这是一个创建于 2557 天前的主题,其中的信息可能已经有所发展或是发生改变。
这是我在网上找到的域名劫持的原理: 1. 背景说明 域名劫持是常见的互联网攻击行为,其攻击原理主要分为如下几种: 攻击者监测用户的 DNS 查询请求,发现有查询申请时,攻击者伪装成 DNS 服务器向发出请求的主机回复伪装的 DNS 响应报文,进而引导用户访问攻击者设定的非法服务器地址; LOCALDNS 服务器 (转自云栖社区)
下面是我的疑惑, 上面的意思是说域名劫持是发生在用户层面的是么,那如何监控用户层面的东西呢, 用户是向 dns 供应商查询的呀。
假设我的网站是 www.test.com ip 113.113.113.113 port 80,现在模拟故障, 本地搭建一个 dns 服务器,添加一条 a 记录 将 www 的主机名指向 113.113.113.114 (这里是另一个网站), 将 dns 指向本地搭建的 dns,那么现在访问 www.test.com 的时候,会跳到 113.113.113.114,这种情况下有得监控么?
 |
1
xss 2017-05-08 16:38:53 +08:00
只要 A 记录的 UDP 包经过你的设备, 就可以监控. 否则无法监控.
|
 |
2
KCheshireCat 2017-05-08 18:23:39 +08:00
你可以在这个测试环境里监测这个环境的劫持情况.
监测用户的环境是不行的. |
Select Language