目录介绍：

• 1、DNS欺骗的方式有哪些
• 2、DNS欺骗攻击和防范方法有哪些
• 3、网关欺骗和DNS欺骗分别是。。。。？
• 4、黑客网络诈骗的途径有哪些？
• 5、Dedecms网站被dns欺骗攻击黑客挂马怎么办

DNS欺骗的方式有哪些

hosts文件篡改

本机DNS劫持

DNS通讯包篡改

SYN Flood，有用采纳

DNS欺骗攻击和防范方法有哪些

一 什么是DNS

DNS 是域名系统 （Domain Name System） 的缩写，该系统用于命名组织到域层次结构中的计算机和网络服务。在Internet上域名与IP地址之间是一一对应的，域名虽然便于人们记忆，但机器之间只能互相认识IP地址，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，DNS就是进行域名解析的服务器。

二 DNS的工作原理

DNS 命名用于 Internet 等 TCP/IP 网络中，通过用户友好的名称查找计算机和服务。当用户在应用程序中输入 DNS 名称时，DNS 服务可以将此名称解析为与之相关的其他信息，如 IP 地址。因为，你在上网时输入的网址，是通过域名解析系解析找到相对应的IP地址，这样才能上网。其实，域名的最终指向是IP。

在IPV4中IP是由32位二进制数组成的，将这32位二进制数分成4组每组8个二进制数，将这8个二进制数转化成十进制数，就是我们看到的IP地址，其范围是在0～255之间。因为，8个二进制数转化为十进制数的最大范围就是0～255。现在已开始试运行、将来必将代替IPV6中，将以128位二进制数表示一个IP地址。

大家都知道，当我们在上网的时候，通常输入的是如： 这样子的网址，其实这就是一个域名，而我们计算机网络上的计算机彼此之间只能用IP地址才能相互识别。再如，我们去一WEB服务器中请求一WEB页面，我们可以在浏览器中输入网址或者是相应的IP地址，例如我们要上新浪网，我们可以在IE的地址栏中输入： 也可输入这样子 218.30.66.101 的IP地址，但是这样子的IP地址我们记不住或说是很难记住，所以有了域名的说法，这样的域名会让我们容易的记住。

DNS：Domain Name System 域名管理系统 域名是由圆点分开一串单词或缩写组成的，每一个域名都对应一个惟一的IP地址，这一命名的方法或这样管理域名的系统叫做域名管理系统。

DNS：Domain Name Server 域名服务器 域名虽然便于人们记忆，但网络中的计算机之间只能互相认识IP地址，它们之间的转换工作称为域名解析（如上面的 与 218.30.66.101 之间的转换），域名解析需要由专门的域名解析服务器来完成，DNS就是进行域名解析的服务器。

三 DNS欺骗攻击

DNS欺骗即域名信息欺骗是最常见的DNS安全问题。当一个DNS服务器掉入陷阱，使用了来自一个恶意DNS服务器的错误信息，那么该DNS服务器就被欺骗了。DNS欺骗会使那些易受攻击的DNS服务器产生许多安全问题，例如：将用户引导到错误的互联网站点，或者发送一个电子邮件到一个未经授权的邮件服务器。网络攻击者通常通过以下几种方法进行DNS欺骗。

1、缓存感染：

黑客会熟练的使用DNS请求，将数据放入一个没有设防的DNS服务器的缓存当中。这些缓存信息会在客户进行DNS访问时返回给客户，从而将客户引导到入侵者所设置的运行木马的Web服务器或邮件服务器上，然后黑客从这些服务器上获取用户信息。

2、DNS信息劫持：

入侵者通过监听客户端和DNS服务器的对话，通过猜测服务器响应给客户端的DNS查询ID。每个DNS报文包括一个相关联的16位ID号，DNS服务器根据这个ID号获取请求源位置。黑客在DNS服务器之前将虚假的响应交给用户，从而欺骗客户端去访问恶意的网站。

3、DNS重定向

攻击者能够将DNS名称查询重定向到恶意DNS服务器。这样攻击者可以获得DNS服务器的写权限。

四 DNS的防范方法

防范方法其实很简单，总结来说就只有两条。（1） 直接用IP访问重要的服务，这样至少可以避开DNS欺骗攻击。但这需要你记住要访问的IP地址。（2） 加密所有对外的数据流，对服务器来说就是尽量使用SSH之类的有加密支持的协议，对一般用户应该用PGP之类的软件加密所有发到网络上的数据。只要能做到这些，基本上就可以避免DNS欺骗攻击了。

