我浏览过一个网站,上面说将所有通过 IP 发出请求的客户路由到“死胡同”。该网站声称,通过 IP 访问该网站的客户通常是自动漏洞利用工具和机器人。合法用户通过域名问题输入网址。
考虑到这种情况,我不太明白 DNS 的工作原理。我认为它的工作原理是将 IP 发送回客户端以获取请求的 DNS(如电话簿)。然后客户端使用该 IP 访问网站。上面的信息似乎表明我误解了这一点。有人可以澄清一下吗?
http://technet.microsoft.com/en-us/magazine/2005.01.hackerbasher.aspx
如果我理解它的工作方法,它是这样工作的:
有一个站点,其 IP 为 xxx.xxx.xxx.xxx,域名为 www.somesite.com
我尝试使用 xxx.xxx.xxx.xxx 访问该网站,但什么也没得到,没有任何响应。我很可能是一个机器人或自动化工具试图这样做(从端口 80 上的公共端)我使用 www.somesite.com 访问该网站,它向我显示了该网站。
但是,如果即使查找 DNS 时服务器仍通过其 IP 进行访问,则该方法没有意义,因为服务器只能看到通过 ip 的请求。
答案1
您对 DNS 的理解是正确的。但是,除此之外,您的浏览器还会在 Host: 标头中告诉网站它对特定 IP 上托管的哪个网站感兴趣。
这用于节省 IP 地址;例如如果您:
- 连接到 1.2.3.4 并发送 Host: www.exampleA.com 你将获得网站 A
- 连接到 1.2.3.4 并发送 Host: www.otherexample.com 你将获得网站 B
- 连接到 1.2.3.4 并且不发送主机头,或者发送主机:1.2.3.4,您将获得“默认”网站。
该文章基本上重新配置了默认网站以检测后一种情况并捕获通过 IP 地址扫描的工具。
答案2
该漏洞涉及更改主机文件以将特定的 URL 指向死胡同地址,或者设置本地 DNS 或代理,将流量重新路由到漏洞编写者选择的站点。
如今,许多木马和间谍软件都会安装或启用本地代理服务器,这可以让恶意软件重新路由所有流量,无论是通过 URL 还是 IP 地址。实际上与 DNS 没有任何关系。
同样,DNS劫持也被恶意软件利用了很长时间。DNS的一个问题是,该连接是低权限连接,因此几乎没有任何安全措施可以防止恶意软件对您的DNS进行中间人攻击并替换其选择的地址。
否则,是的,DNS 的工作原理是当您向其发送 URL 时向您发送 IP 地址。
编辑:哦,抱歉,我明白你的意思。不,DNS 返回 IP,它会告诉你要去哪里,但你的浏览器(或其他任何东西)会告诉网站你在哪里思考你要去。当一个 IP 地址通过虚拟主机托管 20 个 URL 时,这是理想的行为。