有些病毒或木马,修改你计算机上hosts文件,你访问某些网站就有可能访问到钓鱼网站,或者你的计算机不能打开某个网址,或者你能够打开网页,但是你的计算机不能升级病毒库,这时候你就应该检查一下你的计算机hosts文件,是否有额外的记录。
Hosts文件与域名解析
主机名称解析的过程
Microsoft 公司的客户端,应用以下方法把主机名称解析为IP地址:
| 解析的标准方法 |
描述 |
| DNS client程序缓存 |
缓存位于本地计算机,被DNS客户端服务用来存储解析过的主机到IP地址的映射。 |
| DNS服务器 |
维护IP地址/计算机名称(主机名称)对照信息数据库的服务器。 |
| Hosts文件 |
一个本地文本文件,与4.3 Berkeley Software Distribution (BSD) UNIX |
主机名称解析的流程如下:
1. 某个应用或服务需要对资源进行访问,需要通过主机名称对资源定位, 它会把把主机名称提交给本身的DNS Client 服务。
2. DNS Client 服务于是在缓存中查找主机名称到IP地址的映射。hosts文件内的所有条目已经全部预载到缓存中。
3. 如果DNS Client服务在客户端解析程序缓存中没有找到匹配的映射信息,那么DNS客户端服务将向DNS服务器发送一个主机名称查询。
4. 如果已配置的主机名称解析方法失败,则设定的NetBIOS名称解析方法被调用以尝试解析这个名称(只有当主机名称不超过15个字符时才会发生,这是NetBIOS名称规则的限制)。
5. 如果主机名称被找到,其相应的IP地址会被返回给应用。
2.1.1 Hosts文件与域名解析欺骗
从上一小节看出客户端解析域名从缓存和hosts文件中的条目查找优先于从DNS服务器查找。因此如果病毒和恶意软件修改了hosts文件中的条目,计算机将被定位到假冒的网站或造成计算机不能访问某些网站。
如果您的计算机不能访问个别的网站,或能访问Internet但是杀毒软件不能升级,您需要查一下hosts文件,看看是否有可以的记录。
示例:通过hosts实现域名解析欺骗
以下操作将会模拟病毒在计算机hosts文件中添加一条记录,用户在访问淘宝网时,计算机将解析到一个错误的IP地址,不能访问Internet上真正的淘宝网。
步骤:
6. 在Sales计算机上,右击C:\Windows\System32\drivers\etc目录下hosts文件,点击“打开”。
7. 在出现的打开方式对话框,选择“记事本”,点击“确定”。
8. 在计算机本下面添加12.12.1.2 www.taobao.com,保存记事本。
9. 在命令提示符下ping www.taobao.com,会发现解析到的IP地址是12.12.1.2。很显然这是从hosts文件查找的结果。
10. 打开IE浏览器访问www.taobao.com,发现不能访问。因为Sales计算机不能正确的解析到淘宝网的IP地址。
11. 访问www.baidu.com,是可以的。
