS查询请求数据包后,只要攻击者在正常响应之前返回查询,就可以轻松地根据其查询ID伪造DNS响应数据包并填写其自身指定的IP地址。 DNS客户端可以使客户端的DNS缓存中的特定域名与攻击者的伪造IP地址相对应。

在某些文献中,此类序列号攻击也称为DNS ID欺骗。如果无法嗅探DNS查询请求数据包,也可以通过一种称为DNS缓存中毒的技术来实施扩展的序列号攻击。如前所述,DNS重定向是一种基于DNS欺骗的网络流量重定向技术。不论上述形式如何,DNS欺骗完成后,现有的中间人监控系统在实现DNS重定向时,均用监控主机的IP地址替换特定域名对应的真实IP地址,从而使被监控的所有主机发送给域名的数据包将被发送到监视主机,而不是具有该域名的真实服务器。效果如图1所示。

图1改进的DNS重定向技术的效果。图1未经改进的DNS重定向的影响在将数据流直接重定向到监视主机IP地址的实现中存在两个主要缺陷。一个将监视主机的IP地址。直接暴露出来,如果被监视的犯罪分子具有足够的安全意识和技术,则更容易通过实际访问IP地址甚至是被监视主机的防入侵监视主机来检测异常。第二是监视系统只能在一个操作中监视一个域名的加密通信。

因为如果将两个或多个域名的加密流量同时重定向到一个监视主机,则由于目标地址是监视主机的IP地址,因此监视主机无法根据四元数信息来区分接收到的加密流量。哪个域名无法完成常规的代理转发功能。

2对dns重定向技术的改进2.1nat和dnatnat(网络地址转换)是ietf于1994年提出的标准。它最初是为了缓解当时已经严重的IP问题。解决短缺问题。在转换过程中,如果数据包中的源ip地址和源端口被转换,则称为snat(源网络地址转换);否则,如果它是数据包中的目标ip地址。与目标端口的转换称为dnat(目标网络地址转换)。通过snat,intranet上的多个主机可以共享一个ip地址来访问internet或ip欺骗。通过dnat,外部主机可以访问intranet主机提供的服务,或者重定向和透明地传输数据。代理。其中,DNAT的原理如图2所示。2。2基于dnat的dns重定向改进方案描述在前面分析的基础上,结合dnat技术,针对现有的dns重定向实现提出了一种改进方案。此解决方案不需要DNS欺骗。主要改进了以下三点。 1)将特定域名的实际IP地址更改为无法访问的地址,以隐藏监视主机的IP地址并增强监视行为。监控系统的隐蔽性和安全性。

(2)将不同域名的真实IP地址更改为不同的不可达地址,以区分发送给不同域名的加密流量,从而使监视主机可以同时监视多个域名的通信并分别进行处理。 3)为了使监控主机能够基于系统协议栈处理目的地址不可达的数据包,在接收到数据包后,在协议栈移交之前增加目的地址转换的处理流程。为了防止本文讨论的技术被犯罪分子滥用,在讨论以下DNS重定向改进程序流程之前,本文将首先对讨论的背景和范围进行一些限制。改进解决方案的用户应具有要监视的特定网络。行政权利。

例如,用户具有对受监视网络的DNS服务器的管理权限,并且可以直接修改DNS服务器的域名数据库记录。例如,如果用户具有网络设备和线路的管理权限,则可以在骨干网络上使用光分离器,并可以使用路由器。网络设备(如交换机)的镜像端口。基于此,在不失去一般性的前提下,本文假定监视主机已连接到被监视网络上网络设备的镜像端口,并且所使用的欺骗技术是DNS ID欺骗。改进后的解决方案的流程描述如下: 1)监视主机预先收集一个批IP地址,这些IP地址经测试无法访问,以下称为虚拟地址。 2)对于所有被监控域名,监控主机需要在域名和虚拟地址之间建立静态映射表,并记录为表A;在虚拟地址和连接处理参数之间建立静态映射表,并将其记录为表。 B. 3)监控主机嗅探到被监控域名的查询请求后,通过根据域名查询域名获得对应的虚拟地址,并将该虚拟地址填充到伪造的DNS响应报文中,并返回给受监视的客户端。 (4)由于认证机制的缺陷,被监控客户端信任响应报文,并在域名和虚拟地址之间建立了错误的映射关系。