现在知道为什么当你在浏览器中输入正确的URL地址，但是打开的并不是你想要去的网站了吧，这就是神奇的DNS欺骗，希望学习DNS协议欺骗攻击技术有所帮助

网关欺骗和DNS欺骗分别是。。。。？

ARP网关欺骗

一.什么是ARP协议？

ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。所以说从某种意义上讲ARP协议是工作在更低于IP协议的协议层。这也是为什么ARP欺骗更能够让人在神不知鬼不觉的情况下出现网络故障，他的危害更加隐蔽。

二.ARP欺骗的原理：

首先我们可以肯定一点的就是发送ARP欺骗包是通过一个恶毒的程序自动发送的，正常的TCP/IP网络是不会有这样的错误包发送的，而人工发送又比较麻烦。也就是说当黑客没有运行这个恶毒程序的话，网络上通信应该是一切正常的，保留在各个连接网络计算机上的ARP缓存表也应该是正确的，只有程序启动开始发送错误ARP信息以及ARP欺骗包时才会让某些计算机访问网络出现问题。接下来我们来阐述下ARP欺骗的原理。

第一步：假设这样一个网络，一个Hub或交换机连接了3台机器，依次是计算机A，B，C。

A的地址为：IP：192.168.1.1 MAC: AA-AA-AA-AA-AA-AA

B的地址为：IP：192.168.1.2 MAC: BB-BB-BB-BB-BB-BB

C的地址为：IP：192.168.1.3 MAC: CC-CC-CC-CC-CC-CC

第二步：正常情况下在A计算机上运行ARP -A查询ARP缓存表应该出现如下信息。

Interface: 192.168.1.1 on Interface 0x1000003

Internet Address Physical Address Type

192.168.1.3 CC-CC-CC-CC-CC-CC dynamic

第三步：在计算机B上运行ARP欺骗程序，来发送ARP欺骗包。

B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是192.168.10.3（C的IP地址），MAC地址是DD-DD-DD-DD-DD-DD（C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了）。当A接收到B伪造的ARP应答，就会更新本地的ARP缓存（A可不知道被伪造了）。而且A不知道其实是从B发送过来的，A这里只有192.168.10.3（C的IP地址）和无效的DD-DD-DD-DD-DD-DD mac地址。

第四步：欺骗完毕我们在A计算机上运行ARP -A来查询ARP缓存信息。你会发现原来正确的信息现在已经出现了错误。

Interface: 192.168.1.1 on Interface 0x1000003

Internet Address Physical Address Type

192.168.1.3 DD-DD-DD-DD-DD-DD dynamic

从上面的介绍我们可以清楚的明白原来网络中传输数据包最后都是要根据MAC地址信息的，也就是说虽然我们日常通讯都是通过IP地址，但是最后还是需要通过ARP协议进行地址转换，将IP地址变为MAC地址。而上面例子中在计算机A上的关于计算机C的MAC地址已经错误了，所以即使以后从A计算机访问C计算机这个192.168.1.3这个地址也会被ARP协议错误的解析成MAC地址为DD-DD-DD-DD-DD-DD的。

问题也会随着ARP欺骗包针对网关而变本加厉，当局域网中一台机器，反复向其他机器，特别是向网关，发送这样无效假冒的ARP应答信息包时，严重的网络堵塞就会开始。由于网关MAC地址错误，所以从网络中计算机发来的数据无法正常发到网关，自然无法正常上网。这就造成了无法访问外网的问题，另外由于很多时候网关还控制着我们的局域网LAN上网，所以这时我们的LAN访问也就出现问题了。

三.ARP欺骗的危害：

前面也提到了ARP欺骗可以造成内部网络的混乱，让某些被欺骗的计算机无法正常访问内外网，让网关无法和客户端正常通信。实际上他的危害还不仅仅如此，一般来说IP地址的冲突我们可以通过多种方法和手段来避免，而ARP协议工作在更低层，隐蔽性更高。系统并不会判断ARP缓存的正确与否，无法像IP地址冲突那样给出提示。而且很多黑客工具例如网络剪刀手等，可以随时发送ARP欺骗数据包和ARP恢复数据包，这样就可以实现在一台普通计算机上通过发送ARP数据包的方法来控制网络中任何一台计算机的上网与否，甚至还可以直接对网关进行攻击，让所有连接网络的计算机都无法正常上网。这点在以前是不可能的，因为普通计算机没有管理权限来控制网关，而现在却成为可能，所以说ARP欺骗的危害是巨大的，而且非常难对付，非法用户和恶意用户可以随时发送ARP欺骗和恢复数据包，这样就增加了网络管理员查找真凶的难度。那么难道就没有办法来阻止ARP欺骗问题的发生吗？

