【智能路由器】动态域名（基于netfilter编程的DNS数据伪造）

【智能路由器】动态域名（基于netfilter编程的DNS数据伪造）

本文利用netfilter框架，做了一个在路由器上运行的Linux内核模块，该模块能够拦截指定域名解析的请求数据包，并且伪造对应的DNS应答包，送入网络。



模块作用机理



在netfilter的框架的prerouting点，挂接我们的钩子函数，在钩子函数里实现域名的伪造，见下图：



在上图中红色标记处挂接钩子函数，拦截DNS请求包，直接在请求包上做更改，将其变成一个DNS应答包，然后对调数据包中的源信息和目的信息。



hosts文件的缺陷



我们知道在windows和Linux中都有host文件，利用它可以完成域名的静态映射，即将指定域名映射到某个ip上。路由器上dnsmasq在收到子网的DNS请求时，会先查看host文件里是否已经有要解析的域名的映射，如果有就直接将该映射的ip返回给客户，否则就会向上级路由发出请求，这样逐级请求最终获取dns解析数据。



linux平台下，hosts文件在/etc文件夹中，拿我的路由器做个例子：

执行命令:



[arvik@f12/]#cat/etc/host

127.0.0.1localhost.localdomainlocalhost

10.10.10.254myrouter.comralink

1

2

3

可以看到myrouter.com这个域名被映射到了10.10.10.254（路由器lan口ip）上，当你在浏览器地址栏输入myrouter.com时就跟输入10.10.10.254一样能访问到路由器主页。



说到这就算不知道hosts文件的童鞋也大概了解了hosts文件的作用。（补充一个小故事：前些年为了屏蔽优酷，奇艺，乐视等视频网站视频播放前的广告，就有人利用hosts文件将这些网站的广告服务器域名映射到127.0.0.1上，使其域名不能得到正常解析，所以视频前的广告就无法播放）



只不过，要想hosts发挥作用必须有个前提，就是路由器子网内设备的DNS服务器的地址必须填写路由器的ip地址，否则hosts文件形同虚设！



例如：arvik直接自己电脑上的DNS服务器设为8.8.8.8，这样的话，浏览器访问myrouter.com就看不到路由器主页面了。



然而这就是hosts文件的缺陷，所以就有了下面这段流氓代码的产生！



基于netfilter编程的DNS数据伪造



思路分析及代码



假如你对dns数据包还不熟悉的话，没关系，去看看我的文章【以太网数据包】DNS数据包就足够了！



好了，先得截取路由器子网设备的dns请求包，步骤：

1.提取ip数据

2.提取udp数据（DNS数据包是架设在udp协议之上的）

3.提取udp目的端口为53的数据包（这是DNS的请求报文）

以上三步轻松截取dns请求包，看看代码实现：



staticunsignedintdomain_hook(

unsignedinthooknum,

structsk_buffskb,

conststructnet_devicein,

conststructnet_deviceout,

int(okfn)(structsk_buff))

{

structiphdrip;

structudphdrudp;

uint8_tp;



if(!skb)

returnNF_ACCEPT;



if(skb->protocol!=htons(0x0800))//排除ARP干扰

returnNF_ACCEPT;



ip=ip_hdr(skb);

if(ip->protocol!=17)

returnNF_ACCEPT;



udp=(structudphdr)(ip+1);



if((udp!=NULL)&&(ntohs(udp->dest)!=53))

{

returnNF_ACCEPT;

}



...



}

好了，以上代码中的省略号就是我们接下来要做的了。



我们直接将请求报文更改为应答报文再放回netfilter链即可，考虑以下几点：

1.构造应答包数据部分

2.扩充skb缓冲区

3.更改DNS报头相关字段。比如，FLAGS字段，AnswerRRS字段

4.更改UDP报头。对调源端口和目的端口，修改UDP报文长度（UDP校验放到最后和IP校验一起做）

5.更改ip报头。对调源ip和目的ip，更改ip报文总长度…

6.更改以太网报头。对调源mac和目的mac

7.完成数据伪造。进行udp和ip校验

看看代码：



int8_tD_name[]=//这个数组看不懂的话可以去查查DNS应答包字段

{

0xc0,0x0c,0x00,0x01,0x00,0x01,0x00,0x00,

0x00,0x00,0x00,0x04,0x0a,0x0a,0x0a,0xfe

};



staticintadddata(structsk_buffskb)

