这是一个创建于 3103 天前的主题,其中的信息可能已经有所发展或是发生改变。
假设用户 X 的本地 dns 被污染了,请求任何都会返回 A 网站的地址,假设我用 https 访问 B 网站, dns 响应 A 网站的 IP ,在这个情况下面是不是会被重定向到 A 网站上面去呢?, X 请求的数据是不是全部都可以被截取到?
 |
1
honeycomb 2016-05-11 18:28:57 +08:00 via Android
在 PKI 可信的情况下, tls 可以让这种攻击无法获得被加密的信息
|
 |
2
iniyk 2016-05-11 18:29:16 +08:00
A 收到的是加密的请求,因为他没有 B 的私钥,所以看不到内容
|
 |
3
initialdp 2016-05-11 18:30:17 +08:00
DNS 污染和 HTTPS 是两个完全无关的概念。对于您的顾虑,没错, X 请求的网站会变成 A 网站。不过由于 HTTPS 会鉴权证书,此时浏览器(比如 Chrome )会告警提示证书有问题,并阻止进一步浏览,除非您傻乎乎地信赖这个由问题的证书。
基本上不太可能通过 DNS 污染来截取 HTTPS 的内容, TLS/SSL 加密不是那么容易破解的。当然,不排除某些强力机构有这种能力。 |
|
4
honeycomb 2016-05-11 18:30:35 +08:00 via Android
说的不对, tls 在这种情况下无法建立,因为 tls 验证服务器方的身份,伪造的服务器无法提供真实的数字证书,所以无法建立 tls 连接
|
 |
5
linkupmylife 2016-05-11 20:11:28 +08:00
iptables -t mangle -A FORWARD ! -s 192.168.0.0/16 -p udp --sport 53 -m u32 --u32 "0x00000016&0x0000ffff@0x00000010=0x253d369e,0xcb620741,0x3b1803ad,0x0807c62d,0xf3b9bb27,0x5d2e0859,0x9f6a794b,0x2e52ae44,0x4e10310f,0x00000000" -j DROP
iptables -t mangle -A FORWARD ! -s 192.168.0.0/16 -p udp --sport 53 -m u32 --u32 "0x00000016&0x0000ffff@0x00000010=0x1759053c,0xbda31105,0x4d04075c,0xbc050460,0x364c8701,0x31027b38,0xc504040c,0xfd9d0ea5,0xf9812e30,0x76053106" -j DROP 只需两条命令, DNS 污染就没了, GFW 废了,呵呵。 |
 |
6
nyanyh 2016-05-11 20:19:47 +08:00
@linkupmylife 这都是 4 年前的了,能不能用还不知道,何况现在运营商 dns 污染才是最大问题
|
 |
7
SlipStupig OP @honeycomb 就是证书不正确会被警告嘛,如果信任该证书或者在本地安装了可信证书的话是不是就能过掉呢?
|
 |
8
jasontse 2016-05-11 20:56:03 +08:00 via iPad
你这个问题和中间人攻击没有两样
|
 |
9
qgy18 2016-05-11 20:58:10 +08:00 via iPhone
|
 |
10
whoops 2016-05-11 21:05:09 +08:00
@linkupmylife
按你的方法,依然被污染啊 > server 8.8.8.8 Default server: 8.8.8.8 Address: 8.8.8.8#53 > www.github.com Server: 8.8.8.8 Address: 8.8.8.8#53 Name: www.github.com Address: 66.249.89.104 > www.github.com Server: 8.8.8.8 Address: 8.8.8.8#53 Name: www.github.com Address: 203.208.39.99 > |
 |
11
redsonic 2016-05-11 21:22:28 +08:00  1
@whoops 那个只对旁路劫持有效,现在都是串接设备甚至运营商 DNS 直接应答假数据。另外除 TCP 之外的虚假 DNS 应答都和 GFW 没关系,各地方的 DNS 已经替 GFW 先污染一次了。现在唯一有效的防污染可能就只有 dnscrypt 了,缺点是偶尔会被干扰。
|
 |
12
micyng 2016-05-11 21:23:11 +08:00 via Android
tls 通过证书链这种方式确认对方的有效性
即只要根证书的公钥能正确签名终端证书即可,当然咯,还会验证时间有效性等 那么题主说的这种请情况,只要中间人拥有合法有效的证书, tls 会话从原理是可以建立的 |
|
13
whoops 2016-05-11 21:39:33 +08:00
@redsonic
就是,但纯 dnscrypt 国内网站 cdn 就废了,目前也就 dnscrypt+dnsmasq 国内域名交给国内 dns 解析,剩余的交给 dnscrypt |
 |
14
lslqtz 2016-05-12 03:40:06 +08:00 via iPhone
除了签发假的 ssl 否则 dns 污染没用。不排除某些“强力”机构有这种能力。
|
 |
15
lixingcong 2016-05-12 09:22:43 +08:00 via Android
@whoops 我在路由器也用这个方案 dnscrypt+dnsmasq ,比 chinadns 不知道强到哪里去了!!
|
 |
16
wizardoz 2016-05-12 13:06:01 +08:00
如果证书是正规机构颁发的,那么中间人攻击是可以避免的,因为中间人提供不正确的证书给客户端时浏览器会报错的。
|
 |
17
KCheshireCat 2016-05-15 12:02:44 +08:00 1
|
 |
18
ddup 2018-04-16 15:31:20 +08:00
真是太脆了 中间人随便都能插一刀
|
Select Language