详解DNS缓存中毒攻击原理以及dns病毒解决办法

所属分类: 网络其他 / 网络 阅读数: 674
收藏 0 赞 0 分享

  DNS缓存漏洞是现在最可怕的漏洞,一起来看看具体的分析吧。

  近来,网络上出现史上最强大的互联网漏洞——DNS缓存漏洞,此漏洞直指我们应用中互联网脆弱的安全系统,而安全性差的根源在于设计缺陷。利用该漏洞轻则可以让用户无法打开网页,重则是网络钓鱼和金融诈骗,给受害者造成巨大损失。

  缓存中毒攻击者(cache poisoning)给DNS服务器注入非法网络域名地址,如果服务器接受这个非法地址,那说明其缓存就被攻击了,而且以后响应的域名请求将会受黑客所控。当这些非法地址进入服务器缓存,用户的浏览器或者邮件服务器就会自动跳转到DNS指定的地址。

  这种攻击往往被归类为域欺骗攻击(pharming attack),由此它会导致出现很多严重问题。首先,用户往往会以为登陆的是自己熟悉的网站,而它们却并不是。与钓鱼攻击采用非法URL不同的是,这种攻击使用的是合法的URL地址。

  另外一个问题是,成百上千的用户会被植入缓存中毒攻击的服务器重定向,引导至黑客设立的圈套站点上。这种问题的严重性,会与使用域名请求的用户多少相关。在这样的情况下,即使没有丰富技术的黑客也可以造成很大的麻烦,让用户稀里糊涂的就把自己网银帐号密码,网游帐号密码告诉给他人。

  用这种类似的方法,邮件系统也会受到黑客攻击。只不过不是给Web服务器,而是给邮件服务器非法地址,从而让系统引导至受到控制的邮件服务器中。

  那么,黑客究竟是怎么做到使缓存服务器接受非法地址呢?当一个DNS缓存服务器从用户处获得域名请求时,服务器会在缓存中寻找是否有这个地址。如果没有,它就会上级DNS服务器发出请求。

  在出现这种漏洞之前,攻击者很难攻击DNS服务器:他们必须通过发送伪造查询响应、获得正确的查询参数以进入缓存服务器,进而控制合法DNS服务器。这个过程通常持续不到一秒钟,因此黑客攻击很难获得成功。

  但是,现在有安全人员找到该漏洞,使得这一过程朝向有利于攻击者转变。这是因为攻击者获悉,对缓存服务器进行持续不断的查询请求,服务器不能给与回应。比如,一个黑客可能会发出类似请求:1q2w3e.google.com,而且他也知道缓存服务器中不可能有这个域名。这就会引起缓存服务器发出更多查询请求,并且会出现很多欺骗应答的机会。

  当然,这并不是说攻击者拥有很多机会来猜测查询参数的正确值。事实上,是这种开放源DNS服务器漏洞的公布,会让它在10秒钟内受到危险攻击。

  要知道,即使1q2w3e.google.com受到缓存DNS中毒攻击危害也不大,因为没有人会发出这样的域名请求,但是,这正是攻击者发挥威力的地方所在。通过欺骗应答,黑客也可以给缓存服务器指向一个非法的服务器域名地址,该地址一般为黑客所控制。而且通常来说,这两方面的信息缓存服务器都会存储。

  由于攻击者现在可以控制域名服务器,每个查询请求都会被重定向到黑客指定的服务器上。这也就意味着,黑客可以控制所有域名下的子域网址:www.bigbank.com,mail.bigbank.com,ftp.bigbank.com等等。这非常强大,任何涉及到子域网址的查询,都可以引导至由黑客指定的任何服务器上。

如何应对?

