DNS快取中毒的知識

2021-09-11 01:32:16 字數 1994 閱讀 9402

網路上出現網際網路漏洞——dns快取漏洞,此漏洞直指我們應用中網際網路脆弱的安全系統,而安全性差的根源在於設計缺陷。利用該漏洞輕則可以讓使用者無法開啟網頁,重則是網路釣魚和金融詐騙,給受害者造成巨大損失。

近來,網路上出現網際網路漏洞——dns快取漏洞,此漏洞直指我們應用中網際網路脆弱的安全系統,而安全性差的根源在於設計缺陷。利用該漏洞輕則可以讓使用者無法開啟網頁,重則是網路釣魚和金融詐騙,給受害者造成巨大損失。

dns快取中毒也稱為dns欺騙,是一種攻擊,旨在查詢並利用dns或網域名稱系統中存在的漏洞,以便將有機流量從合法伺服器吸引到虛假伺服器上。這種攻擊往往被歸類為域欺騙攻擊(pharming attack),由此它會導致出現很多嚴重問題。首先,使用者往往會以為登陸的是自己熟悉的**,而它們卻並不是。與釣魚攻擊採用非法url不同的是,這種攻擊使用的是合法的url位址。

dns快取中毒如何工作?

當乙個dns快取伺服器從使用者處獲得網域名稱請求時,伺服器會在快取中尋找是否有這個位址。如果沒有,它就會上級dns伺服器發出請求。

在出現這種漏洞之前,攻擊者很難攻擊dns伺服器:他們必須通過傳送偽造查詢響應、獲得正確的查詢引數以進入快取伺服器,進而控制合法dns伺服器。這個過程通常持續不到一秒鐘,因此黑客攻擊很難獲得成功。

但是,現在有安全人員找到該漏洞,使得這一過程朝向有利於攻擊者轉變。這是因為攻擊者獲悉,對快取伺服器進行持續不斷的查詢請求,伺服器不能給與回應。比如,乙個黑客可能會發出類似請求:1q2w3e.google.com,而且他也知道快取伺服器中不可能有這個網域名稱。這就會引起快取伺服器發出更多查詢請求,並且會出現很多欺騙應答的機會。

當然,這並不是說攻擊者擁有很多機會來猜測查詢引數的正確值。事實上,是這種開放源dns伺服器漏洞的公布,會讓它在10秒鐘內受到危險攻擊。

要知道,即使1q2w3e.google.com受到快取dns中毒攻擊危害也不大,因為沒有人會發出這樣的網域名稱請求,但是,這正是攻擊者發揮威力的地方所在。通過欺騙應答,黑客也可以給快取伺服器指向乙個非法的伺服器網域名稱位址,該位址一般為黑客所控制。而且通常來說,這兩方面的資訊快取伺服器都會儲存。

由於攻擊者現在可以控制網域名稱伺服器,每個查詢請求都會被重定向到黑客指定的伺服器上。這也就意味著,黑客可以控制所有網域名稱下的子域**:www.bigbank.com,mail.bigbank.com,ftp.bigbank.com等等。這非常強大,任何涉及到子域**的查詢,都可以引導至由黑客指定的任何伺服器上。

dns快取中毒有何風險?

如何防止dns快取中毒

那麼,企業究竟該如何防止dns快取中毒攻擊?要從以下幾點出發:

第一,dns伺服器應該配置為盡可能少地依賴與其他dns伺服器的信任關係。以這種方式配置將使攻擊者更難以使用他們自己的dns伺服器來破壞目標伺服器。

第二,企業應該設定dns伺服器,只允許所需的服務執行。因為在dns伺服器上執行不需要的其他服務,只會增加攻擊向量大小。

第三,安全人員還應確保使用最新版本的dns。較新版本的bind具有加密安全事務id和埠隨機化等功能,可以幫助防止快取中毒攻擊。

第四,使用者的安全教育對於防止這些攻擊也非常重要。使用者應接受有關識別可疑**的培訓,使用者要學會只訪問https**,這有助於防止人們成為中毒攻擊的受害者,因為他們會確保不將他們的個人資訊輸入黑客的**。如果他們在連線到**之前收到ssl警告,則不會單擊「忽略」按鈕。 這樣就不會受到dns快取中毒攻擊。

結論

https是現行架構下最安全的解決方案,ssl證書可以很直觀的辨別出釣魚**,避免**受到dns快取中毒攻擊,保護資訊保安。部署ssl證書一定要選擇乙個具有公信力的ca機構,選擇ca機構最好是通過國際webtrust標準的認證,具備了國際電子認證服務能力的ca機構,通過國際webtrust標準的認證意味著ca機構的運營管理和服務水平符合國際標準,並且有能力、有資質提供全球化認證服務,是可靠電子認證服務的有效證明。

DNS快取中毒的知識

網路上出現網際網路漏洞 dns快取漏洞,此漏洞直指我們應用中網際網路脆弱的安全系統,而安全性差的根源在於設計缺陷。利用該漏洞輕則可以讓使用者無法開啟網頁,重則是網路釣魚和金融詐騙,給受害者造成巨大損失。近來,網路上出現網際網路漏洞 dns快取漏洞,此漏洞直指我們應用中網際網路脆弱的安全系統,而安全性...

DNS快取中毒是怎麼回事?

近來,網路上出現網際網路漏洞 dns快取漏洞,此漏洞直指我們應用中網際網路脆弱的安全系統,而安全性差的根源在於設計缺陷。利用該漏洞輕則可以讓使用者無法開啟網頁,重則是網路釣魚和金融詐騙,給受害者造成巨大損失。dns快取中毒也稱為dns欺騙,是一種攻擊,旨在查詢並利用dns或網域名稱系統中存在的漏洞,...

什麼是DNS快取中毒?DNS欺騙如何劫持你

使用者瀏覽器體驗的最鬼祟手段之一,將使用者傳送到惡意站點。讓我們來看看dns快取中毒的工作原理以及如何避免它。什麼是dns快取?url和ip位址的工作原理 dns伺服器的工作原理 為了找出您想去的地方,您的計算機必須將您的url轉換為可以使用的ip位址。為此,它會將您的url傳遞給所謂的dns伺服器...