四.防范措施

正常情况下，用arp -a 命令只会看到网关信息，如：

C:\Documents and Settings\Administratorarp -a

Interface: 172.16.102.155 on Interface 0x1000003

Internet Address Physical Address Type

172.16.102.1 00-0a-f3-6d-33-fc dynamic

如果网关ip被别的计算机伪装，MAC地址就不是正常网关的MAC地址，此时你的计

算机就不能正常上网。

C:\Documents and Settings\Administratorarp -a

Interface: 172.16.102.155 on Interface 0x1000003

Internet Address Physical Address Type

172.16.102.1 00-0c-f1-e9-20-20 dynamic(注意这里的MAC已变了）

172.16.102.145 00-15-60-0c-83-f4 dynamic

172.16.102.99 00-02-55-a6-79-03 dynamic

建议用户采用双向绑定的方法解决并且防止ARP欺骗。

1、首先，获得网关的MAC地址。（在正常时，从上面可以看出172.16.102.1的MAC

地址是 00-0a-f3-6d-33-fc 。建议大家把自己网段网关的MAC地址记下来，免得在

出现问题时不知道本网段网关的MAC地址）

2、然后在DOS命令下执行以下两条命令：

1）先删除现有的MAC--IP对应表：arp -d

2）设置静态的网关MAC--IP对应表 ： arp -s 网关ip 网关MAC

如：arp -s 172.16.102.1 00-0a-f3-6d-33-fc

执行后的的情况如下：

C:\Documents and Settings\Administratorarp -a

Interface: 172.16.102.155 on Interface 0x1000003

Internet Address Physical Address Type

172.16.102.1 00-0a-f3-6d-33-fc static （注意这里已变成

静态的）

为了省事，你还可以编写一个批处理文件rarp.bat，让计算机每次启动时就执行一

次，内容如下：

@echo off

arp -d

arp -s 本网段网关ip 网关MAC

将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。

将这个批处理软件拖到“windows--开始--程序--启动”中。

DNS欺骗

定义： DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。

原理：如果可以冒充域名服务器，然后把查询的IP地址设为攻击者的IP地址，这样的话，用户上网就只能看到攻击者的主页，而不是用户想要取得的网站的主页了，这就是DNS欺骗的基本原理。DNS欺骗其实并不是真的“黑掉”了对方的网站，而是冒名顶替、招摇撞骗罢了。

现在的Internet上存在的DNS服务器有绝大多数都是用bind来架设的,使用的bind版本主要为bind 4.9.5+P1以前版本和bind 8.2.2-P5以前版本.这些bind有个共同的特点,就是BIND会缓存(Cache)所有已经查询过的结果,这个问题就引起了下面的几个问题的存在.

1.DNS欺骗

在DNS的缓存还没有过期之前,如果在DNS的缓存中已经存在的记录,一旦有客户查询,DNS服务器将会直接返回缓存中的记录.

下面我们来看一个例子:

一台运行着unix的Internet主机,并且提供rlogin服务,它的IP地址为123.45.67.89,它使用的DNS服务器(即/etc/resolv.conf中指向的DNS服务器)的IP地址为98.76.54.32,某个客户端(IP地址为38.222.74.2)试图连接到unix主机的rlogin端口,假设unix主机的/etc/hosts.equiv文件中使用的是dns名称来允许目标主机的访问,那么unix主机会向IP为98.76.54.32的DNS服务器发出一个PTR记录的查询:

123.45.67.89 - 98.76.54.32 [Query]

NQY: 1 NAN: 0 NNS: 0 NAD: 0

QY: 2.74.222.38.in-addr.arpa PTR

IP为98.76.54.32的DNS服务器中没有这个反向查询域的信息,经过一番查询,这个DNS服务器找到38.222.74.2和38.222.74.10为74.222.38.in-addr.arpa.的权威DNS服务器,所以它会向38.222.74.2发出PTR查询:

98.76.54.32 - 38.222.74.2 [Query]

NQY: 1 NAN: 0 NNS: 0 NAD: 0

QY: 2.74.222.38.in-addr.arpa PTR

请注意,38.222.74.2是我们的客户端IP,也就是说这台机子是完全掌握在我们手中的.我们可以更改它的DNS记录,让它返回我们所需要的结果:

38.222.74.2 - 98.76.54.32 [Answer]

NQY: 1 NAN: 2 NNS: 2 NAD: 2

QY: 2.74.222.38.in-addr.arpa PTR

AN: 2.74.222.38.in-addr.arpa PTR trusted.host.com

AN: trusted.host.com A 38.222.74.2

NS: 74.222.38.in-addr.arpa NS ns.sventech.com

NS: 74.222.38.in-addr.arpa NS ns1.sventech.com

AD: ns.sventech.com A 38.222.74.2

AD: ns1.sventech.com A 38.222.74.10

当98.76.54.32的DNS服务器收到这个应答后,会把结果转发给123.45.67.98,就是那台有rlogin服务的unix主机(也是我们的目标 :) ),并且98.76.54.32这台DNS服务器会把这次的查询结果缓存起来.

这时unix主机就认为IP地址为38.222.74.2的主机名为trusted.host.com,然后unix主机查询本地的/etc/hosts.equiv文件,看这台主机是否被允许使用rlogin服务,很显然,我们的欺骗达到了.

在unix的环境中,有另外一种技术来防止这种欺骗的发生,就是查询PTR记录后,也查询PTR返回的主机名的A记录,然后比较两个IP地址是否相同:

123.45.67.89 - 98.76.54.32 [Query]

NQY: 1 NAN: 0 NNS: 0 NAD: 0

QY: trusted.host.com A

很不幸,在98.76.54.32的DNS服务器不会去查询这个记录,而会直接返回在查询2.74.222.38.in-addr.arpa时得到的并且存在缓存中的信息:

98.76.54.32 - 123.45.67.89 [Query]

NQY: 1 NAN: 1 NNS: 2 NAD: 2

QY: trusted.host.com A

AN: trusted.host.com A 38.222.74.2

NS: 74.222.38.in-addr.arpa NS ns.sventech.com

NS: 74.222.38.in-addr.arpa NS ns1.sventech.com

AD: ns.sventech.com A 38.222.74.2

AD: ns1.sventech.com A 38.222.74.10

那么现在unix主机就认为38.222.74.2就是真正的trusted.host.com了,我们的目的达到了!

这种IP欺骗的条件是:你必须有一台Internet上的授权的DNS服务器,并且你能控制这台服务器,至少要能修改这台服务器的DNS记录,我们的欺骗才能进行.

2.拒绝服务攻击 Denial of service

还是上面的例子,如果我们更改位于38.222.74.2的记录,然后对位于98.76.54.32的DNS服务器发出2.74.222.38.in-addr.arpa的查询,并使得查询结果如下:

因为74.222.38.in-addr.arpa完全由我们控制,所以我们能很方便的修改这些信息来实现我们的目的.

38.222.74.2 - 98.76.54.32 [Answer]

NQY: 1 NAN: 2 NNS: 2 NAD: 2

QY: 2.74.222.38.in-addr.arpa PTR

AN: 2.74.222.38.in-addr.arpa PTR trusted.host.com

AN: A 0.0.0.1

NS: 74.222.38.in-addr.arpa NS ns.sventech.com

NS: 74.222.38.in-addr.arpa NS ns1.sventech.com

AD: ns.sventech.com A 38.222.74.2

AD: ns1.sventech.com A 38.222.74.10

这样一来,使用98.76.54.32这台DNS服务器的用户就不能访问了,因为这个IP根本就不存在!

3.偷取服务 Theft of services

还是上面的例子,只是更改的查询结果如下:

38.222.74.2 - 98.76.54.32 [Answer]

NQY: 1 NAN: 3 NNS: 2 NAD: 2

QY: 2.74.222.38.in-addr.arpa PTR

AN: 2.74.222.38.in-addr.arpa PTR trusted.host.com

AN: CNAME

AN: company.com MX 0 mail.competitor.com

NS: 74.222.38.in-addr.arpa NS ns.sventech.com

NS: 74.222.38.in-addr.arpa NS ns1.sventech.com

AD: ns.sventech.com A 38.222.74.2

AD: ns1.sventech.com A 38.222.74.10

这样一来,一个本想访问的用户会被带到另外一个地方,甚至是敌对的公司的竹叶(想想把华为和北电联起来是什么样的感觉. :) ).并且发给company.com的邮件会被发送给mail.compertitor.com.(越来越觉得在网络上的日子不踏实! xxbin这样想).

4.限制

对这些攻击,也有一定的限制.

