DNS Pinning 绕过：如何通过在浏览器中缓存 DNS 记录来绕过某些安全机制？

各位观众，早上好！（咳咳，调整麦克风）今天咱们来聊点刺激的，关于DNS Pinning绕过的小技巧。别害怕，这玩意儿听起来高深，其实原理很简单，就像小时候玩的躲猫猫，只不过我们躲的是安全机制的眼睛。

啥是DNS Pinning？它为啥存在？

想象一下，你去银行取钱，银行门口站着保安，确认你的身份。DNS Pinning就是这个保安，它用来确保你访问的网站真的是你想访问的网站，而不是一个伪装者。

具体来说，DNS Pinning会把域名和对应的IP地址“钉”在你的浏览器或者App里。下次你访问同一个域名时，浏览器会直接对比当前解析到的IP地址和之前“钉”住的IP地址是否一致。如果一致，说明没问题，可以安全访问；如果不一致，说明可能有人搞鬼，比如中间人攻击，浏览器就会发出警告或者直接拒绝连接。

DNS Pinning的种类

种类	描述	适用场景
Static Pinning	直接在代码里写死域名和IP地址的对应关系。	安全要求极高的场景，例如银行App。但是灵活性差，IP地址变更需要更新App。
Dynamic Pinning	通过HTTP Header或者配置文件动态更新Pinning信息。	灵活性较高，可以应对IP地址变更，但是也增加了被攻击的风险，例如中间人篡改HTTP Header。

为啥要绕过它？（当然不是让你去干坏事！）

既然DNS Pinning这么安全，那我们为啥还要研究如何绕过它呢？原因有很多：

• 测试渗透： 安全研究人员需要测试目标系统的安全性，绕过DNS Pinning是其中一种测试方法。
• 调试代理： 有时候我们需要使用代理服务器来调试网络请求，而DNS Pinning会阻止代理服务器正常工作。
• 隐私保护： 在某些情况下，我们可能希望绕过DNS Pinning来保护自己的隐私，防止被追踪。

绕过DNS Pinning的几种姿势

好了，铺垫了这么多，终于到了正题，我们来看看如何绕过DNS Pinning。记住，这些技巧仅供学习和研究，请勿用于非法用途！

1. 修改hosts文件

   这是最简单粗暴的方法。hosts文件相当于一个本地的DNS服务器，优先级比真正的DNS服务器更高。我们可以直接在hosts文件里指定域名和IP地址的对应关系，绕过浏览器或者App的DNS Pinning。

   • Windows: C:WindowsSystem32driversetchosts
   • Linux/macOS: /etc/hosts

   例如，我们想让www.example.com指向127.0.0.1，只需要在hosts文件里添加一行：

   127.0.0.1  www.example.com

   优点： 简单易用，不需要任何工具。
   缺点： 需要修改系统文件，可能会被安全软件拦截。只对修改hosts的设备生效。

2. 使用本地DNS服务器

   我们可以搭建一个本地的DNS服务器，例如dnsmasq或者bind9，然后修改本地设备的DNS设置，让它使用我们的DNS服务器。在本地DNS服务器上，我们可以随意修改域名和IP地址的对应关系，绕过DNS Pinning。

   以dnsmasq为例，假设我们想让www.example.com指向127.0.0.1，只需要在dnsmasq.conf文件里添加一行：

   address=/www.example.com/127.0.0.1

   然后重启dnsmasq服务即可。

   优点： 可以灵活控制域名解析，适用于复杂的网络环境。
   缺点： 需要一定的技术基础，搭建和配置DNS服务器比较麻烦。

3. 使用代理服务器

   如果我们使用代理服务器来访问目标网站，那么浏览器或者App的DNS请求会先发送到代理服务器，由代理服务器进行解析。我们可以在代理服务器上修改DNS解析结果，绕过DNS Pinning。

   常用的代理服务器有Burp Suite、Charles、mitmproxy等。这些工具都提供了强大的流量拦截和修改功能。

   以Burp Suite为例，我们可以使用Proxy -> Options -> Match and Replace功能，将DNS解析结果中的IP地址替换为我们想要的IP地址。

   优点： 可以拦截和修改HTTP流量，功能强大。
   缺点： 需要一定的学习成本，配置比较复杂。

4. 修改浏览器或者App的代码

   这是最彻底的绕过方法，但是也最困难。我们需要反编译浏览器或者App的代码，找到DNS Pinning相关的逻辑，然后修改代码，禁用或者绕过Pinning检查。

   这种方法需要具备很强的编程能力和逆向工程能力。而且，修改后的代码可能会导致浏览器或者App崩溃或者出现其他问题。

   优点： 可以完全控制DNS解析，适用于任何情况。
   缺点： 难度极高，需要很强的技术能力。

5. 利用DNS缓存

   这个方法比较有趣，也相对隐蔽。它利用了浏览器或者操作系统对DNS记录的缓存机制。如果一个域名已经被解析过，那么浏览器或者操作系统会将解析结果缓存一段时间。

   我们可以先让浏览器或者操作系统解析到一个错误的IP地址，然后等待缓存过期。在缓存过期之前，我们快速修改hosts文件或者DNS服务器，让域名解析到正确的IP地址。这样，在缓存过期之后，浏览器或者操作系统就会使用正确的IP地址，绕过DNS Pinning。

