本文主要讲RouterOS对内网DNS解析的劫持,包括使用公网DNS解析的设备。

1、DNS劫持

1.1 DNS劫持就是通过技术手段,来控制用户解析域名的IP地址。如www.77bx.com正常解析返回是1.1.1.1,现在需要内网用户访问www.77bx.com解析IP返回192.168.1.2,进而控制访问www.77bx.com所打开的页面。

1.2 内网做DNS劫持,既减少了公网访问的连接数,又可以控制内网用户对于域名的访问,比如公司禁止访问视频网站,那么就可以劫持到内网的一个提示页面上。

2、Ros DNS服务设置

2.1 WinBox后台,IP -> DNS,Servers填写公网DNS服务器(如阿里云:223.6.6.6,腾讯云:119.29.29.29),勾选Allow Remote Requests,点击OK

427-1.png

2.2 配置DHCP的DNS服务器,IP -> DHCP Server ,Netwoks选项卡,点开当前的DHCP服务,找到DNS Servers填写路由器的IP地址(如10.0.0.1),点击OK

427-2.png

2.3 ROS命令 

/ip dns set allow-remote-requests=yes servers=223.6.6.6,119.29.29.29
ip dhcp-server network set 0 dns-server=路由器IP

3、DNS劫持

3.1 IP -> Firewall,NAT选项卡,增加一条规则。

General选项卡,Chain选择dstnat,Src. Address勾选框和填入路由器的IP地址(如10.0.0.1),Protocol选择udp,Dst. Port填写53

Action选项卡,Action选择dst-nat,To Addresses填写路由器的IP地址(如10.0.0.1),To Ports填写53,点击OK

427-3.png

3.2 ROS命令 

/ip firewall nat add action=dst-nat chain=dstnat comment="DNS-Hijack" dst-port=53 protocol=udp src-address=!10.0.0.1 to-addresses=10.0.0.1 to-ports=53

4、测试DNS劫持

4.1 IP -> DNS,Static选项卡,增加1条记录,test.com解析为1.2.3.4,

427-5.png

4.2 测试test.com解析IP,使用Windows nslookup查看解析IP(删除这条记录后就正常解析)。

427-4.png

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。