当前位置:首页 > 原创教程 > RouterOS劫持内网DNS解析

RouterOS劫持内网DNS解析

原创教程 / 星之宇 / 2022-6-1 20:21 / 浏览:1844 / 评论:3

本文主要讲RouterOS对内网DNS解析的劫持,包括使用公网DNS解析的设备。

1、DNS劫持

1.1 DNS劫持就是通过技术手段,来控制用户解析域名的IP地址。如www.77bx.com正常解析返回是1.1.1.1,现在需要内网用户访问www.77bx.com解析IP返回192.168.1.2,进而控制访问www.77bx.com所打开的页面。


1.2 内网做DNS劫持,既减少了公网访问的连接数,又可以控制内网用户对于域名的访问,比如公司禁止访问视频网站,那么就可以劫持到内网的一个提示页面上。


2、Ros DNS服务设置

2.1 WinBox后台,IP -> DNS,Servers填写公网DNS服务器(如阿里云:223.6.6.6,腾讯云:119.29.29.29),勾选Allow Remote Requests,点击OK

427-1.png


2.2 配置DHCP的DNS服务器,IP -> DHCP Server ,Netwoks选项卡,点开当前的DHCP服务,找到DNS Servers填写路由器的IP地址(如10.0.0.1),点击OK

427-2.png


2.3 ROS命令

/ip dns set allow-remote-requests=yes servers=223.6.6.6,119.29.29.29
ip dhcp-server network set 0 dns-server=路由器IP


3、DNS劫持

3.1 IP -> Firewall,NAT选项卡,增加一条规则。

General选项卡,Chain选择dstnat,Src. Address勾选框和填入路由器的IP地址(如10.0.0.1),Protocol选择udp,Dst. Port填写53

Action选项卡,Action选择dst-nat,To Addresses填写路由器的IP地址(如10.0.0.1),To Ports填写53,点击OK

427-3.png


3.2 ROS命令

/ip firewall nat add action=dst-nat chain=dstnat comment="DNS-Hijack" dst-port=53 protocol=udp src-address=!10.0.0.1 to-addresses=10.0.0.1 to-ports=53


4、测试DNS劫持

4.1 IP -> DNS,Static选项卡,增加1条记录,test.com解析为1.2.3.4,

427-5.png


4.2 测试test.com解析IP,使用Windows nslookup查看解析IP(删除这条记录后就正常解析)。

427-4.png

目前有 3 条评论

    • 昵称
    • 邮箱
    • 网址

    router 2024-09-29 23:012楼

    感谢博主分享。 我一直以为routeros里面dns要填的地址是routeros自己的地址.....评论

    lucas 2024-07-24 15:531楼

    看看到博主有使用IPV6并且配置了DNS, 我想问一下如何给局域网的机器都指定IPV6 DNS为ros主路由评论

    星之宇 2024-07-25 10:45

    局域网的机器自动获取的,这个DNS只用于Ros路由器使用。或者你可以考虑劫持DNS回复