   这个方法的关键在于控制缓存的时间。我们可以通过设置DNS记录的TTL（Time To Live）值来控制缓存的时间。TTL值越小，缓存的时间越短。

   代码示例 (Python):

   import socket
   import time
   
   def resolve_domain(domain):
       """解析域名并返回IP地址"""
       try:
           ip_address = socket.gethostbyname(domain)
           return ip_address
       except socket.gaierror:
           return None
   
   def tamper_dns(domain, fake_ip):
       """修改hosts文件，将域名指向错误的IP地址"""
       hosts_file = "/etc/hosts"  # Linux/macOS
       # hosts_file = "C:\Windows\System32\drivers\etc\hosts" # Windows
       try:
           with open(hosts_file, "a") as f:
               f.write(f"{fake_ip} {domain}n")
           print(f"[+] Successfully tampered DNS for {domain} to {fake_ip}")
       except Exception as e:
           print(f"[-] Failed to tamper DNS: {e}")
   
   def restore_dns(domain):
       """恢复hosts文件，删除域名对应的条目"""
       hosts_file = "/etc/hosts"  # Linux/macOS
       # hosts_file = "C:\Windows\System32\drivers\etc\hosts" # Windows
       try:
           with open(hosts_file, "r") as f:
               lines = f.readlines()
           with open(hosts_file, "w") as f:
               for line in lines:
                   if domain not in line:
                       f.write(line)
           print(f"[+] Successfully restored DNS for {domain}")
       except Exception as e:
           print(f"[-] Failed to restore DNS: {e}")
   
   if __name__ == "__main__":
       domain = "www.example.com"
       fake_ip = "1.2.3.4"  # 错误的IP地址
       real_ip = "127.0.0.1"  # 正确的IP地址
   
       # 1. 解析域名 (确保缓存存在，如果之前没有解析过)
       print(f"[+] Resolving {domain} to populate DNS cache...")
       resolve_domain(domain)
       time.sleep(2) # 等待解析完成
   
       # 2. 修改hosts文件，将域名指向错误的IP地址
       print(f"[+] Tampering DNS for {domain} to {fake_ip}...")
       tamper_dns(domain, fake_ip)
       time.sleep(5) # 确保错误IP被缓存
   
       # 3. 恢复hosts文件，删除域名对应的条目
       print(f"[+] Restoring DNS for {domain}...")
       restore_dns(domain)
       time.sleep(2) # 确保恢复生效
   
       # 4. 再次解析域名，此时应该解析到正确的IP地址 (如果缓存过期)
       print(f"[+] Resolving {domain} again...")
       ip_address = resolve_domain(domain)
       if ip_address:
           print(f"[+] {domain} resolves to {ip_address}")
       else:
           print(f"[-] Failed to resolve {domain}")

   代码解释:

   • resolve_domain(domain): 解析域名，确保缓存存在。
   • tamper_dns(domain, fake_ip): 修改hosts文件，将域名指向错误的IP地址。
   • restore_dns(domain): 恢复hosts文件，删除域名对应的条目。
   • time.sleep(): 暂停一段时间，等待缓存生效或过期。

   注意事项:

   • 这个方法依赖于DNS缓存的机制，所以效果可能会因浏览器和操作系统的不同而有所差异。
   • TTL值越小，成功率越高，但也会增加操作的复杂性。
   • 修改hosts文件需要管理员权限。

   优点： 相对隐蔽，不需要修改浏览器或者App的代码。
   缺点： 成功率较低，依赖于DNS缓存的机制。需要精确控制时间。

实战演练：绕过某个App的DNS Pinning

假设我们有一个App，它使用了Static Pinning，将api.example.com和1.2.3.4绑定在一起。现在，api.example.com的IP地址变成了5.6.7.8。如果我们直接访问App，会收到连接错误的提示。

我们可以使用以下步骤绕过DNS Pinning：

1. 反编译App： 使用工具例如apktool (Android) 或 iPA (iOS) 反编译App。
2. 查找Pinning代码： 在反编译后的代码中搜索api.example.com或者1.2.3.4，找到Pinning相关的代码。
3. 修改代码： 将1.2.3.4替换为5.6.7.8，或者直接禁用Pinning检查。
4. 重新编译App： 使用工具重新编译App。
5. 安装App： 将修改后的App安装到设备上。

当然，这种方法需要一定的技术基础，而且可能会违反App的使用协议。

防御DNS Pinning绕过

作为开发者，我们应该如何防止自己的App被绕过DNS Pinning呢？

• 使用动态Pinning： 不要使用Static Pinning，而是使用Dynamic Pinning，允许服务器动态更新Pinning信息。
• 多重验证： 除了DNS Pinning，还可以使用其他安全机制，例如证书Pinning、HTTP Public Key Pinning (HPKP) 等。
• 监控： 监控DNS解析异常，及时发现和处理攻击。
• 代码混淆： 对代码进行混淆，增加反编译的难度。

总结

DNS Pinning是一种有效的安全机制，可以防止中间人攻击。但是，它也存在被绕过的风险。我们可以使用多种方法绕过DNS Pinning，例如修改hosts文件、使用本地DNS服务器、使用代理服务器、修改浏览器或者App的代码、利用DNS缓存等。作为开发者，我们应该采取多种安全措施，防止自己的App被绕过DNS Pinning。

免责声明

本文仅供学习和研究，请勿用于非法用途。绕过DNS Pinning可能会违反App的使用协议，甚至触犯法律。请务必遵守相关法律法规和协议。

好了，今天的讲座就到这里。感谢大家的收听！希望这些知识对你有所帮助。记住，安全是一个永恒的攻防游戏，我们需要不断学习和进步，才能更好地保护自己和我们的用户。下次再见！