首先,攻击者不能替换缓存中已经存在的记录.比如说,如果在98.76.54.32这个DNS服务器上已经有一条的CNAME记录,那么攻击者试图替换为将不会成功.然而,一些记录可以累加,比如A记录,如果在DNS的缓存中已经存在一条的A记录为1.2.3.4,而攻击者却欺骗DNS服务器说的A记录为4.3.2.1,那么将会有两个A记录,客户端查询时会随机返回其中一个.(呵呵,这不是loading balance么?)

其次,DNS服务器有个缓存刷新时间问题,如果的TTL为7200,那么DNS服务器仅仅会把的信息缓存7200秒或者说两个小时.如果攻击者放入一条TLL为604800的A记录,那么这条记录将会在缓存中保存一周时间,过了默认的两天后,这个DNS服务器就会到处"分发"攻击者假造的记录.

下面是常用的几种可以累加和不能累加的记录:

A can add

NS can add

MX can add

PTR cannot add

黑客网络诈骗的途径有哪些？

黑客入侵。“黑客”的主要含义是非法入侵者。黑客攻击网络的方法主要有：ＩＰ地址欺骗、发送邮件攻击、网络文件系统攻击、网络信息服务攻击、扫描器攻击、口令攻击、嗅探攻击、病毒和破坏性攻击等。黑客通过寻找并利用网络系统的脆弱性和软件的漏洞，刺探窃取计算机口令、身份标识码或绕过计算机安全控件机制，非法进入计算机网络或数据库系统，窃取信息。现在全球每２０秒就有一起黑客事件发生。美军试验表明，黑客对其非保密的计算机信息系统的攻击成功率达８８％，被查出的只占５％。按黑客的动机和造成的危害，目前黑客分为恶作剧、盗窃诈骗、蓄意破坏、控制占有、窃取情报等类型。其中，西方一些国家的情报部门秘密招聘黑客“高手”，编制专门的黑客程序，用于窃取别国（集团）因特网或内部网上的涉密信息和敏感信息。对此，尤须引起我们高度注意。

Dedecms网站被dns欺骗攻击黑客挂马怎么办

无忧小编这次所遇到就是DNS入侵。DNS入侵往往防不胜防，对此有很多站长也中招。网络端口全开，黑客一下子进入侵进来。如果你发现还好，否则不通过百度搜索引擎是查不出网站被入侵的。这年头，只有中招之后才知道网络安全的可贵，才开始重视网站防护。下面无忧小编说明下这个漏洞的详细信息。

1、DNS攻击定义（又称DNS欺骗）：

可以冒充域名服务器，然后把查询的IP地址设为攻击者的IP地址，这样的话，用户上网就只能看到攻击者的主页，而不是用户想要取得的网站的主页了，这就是DNS欺骗的基本原理。DNS欺骗其实并不是真的“黑掉”了对方的网站，而是冒名顶替、招摇撞骗罢了。

2、Dede被dns攻击后症状：

表现一般是首页跳转到其他不良信息页面，或者从百度过来的流量被劫持到其他网站。简单说，就是百度搜索的时候，点击百度收录的文章，但是打开的不是自己的网站，而是别人的网站。

还有一个特点用来判断，就是在dede的源代码中，会被黑客插入一个标签{dede:dsv/}或者{dede:dinfo/}，这个也是一个判断的标准。

3.、解决方法

第一步：首先一点修改主页模板(index.htm)，删除后面的{dede:dsv/}或者{dede:dinfo/}这个调用标签。然后找到根目录/include/taglib/dsv.lib.php或者/include/taglib/dinfo.lib.php 进行删除，然后就可以发现网站已经恢复了。

第二步，查看自定义宏标记。路径：模板——自定义宏标记。中了木马病毒的网站在这里会出现两个被黑客定义的宏标记，主要是对网站全局变量的控制。如下图我们删除所有的非自己自定义的宏标记，以免留下后门。

第三步：查看黑客怎么做到的，并进行防护。

以下是你必须要登录dede管理员后台要去检测复核一次的。

系统后台，用户组是否多了，

查看所有能添加变量

模块管理中是否多了东西，

频道模型，

自定义宏标记等等。（如下图）

dedecms

大多数情况下是plus 或者模板里面的asp或php木马，数据库里面对应的木马数据不删除，就算你删除了木马文件照样会重新生成。common.inc.php 文件也要多多留意，一般情况下 如果修改模板后仍然被改首页 有必要重新覆盖下这个文件。