Hosts文件与钓鱼网站

技术小阿哥 2017-11-21

服务器 域名解析 主机 DNS

有些病毒或木马,修改你计算机上hosts文件,你访问某些网站就有可能访问到钓鱼网站,或者你的计算机不能打开某个网址,或者你能够打开网页,但是你的计算机不能升级病毒库,这时候你就应该检查一下你的计算机hosts文件,是否有额外的记录。

Hosts文件与域名解析

主机名称解析的过程

Microsoft 公司的客户端,应用以下方法把主机名称解析为IP地址:

解析的标准方法

描述

DNS client程序缓存

缓存位于本地计算机,被DNS客户端服务用来存储解析过的主机到IP地址的映射。

DNS服务器

维护IP地址/计算机名称(主机名称)对照信息数据库的服务器。

Hosts文件

一个本地文本文件,与4.3 Berkeley Software Distribution (BSD) UNIX 
\Etc\Hosts文件具有相同的格式。这个文件包含主机名称到IP地址的映射,通常被用来为TCP/IP应用解析主机名称。

主机名称解析的流程如下:

1. 某个应用或服务需要对资源进行访问,需要通过主机名称对资源定位, 它会把把主机名称提交给本身的DNS Client 服务。

2. DNS Client 服务于是在缓存中查找主机名称到IP地址的映射。hosts文件内的所有条目已经全部预载到缓存中。

3. 如果DNS Client服务在客户端解析程序缓存中没有找到匹配的映射信息,那么DNS客户端服务将向DNS服务器发送一个主机名称查询。

4. 如果已配置的主机名称解析方法失败,则设定的NetBIOS名称解析方法被调用以尝试解析这个名称(只有当主机名称不超过15个字符时才会发生,这是NetBIOS名称规则的限制)。

5. 如果主机名称被找到,其相应的IP地址会被返回给应用。

2.1.1 Hosts文件与域名解析欺骗

从上一小节看出客户端解析域名从缓存和hosts文件中的条目查找优先于从DNS服务器查找。因此如果病毒和恶意软件修改了hosts文件中的条目,计算机将被定位到假冒的网站或造成计算机不能访问某些网站。

如果您的计算机不能访问个别的网站,或能访问Internet但是杀毒软件不能升级,您需要查一下hosts文件,看看是否有可以的记录。

示例:通过hosts实现域名解析欺骗

以下操作将会模拟病毒在计算机hosts文件中添加一条记录,用户在访问淘宝网时,计算机将解析到一个错误的IP地址,不能访问Internet上真正的淘宝网。

步骤:

6. 在Sales计算机上,右击C:\Windows\System32\drivers\etc目录下hosts文件,点击“打开”。

7. 在出现的打开方式对话框,选择“记事本”,点击“确定”。

clip_image001clip_image002

8. 在计算机本下面添加12.12.1.2 www.taobao.com,保存记事本。

9. 在命令提示符下ping www.taobao.com,会发现解析到的IP地址是12.12.1.2。很显然这是从hosts文件查找的结果。

clip_image003clip_image004

10. 打开IE浏览器访问www.taobao.com,发现不能访问。因为Sales计算机不能正确的解析到淘宝网的IP地址。

11. 访问www.baidu.com,是可以的。

clip_image005clip_image006




本文转自 onesthan 51CTO博客,原文链接:http://blog.51cto.com/91xueit/1130699,如需转载请自行联系原作者
登录 后评论
下一篇
云栖号资讯小编
12009人浏览
2020-07-13
相关推荐
针对银行钓鱼事件的分析
1645人浏览
2017-07-04 11:03:00
利用DNS解析原理扩大战果
1304人浏览
2017-11-16 16:58:00
0
0
0
828