详解DNS缓存中毒攻击原理以及dns病毒解决办法

所属分类: 网络 / 网络其他 阅读数: 940
收藏 0 赞 0 分享

  DNS缓存漏洞是现在最可怕的漏洞,一起来看看具体的分析吧。

  近来,网络上出现史上最强大的互联网漏洞——DNS缓存漏洞,此漏洞直指我们应用中互联网脆弱的安全系统,而安全性差的根源在于设计缺陷。利用该漏洞轻则可以让用户无法打开网页,重则是网络钓鱼和金融诈骗,给受害者造成巨大损失。

  缓存中毒攻击者(cache poisoning)给DNS服务器注入非法网络域名地址,如果服务器接受这个非法地址,那说明其缓存就被攻击了,而且以后响应的域名请求将会受黑客所控。当这些非法地址进入服务器缓存,用户的浏览器或者邮件服务器就会自动跳转到DNS指定的地址。

  这种攻击往往被归类为域欺骗攻击(pharming attack),由此它会导致出现很多严重问题。首先,用户往往会以为登陆的是自己熟悉的网站,而它们却并不是。与钓鱼攻击采用非法URL不同的是,这种攻击使用的是合法的URL地址。

  另外一个问题是,成百上千的用户会被植入缓存中毒攻击的服务器重定向,引导至黑客设立的圈套站点上。这种问题的严重性,会与使用域名请求的用户多少相关。在这样的情况下,即使没有丰富技术的黑客也可以造成很大的麻烦,让用户稀里糊涂的就把自己网银帐号密码,网游帐号密码告诉给他人。

  用这种类似的方法,邮件系统也会受到黑客攻击。只不过不是给Web服务器,而是给邮件服务器非法地址,从而让系统引导至受到控制的邮件服务器中。

  那么,黑客究竟是怎么做到使缓存服务器接受非法地址呢?当一个DNS缓存服务器从用户处获得域名请求时,服务器会在缓存中寻找是否有这个地址。如果没有,它就会上级DNS服务器发出请求。

  在出现这种漏洞之前,攻击者很难攻击DNS服务器:他们必须通过发送伪造查询响应、获得正确的查询参数以进入缓存服务器,进而控制合法DNS服务器。这个过程通常持续不到一秒钟,因此黑客攻击很难获得成功。

  但是,现在有安全人员找到该漏洞,使得这一过程朝向有利于攻击者转变。这是因为攻击者获悉,对缓存服务器进行持续不断的查询请求,服务器不能给与回应。比如,一个黑客可能会发出类似请求:1q2w3e.google.com,而且他也知道缓存服务器中不可能有这个域名。这就会引起缓存服务器发出更多查询请求,并且会出现很多欺骗应答的机会。

  当然,这并不是说攻击者拥有很多机会来猜测查询参数的正确值。事实上,是这种开放源DNS服务器漏洞的公布,会让它在10秒钟内受到危险攻击。

  要知道,即使1q2w3e.google.com受到缓存DNS中毒攻击危害也不大,因为没有人会发出这样的域名请求,但是,这正是攻击者发挥威力的地方所在。通过欺骗应答,黑客也可以给缓存服务器指向一个非法的服务器域名地址,该地址一般为黑客所控制。而且通常来说,这两方面的信息缓存服务器都会存储。

  由于攻击者现在可以控制域名服务器,每个查询请求都会被重定向到黑客指定的服务器上。这也就意味着,黑客可以控制所有域名下的子域网址:www.bigbank.com,mail.bigbank.com,ftp.bigbank.com等等。这非常强大,任何涉及到子域网址的查询,都可以引导至由黑客指定的任何服务器上。

如何应对?