{

structiphdrip=NULL;

structudphdrudp=NULL;

uint8_tp=NULL;

uint16_tp_data=NULL;

uint16_ttmpdata=0;

uint32_ttmpip=0;

uint8_ti=0,tmp=0;





memcpy(&D_name[sizeof(D_name)-4],localIP,4);//IP



p=skb_put(skb,sizeof(D_name));

if(NULL!=p)

memcpy(p,D_name,sizeof(D_name));



//

ip=ip_hdr(skb);

udp=(structudphdr)(ip+1);



//DNS报文修改

p_data=(uint16_t)(udp+1);

p_data[1]=htons(0x8580);//FLAGS，标准回复

p_data[3]=htons(1);//AuswerRRs



//UDP报文修改(校验放到最后一步)

tmpdata=udp->source;//交换源端口和目的端口

udp->source=udp->dest;

udp->dest=tmpdata;

udp->len=htons(ntohs(udp->len)+sizeof(D_name));//报文长度



//IP层修改

ip->tot_len=htons(ntohs(ip->tot_len)+sizeof(D_name));//报文长度

ip->id=0x0000;//IP标识

ip->frag_off=htons(0x4000);//不分片，无偏移

tmpip=ip->saddr;//交换源IP和目的IP

ip->saddr=ip->daddr;

ip->daddr=tmpip;



if(skb->mac_header==NULL)

{

printk("counterfeitdnsdatafail!error:skb->mac_headerisNULL!\n");

return-1;

}

//以太网头部层

for(i=0;i<6;i++)

{

tmp=skb->mac_header[i];

skb->mac_header[i]=skb->mac_header[i+6];

skb->mac_header[i+6]=tmp;

}

//ok,剩下的就是校验了

printk("counwww.sm136.comterfeitDNSsuccess!\n");

return1;

}

好了主题内容讲完，鉴于保密，这个程序给出了部分，但总体思路及代码一目了然，剩下的只是一些边边角角，如果你能看到这的话，后面的肯定能自己完成。

以上模块配置性不强，如果要针对某个域名请求进行伪造数据包的话还需要重新编译，不如把它做到Linux的虚拟文件系统/proc里，实现动态配置，这样就能实现动态域名配置了。



利用虚拟文件系统/proc特性，写个内黑配置模块应该不是难事：



#include



...



intinit_dm_ip_moudle(void)

{

intret=0;



flow_root=proc_mkdir("router_domain",NULL);

if(flow_root==NULL)

{

printk("createdirrouter_domainfail\n");

return-1;

}



proc_entry=create_proc_entry("dm_ip",0444,flow_root);

if(proc_entry==NULL)

{

printk("fortune:couldn''tcreateprocentry\n");

ret=-2;



returnret;

}

proc_entry->read_proc=dm_ip_read;

proc_entry->write_proc=dm_ip_write;





returnret;

}

看到没，将这两个回调函数dm_ip_read、dm_ip_write填充好就行了，这两个函数分别实现获取配置的域名及ip和设置待映射的域名及ip，模块会在/proc下建立文件夹router_domain，以及在router_domain下建立dm_ip文件。

arvik已经做好，效果如下

执行命令



[arvik@f12/]#cat/proc/router_domain/dm_ip

myrouter.com10.10.10.254

写配置，执行如下命令：



[arvik@f12/]#echo"dmwww.1212.com">/proc/router_domain/dm_ip

[arvik@f12/]#echo"ip192.168.16.1">/proc/router_domain/dm_ip

//以上命令将www.1212.com映射到192.168.16.1上，查看是否配置成功

[arvik@f12/]#cat/proc/router_domain/dm_ip

www.1212.com192.168.16.1

ping包看看：



此时浏览器地址直接访问www.1212.com就可访问路由器页面，在此就不截图了



此时，整个内核模块已经完成！路由器上加载该模块后，无论子网下的设备的DNS服务器是否是路由器ip，都可以进行DNS域名的动态配置。

当然，该文章也涉及到了网络数据的截获与伪造讲解，一定程度威胁了网络信息的安全，文章仅作参考！