5)被监控客户端将被监控域名的连接请求发送到虚拟地址。由于使用默认路由,因此该请求将通过上层链路交换机一直发送到受监视网络的网关和上级路由器,但毕竟虚拟地址不可访问。在转发过程中,TTL将耗尽请求。因为被丢弃。 6)监视主机可以通过嗅探连接到被监视网络的网络设备的镜像端口来获取被监视网络的所有上游数据的副本。找到虚拟地址的连接请求后,首先将连接请求的四元数信息(源IP,源端口,目标IP和目标端口)存储到动态表中,并将其记录为表C。在处理过程中,它将请求的目标IP(虚拟地址)和目标端口(真实端口)更改为监视。主机代理侦听IP和侦听端口,最后将请求转发给代理。 7)代理首先根据处理后的连接的源IP和源端口,查询DNA T处理前表C中的虚拟地址和真实端口,然后根据该虚拟地址查询表B中的相应处理参数。结合实际端口和连接处理参数,代理可以完成连接的处理。现在。与图1相似,改进后的方案的效果如图3所示。

图33 Linux实现3.1 netfilter/iptablesnetfilter/iptables的改进是2。4。linux内核的x和更高版本附带了防火墙系统[7],它相对独立于netfilter和ipt ables组件的组成。(1)netfilter组件它在内核空间工作,是linux内核的一部分。它定义并存储四个内置表(raw、mangle、nat、filter)和五个内置链(prerouting、input、forward、output和postrouting)。其中,表是根据数据包的操作类型来区分的,一个表是实现一种功能的所有规则的集合;链不是根据所附的钩点来区分的,一个链在某个钩点(钩)连接点上,是一个表引用的规则集合。表和链实际上是netfilter的两个不同维度。所有四个和五个链接都是内核用来控制包过滤的完整规则集。(2)iptables组件在用户空间中工作,本质上是一个编辑

4结论

基于DNAT技术,本文对主动嗅探中常用的DNS重定向技术进行了改进。本文提出并实施的改进方案隐藏了监视主机的IP地址,并增强了监视行为的隐蔽性和安全性。另一方面,它还使一个监视主机可以同时监视多个域名。与现有的DNS重定向技术相比,具有更大的优势。实现本文提出的改进解决方案的关键是收集一批IP地址作为虚拟地址。除了是无法访问的地址之外,虚拟地址还必须具有统一且易于识别的功能。本文当前使用手动测试方法来收集虚拟地址,这不是很有效。如何实现有效的虚拟地址收集方法是下一个要解决的主要问题。

最新论文
一种基于DNAT技术的DNS重定向改进文案
会计职业技能竞赛促进实践教学改革分析
交通碳税对我国碳排放、社会福利及税收收入的影响研究
关于优化材料力学教学计划,培养创新人才
环保意识在初中地理教学中的应用研究
环保意识在初中地理教学中的应用研究
小学数学教学中怎样开展德育教育工作
交通碳税对我国碳排放、社会福利及税收收入的影响研究
小学数学教学中怎样开展德育教育工作
关于机械工程设计及其自动化发展趋势探讨
关于中职学校计算机基础课的分层教学探究
交通碳税对我国碳排放、社会福利及税收收入的影响研究
热门论文
浅析怀旧风潮给大学生恋爱观带来的挑战
分析小学二年级数学教学中的核心素养及其培养路径
小学三年级教育中数学教学方法探讨
幼儿园打击乐节奏培养中的方法研究
探讨农村小学数学教师专业转岗发展的提升策略
关于对在华境外非政府组织的分类财务监管
公共管理研究中定量分析方法的地位分析
初中生物教学中学生创新能力的培养路径探究
Trips协议、自由贸易协定知识产权冲突条款的调整探讨
教育学论文答辩流程介绍
分析小学二年级数学教学中的核心素养及其培养路径
小学三年级数学复习现状、问题及对策分析
会计职业技能竞赛促进实践教学改革分析
热门标签
日期归档
2019年10月
2019年09月