  为了解决这些问题,用于查询的UDP端口不应该再是默认的53,而是应该在UDP端口范围内随机选择(排除预留端口)

  但是,很多企业发现他们的DNS服务器远落后于提供网络地址转换(network address translation ,NAT)的各种设备。大部分NAT设备会随机选择NDS服务器使用的UDP端口,这样就会使得新的安全补丁会失去效果。IT经理也不会在防火墙中开放全方位的UDP端口。更严重的是,有安全研究员证明,即使提供64000UDP端口中随机选择的保护,DNS服务器也照样有可能受到中毒攻击。

  现在是时候考虑保护DNS的其他方案了。UDP源端口随机化选择是一种比较有用的防护举措,但是这会打破UDP源端口随机化给与DNS服务器的保护,同由此全方位开放端口面临的风险或者降低防火墙性能这两者间的平衡关系。还有一种比较有效的防护措施就是,当检测到面临潜在攻击风险时,让DNS服务器切换到使用TCP连接。

  如果攻击者猜测到了必要的参数以欺骗查询响应,那么就需要额外的防御措施了。这意味着DNS服务器需要更智能化,能够准确分析每个查询响应,以便剔除攻击者发送的非法应答中的有害信息。

  以上就是脚本之家小编为大家讲解的关于DNS缓存中毒攻击的教程,想了解更多关于DNS缓存的教程,请继续关注脚本之家网站!

更多精彩内容其他人还在看

怎么开通联通免费WLAN?联通WLAN免费开通的详细教程

怎么开通联通免费WLAN?相比移动电信的收费WLAN,联通提供免费的WLAN,测试带宽4M左右,下面小编就给大家演示一下怎么开通和使用,需要的朋友可以参考下
收藏 0 赞 0 分享

公共网络无法连接 显示黄色叹号的解决方法

很多时候我们在上着网的时候会突然断线,然后再也无法连接上,并且电脑右下角的本地连接图标上会出现一个叹号,提示网络连接受限制或无连接,下面小编就为大家介绍公共网络无法连接,显示黄色叹号的解决方法介绍,希望能对大家有所帮助
收藏 0 赞 0 分享

宽带网络怎么设置?宽带网络设置方法

宽带路由怎么设置一直困扰着很多初次配置路由的朋友们,那么宽带网络怎么设置?下面小编就为大家介绍宽带网络设置方法,希望能对大家有所帮助
收藏 0 赞 0 分享

DNSPod DNS(119.29.29.29)无劫持怎么样?解析速度对比评测

很多朋友终于都忍受不了国内疯狂的电信运营商DNS劫持现象,旗下的DNSPod推出DNSPod公共DNS服务,主打安全无劫持,那速度怎么样呢?解析准确率又如何呢?下面小编来为大家简单测试一下
收藏 0 赞 0 分享

电脑网络连接失败 网卡只有发送没有接收该怎么办?

电脑网络连接失败 网卡只有发送没有接收该怎么办?电脑没法上网,网线和网络都没有问题,就是测试发现有发送包但接收包为0,该怎么办呢?下面分享解决办法,需要的朋友可以参考下
收藏 0 赞 0 分享

怎么查看自己的Wifi是否被盗用 怎么查看wifi有几个人用

在使用wifi上网的时候,如果使用的人多会影响网速,所以一般都会设置密码,但是现在有很多能破解密码的软件,那么如何查看自己的wifi有没有被盗用?到底有多少个人用呢?下面脚本之家小编教大家怎么查看自己的Wifi是否被盗用,需要的朋友可以参考下
收藏 0 赞 0 分享

Wifi密码怎么看?常用Wifi密码排名大全

如今Wifi无线网络已经非常流行,有时候如果需要临时上网,打算连接这些搜索到的Wifi,但没有密码怎么办?下面小编位大家介绍Wifi密码怎么看以及常用的WiFi密码吧
收藏 0 赞 0 分享

路由器与无线网卡连接故障详细分析

在使用路由器时,会顺便使用同一品牌的无线网卡,这样对兼容性是最好的,可以有效的提升无线网的传输速度,但在使用过程中,也会出现各种不同的故障。
收藏 0 赞 0 分享

电信流量不清零是真的吗 10月1日起中国电信流量不清零

运营商流量不清零终于要开始无门槛实施了,至少中国电信是这样。从网友@看啊就是這只貓曝光的图片来看,中国电信已经引发了“关于套餐内流量单月不清零实施方案的通知”,通知中明确表示,从10月1日开始,中国电信所有手机上网按流量计费的月套餐用户
收藏 0 赞 0 分享

无线网传输变慢的解决办法

无线局域网是越来越多用户采用的组网方式,也被称为WLAN(WirelessLAN),安装十分方便,不需要重新布线、不会破坏家庭原有装修,相比有线网络,无线网络要灵活得多。
收藏 0 赞 0 分享
查看更多