免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
123下一页
最近访问板块 发新帖
查看: 9805 | 回复: 21

[网络子系统] netfilter做dns重定向(劫持)问题 [复制链接]

论坛徽章:
2
2015年亚洲杯之乌兹别克斯坦
日期:2015-04-15 15:43:482015亚冠之迪拜阿赫利
日期:2015-06-30 20:36:46
发表于 2013-08-22 13:53 |显示全部楼层
我用netfilter做dns重定向,比如,用户访问www.123.com,重定向到www.456.com

基本思路是修改DNS请求和回应包

包请求包和回应包中的www.123.com都换成www.456.com

通过wireshark抓包分析,dns请求和回应包确实都如预期进行了修改,ip/udp checksum都正确。

执行nslookup www.123.com的时候已经能够正确取得www.456.com的ip地址,

但是当从浏览器输入www.123.com的时候却提示”The connection was reset“,不知道这个东西要如何解决。

我知道有其他方法可以达到域名劫持的目的,但是我主要是想弄清问题,所以其他方法暂不讨论。

先谢谢各位了~

论坛徽章:
0
发表于 2013-08-22 14:22 |显示全部楼层
HTTP 302 Redirect

论坛徽章:
6
金牛座
日期:2013-10-08 10:19:10技术图书徽章
日期:2013-10-14 16:24:09CU十二周年纪念徽章
日期:2013-10-24 15:41:34狮子座
日期:2013-11-24 19:26:19未羊
日期:2014-01-23 15:50:002015年亚洲杯之阿联酋
日期:2015-05-09 14:36:15
发表于 2013-08-22 14:33 |显示全部楼层
回复 1# bfdhczw
2楼正解

不要用dns劫持了。有些操作系统(比如win7)可以判断出dns欺骗,表现就是dns不可用,并不会重定向。

   

论坛徽章:
36
IT运维版块每日发帖之星
日期:2016-04-10 06:20:00IT运维版块每日发帖之星
日期:2016-04-16 06:20:0015-16赛季CBA联赛之广东
日期:2016-04-16 19:59:32IT运维版块每日发帖之星
日期:2016-04-18 06:20:00IT运维版块每日发帖之星
日期:2016-04-19 06:20:00每日论坛发贴之星
日期:2016-04-19 06:20:00IT运维版块每日发帖之星
日期:2016-04-25 06:20:00IT运维版块每日发帖之星
日期:2016-05-06 06:20:00IT运维版块每日发帖之星
日期:2016-05-08 06:20:00IT运维版块每日发帖之星
日期:2016-05-13 06:20:00IT运维版块每日发帖之星
日期:2016-05-28 06:20:00每日论坛发贴之星
日期:2016-05-28 06:20:00
发表于 2013-08-22 15:09 |显示全部楼层
回复 1# bfdhczw

抓包看一下,这个 Connection Reset 是不是应该 TCP 三次握手都成功了。

如果是的话,我怀疑可能是 GET 请求的 host 字段是 www.123.com,但是你访问的是 www.456.com,人家 server 做了 host 字段的检查。


   

论坛徽章:
2
2015年亚洲杯之乌兹别克斯坦
日期:2015-04-15 15:43:482015亚冠之迪拜阿赫利
日期:2015-06-30 20:36:46
发表于 2013-08-22 16:48 |显示全部楼层
回复 4# Godbach


    看来如你所说,三次握手成功后client发了http/get请求,然后server端就发RST了。
这个有办法解决吗?貌似不行?
无标题.jpg

论坛徽章:
36
IT运维版块每日发帖之星
日期:2016-04-10 06:20:00IT运维版块每日发帖之星
日期:2016-04-16 06:20:0015-16赛季CBA联赛之广东
日期:2016-04-16 19:59:32IT运维版块每日发帖之星
日期:2016-04-18 06:20:00IT运维版块每日发帖之星
日期:2016-04-19 06:20:00每日论坛发贴之星
日期:2016-04-19 06:20:00IT运维版块每日发帖之星
日期:2016-04-25 06:20:00IT运维版块每日发帖之星
日期:2016-05-06 06:20:00IT运维版块每日发帖之星
日期:2016-05-08 06:20:00IT运维版块每日发帖之星
日期:2016-05-13 06:20:00IT运维版块每日发帖之星
日期:2016-05-28 06:20:00每日论坛发贴之星
日期:2016-05-28 06:20:00
发表于 2013-08-23 00:28 |显示全部楼层
回复 5# bfdhczw
那你直接访问 www.456.com 这个网站,是不是就正常啊。

你刚才抓包的 GET 请求报文给展开一下,看一下 http hdr 的内容


   

论坛徽章:
2
2015年亚洲杯之乌兹别克斯坦
日期:2015-04-15 15:43:482015亚冠之迪拜阿赫利
日期:2015-06-30 20:36:46
发表于 2013-08-23 13:04 |显示全部楼层
回复 6# Godbach


    你是想看host字段吗?我看过了,确实是www.123.com

论坛徽章:
2
2015年亚洲杯之乌兹别克斯坦
日期:2015-04-15 15:43:482015亚冠之迪拜阿赫利
日期:2015-06-30 20:36:46
发表于 2013-08-23 13:08 |显示全部楼层
回复 2# ShadowStar
回复 3# 瀚海书香


    谢谢你们的回复,不过暂时还没时间查看HTTP 302 Redirect,以后有空再研究。

   

论坛徽章:
36
IT运维版块每日发帖之星
日期:2016-04-10 06:20:00IT运维版块每日发帖之星
日期:2016-04-16 06:20:0015-16赛季CBA联赛之广东
日期:2016-04-16 19:59:32IT运维版块每日发帖之星
日期:2016-04-18 06:20:00IT运维版块每日发帖之星
日期:2016-04-19 06:20:00每日论坛发贴之星
日期:2016-04-19 06:20:00IT运维版块每日发帖之星
日期:2016-04-25 06:20:00IT运维版块每日发帖之星
日期:2016-05-06 06:20:00IT运维版块每日发帖之星
日期:2016-05-08 06:20:00IT运维版块每日发帖之星
日期:2016-05-13 06:20:00IT运维版块每日发帖之星
日期:2016-05-28 06:20:00每日论坛发贴之星
日期:2016-05-28 06:20:00
发表于 2013-08-23 13:27 |显示全部楼层
回复 7# bfdhczw

嗯,那应该差不多。


   

论坛徽章:
2
2015年亚洲杯之乌兹别克斯坦
日期:2015-04-15 15:43:482015亚冠之迪拜阿赫利
日期:2015-06-30 20:36:46
发表于 2013-08-26 15:05 |显示全部楼层
回复 9# Godbach


我今天又试了,我把HTTP/GET请求的host字段也改了(浏览器发出去的是www.123.com,我改成www.456.com),然后就可以正常劫持了。

看来确实是服务器检查了HOST字段。

但是不太明白的是,服务器为什么要检查HOST字段?防止其他网站盗用资源?
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP