被目标计算机应用程序忽略的欺骗DNS答案

Question

攻击者: Arch Linux

目标: Windows 10

场景攻击者启动ARP欺骗攻击，将所有目标通信量重定向到攻击者。(这项工程)

目标向攻击者发送有关域名解析的DNS查询。(这项工程)

攻击者机器侦听此查询，如果查询试图解析特定域(detectportal.firefox.com)，则向攻击者的ip发送伪造DNS答案。对于所有其他域，查询都没有回答，甚至没有转发。

攻击者和目标计算机上的Wireshark都确认了欺骗dns答案的接收，尽管触发dns解析的应用程序似乎忽略了这个答案，只是忽略了超时。

目标机器上的示例：

ipconfig /flushdns
nslookup detectportal.firefox.com
DNS request timed out.
    timeout was 2 seconds.
Server: UnKnown
Address: 10.42.0.1  (my gateway ip and the ip being spoofed by the ARP attack)

DNS request timed out.
    timeout was 2 seconds.

DNS request timed out.
    timeout was 2 seconds.

DNS request timed out.
    timeout was 2 seconds.

DNS request timed out.
    timeout was 2 seconds.
**** Request to UnKnown timed-out

Wireshark确认DNS欺骗答案是正确的，并将其与查询相关。

假设：

我既不计算ip头校验和，也不计算udp校验和，只需输入一些值(例如0xDeath、0x牛肉、0xcache)。难道是目标机器在wireshark挑选这些数据包后丢弃这些数据包吗？

Answer 1

难道是目标机器在wireshark挑选这些数据包后丢弃这些数据包吗？

Wireshark在数据包进入IP堆栈之前，即在任何校验和被检查之前，以及在校验和不好的数据包被丢弃之前，就会得到它们。