详解DNS缓存中毒攻击原理以及dns病毒解决办法
(福利推荐:你还在原价购买阿里云服务器?现在阿里云0.8折限时抢购活动来啦!4核8G企业云服务器仅2998元/3年,立即抢购>>>:9i0i.cn/aliyun)
DNS缓存漏洞是现在最可怕的漏洞,一起来看看具体的分析吧。
近来,网络上出现史上最强大的互联网漏洞——DNS缓存漏洞,此漏洞直指我们应用中互联网脆弱的安全系统,而安全性差的根源在于设计缺陷。利用该漏洞轻则可以让用户无法打开网页,重则是网络钓鱼和金融诈骗,给受害者造成巨大损失。
缓存中毒攻击者(cache poisoning)给DNS服务器注入非法网络域名地址,如果服务器接受这个非法地址,那说明其缓存就被攻击了,而且以后响应的域名请求将会受黑客所控。当这些非法地址进入服务器缓存,用户的浏览器或者邮件服务器就会自动跳转到DNS指定的地址。
这种攻击往往被归类为域欺骗攻击(pharming attack),由此它会导致出现很多严重问题。首先,用户往往会以为登陆的是自己熟悉的网站,而它们却并不是。与钓鱼攻击采用非法URL不同的是,这种攻击使用的是合法的URL地址。
另外一个问题是,成百上千的用户会被植入缓存中毒攻击的服务器重定向,引导至黑客设立的圈套站点上。这种问题的严重性,会与使用域名请求的用户多少相关。在这样的情况下,即使没有丰富技术的黑客也可以造成很大的麻烦,让用户稀里糊涂的就把自己网银帐号密码,网游帐号密码告诉给他人。
用这种类似的方法,邮件系统也会受到黑客攻击。只不过不是给Web服务器,而是给邮件服务器非法地址,从而让系统引导至受到控制的邮件服务器中。
那么,黑客究竟是怎么做到使缓存服务器接受非法地址呢?当一个DNS缓存服务器从用户处获得域名请求时,服务器会在缓存中寻找是否有这个地址。如果没有,它就会上级DNS服务器发出请求。
在出现这种漏洞之前,攻击者很难攻击DNS服务器:他们必须通过发送伪造查询响应、获得正确的查询参数以进入缓存服务器,进而控制合法DNS服务器。这个过程通常持续不到一秒钟,因此黑客攻击很难获得成功。
但是,现在有安全人员找到该漏洞,使得这一过程朝向有利于攻击者转变。这是因为攻击者获悉,对缓存服务器进行持续不断的查询请求,服务器不能给与回应。比如,一个黑客可能会发出类似请求:1q2w3e.google.com,而且他也知道缓存服务器中不可能有这个域名。这就会引起缓存服务器发出更多查询请求,并且会出现很多欺骗应答的机会。
当然,这并不是说攻击者拥有很多机会来猜测查询参数的正确值。事实上,是这种开放源DNS服务器漏洞的公布,会让它在10秒钟内受到危险攻击。
要知道,即使1q2w3e.google.com受到缓存DNS中毒攻击危害也不大,因为没有人会发出这样的域名请求,但是,这正是攻击者发挥威力的地方所在。通过欺骗应答,黑客也可以给缓存服务器指向一个非法的服务器域名地址,该地址一般为黑客所控制。而且通常来说,这两方面的信息缓存服务器都会存储。
由于攻击者现在可以控制域名服务器,每个查询请求都会被重定向到黑客指定的服务器上。这也就意味着,黑客可以控制所有域名下的子域网址:www.bigbank.com,mail.bigbank.com,ftp.bigbank.com等等。这非常强大,任何涉及到子域网址的查询,都可以引导至由黑客指定的任何服务器上。
如何应对?
为了解决这些问题,用于查询的UDP端口不应该再是默认的53,而是应该在UDP端口范围内随机选择(排除预留端口)
但是,很多企业发现他们的DNS服务器远落后于提供网络地址转换(network address translation ,NAT)的各种设备。大部分NAT设备会随机选择NDS服务器使用的UDP端口,这样就会使得新的安全补丁会失去效果。IT经理也不会在防火墙中开放全方位的UDP端口。更严重的是,有安全研究员证明,即使提供64000UDP端口中随机选择的保护,DNS服务器也照样有可能受到中毒攻击。
现在是时候考虑保护DNS的其他方案了。UDP源端口随机化选择是一种比较有用的防护举措,但是这会打破UDP源端口随机化给与DNS服务器的保护,同由此全方位开放端口面临的风险或者降低防火墙性能这两者间的平衡关系。还有一种比较有效的防护措施就是,当检测到面临潜在攻击风险时,让DNS服务器切换到使用TCP连接。
如果攻击者猜测到了必要的参数以欺骗查询响应,那么就需要额外的防御措施了。这意味着DNS服务器需要更智能化,能够准确分析每个查询响应,以便剔除攻击者发送的非法应答中的有害信息。
以上就是程序员之家小编为大家讲解的关于DNS缓存中毒攻击的教程,想了解更多关于DNS缓存的教程,请继续关注程序员之家网站!
相关文章
- 今天有同事说他的电脑无法上网提示dns服务错误,通过百度搜索与我们的经验来说,一般情况下都是电脑dns设置错误,或路由器上不了网导致2012-09-29
- 大家一般修改的都是电脑上的DNS地址。其实路由器DNS地址也是可以修改的,路由器DNS地址默认是路由器自动获取的,一般是不用修改的,下面为大家简单介绍下,感兴趣的朋友不2013-10-22
- 电脑突然上不了网,或者存在某些网站打不开的情况,想必很多朋友都会遇到过吧,这种问题可能是由于DNS缓存延时导致,下面与大家分享下如何使用命令清理DNS缓存2013-05-28
如何刷新dns缓存 刷新dns缓存命令(ipconfig /flushdns)
刷新dns缓存的命令是什么?这是因为当我们需要安装新的软件的时候就需要先刷新下dns服务器,清除dns缓存2013-03-02- 由于DNS异常重要,任何修改你DNS设置的行为,如果没有明确告知欲将你的DNS改换成什么IP、并征得你同意都可以视为DNS篡改,下面为大家介绍下具体的解决方法,感兴趣的朋友可2013-09-02
- 通过劫持路由器,可以篡改路由器DNS地址,一旦DNS地址被篡改,其就可以控制电脑访问网络的情况,下面为大家介绍3种方法看路由器是否被劫持2014-04-02
- 右键单击“本地连接”选择“修复”后,系统提示“Windows无法完成修复问题,因为下列操作无法完成清除DNS缓存...”的错误,针对这个问题,下面有个不错的解决方案大家可以2013-11-13
如何将电脑DNS设置为阿里云DNS 阿里公共DNS设置图文教程
随着阿里公共DNS正式推出,如今国内用户又多了一种公共DNS服务,阿里公共DNS拥有多线BGP优秀链路、一流IP库,并具备防钓鱼、防DNS劫持的左右,可以给宽带用户带来稳定、安2014-07-23dns服务器地址大全 全国主要省份电信/网通/铁通dns地址汇总
dns是什么 dns服务器是什么?简单的理解为时网络提供商所在地的网络服务器IP地址,我们选择电信或网通等网络商时一般当地商家都有DNS服务器地址,以下路由器网为大家汇总了2013-01-17- 近日爆出了黑客恶意修改dns地址,实现域名劫持,大家一定注意安全,这里为大家分享下路由器中的dns查看与设置方法, 需要的朋友可以参考下2014-03-06
最新评论