  为了解决这些问题,用于查询的UDP端口不应该再是默认的53,而是应该在UDP端口范围内随机选择(排除预留端口)

  但是,很多企业发现他们的DNS服务器远落后于提供网络地址转换(network address translation ,NAT)的各种设备。大部分NAT设备会随机选择NDS服务器使用的UDP端口,这样就会使得新的安全补丁会失去效果。IT经理也不会在防火墙中开放全方位的UDP端口。更严重的是,有安全研究员证明,即使提供64000UDP端口中随机选择的保护,DNS服务器也照样有可能受到中毒攻击。

  现在是时候考虑保护DNS的其他方案了。UDP源端口随机化选择是一种比较有用的防护举措,但是这会打破UDP源端口随机化给与DNS服务器的保护,同由此全方位开放端口面临的风险或者降低防火墙性能这两者间的平衡关系。还有一种比较有效的防护措施就是,当检测到面临潜在攻击风险时,让DNS服务器切换到使用TCP连接。

  如果攻击者猜测到了必要的参数以欺骗查询响应,那么就需要额外的防御措施了。这意味着DNS服务器需要更智能化,能够准确分析每个查询响应,以便剔除攻击者发送的非法应答中的有害信息。

  以上就是脚本之家小编为大家讲解的关于DNS缓存中毒攻击的教程,想了解更多关于DNS缓存的教程,请继续关注脚本之家网站!

更多精彩内容其他人还在看

如何简单查看自己网速情况?

       刚联网的新用户,往往不知道网速情况,我在此分享一下我的经验,通过以下步骤就可以简单查看网速情况,实时了解网速情况,希望能帮助到您。软件名称:360安全卫士领航版 v12.1.0.1113 Beta 官方免费安装版软件大小:91... 查看详情
收藏 0 赞 0 分享

如何自制wifi信号放大器

   第一步:将空易拉罐洗干净。  第二步:拔掉拉环。  第三步:沿图中红线把罐底切掉,用剪刀剪下来也可以。  第四步:沿图中红线切割罐顶,不要全切掉,留下图中白线标记的部分。  第五步:在白线反面的一侧从底部剪开易拉罐,如图中红线所示。  第六步:展开铁皮,将易拉罐倒... 查看详情
收藏 0 赞 0 分享

怎么在家里给广东联通宽带免费提速?

广东联通光纤宽带用户均可免费提速至20M-100M的速度,每月可以累计提速30小时。本经验就与大家分享如何免费自助提速。1、用浏览器打开百度首页,使用百度搜索关键字“广东联通宽带提速”,点击第二个搜索结果。2、在提速活动页面中,点击立即下载提速客户端。3、... 查看详情
收藏 0 赞 0 分享

你家的Wi-Fi被蹭了!你造吗?简单6招解决蹭网问题

  现在很多智能路由器都自带手机APP,可以随时查看联网的设备,踢到蹭网设备也是轻而易举。但路由器不是年抛设备,很多人都还用着老古董,对于它们,应该如何查看是否被蹭网呢?又该如何规避呢?下面简单6招解决蹭网问题。  如何鉴别是否被蹭网?  第一点、 网速无缘无故变慢。  如果平时... 查看详情
收藏 0 赞 0 分享

网速慢?一分钟释放电脑保留的20%宽带的神特技

平常玩游戏下载东西的时候,网速不快,烦烦烦!!那么有什么方法让网速提高呢!亲爱的,按照我下面来做,保证上网速度大大提高!1、单击桌面开始2、运行3、输入gpedit.msc后点击确定即可4、打开“本地组策略对象编辑器”5、点击展开“计算机配置6... 查看详情
收藏 0 赞 0 分享

360随身wifi不支持win8.1系统该怎么办?

win7中使用很方便,但是360随身wifi在最新的win8和win8.1系统中就无法使用。插在电脑上没有反应,如果你购买了360随身wifi,同时又安装了win8.1系统,就不行了。软件名称:金山毒霸 猎豹正式版 2013.0918 官方永久免费安装版软件大小:11.5MB更... 查看详情
收藏 0 赞 0 分享

家里没有路由器怎么设置wifi共享?

相信很多家庭都安装有路由器来实现手机平板等移动设备的联网,但是没有路由器的情况下,或者路由器故障那么又该如何来共享wifi呢?下面小编就给大家讲一讲具体的方法步骤,希望对大家有所帮组。软件名称:WIFI共享精灵 v2014.06.09.001 正式版 (将笔记本变为无线热点)软件... 查看详情
收藏 0 赞 0 分享

华为E3276s-150 4G网卡不能用该怎么办?

同事有一个电信的4G网卡,我看他平常在单位用用速度不错,自己也去买了华为的E3276s-150的4G上网卡,但是买来后发现用不了,后来有个朋友帮忙看了后,终于将问题解决了。现将经验分享给大家。故障现象1 、上网卡插上后没有4G信号和客户端显示,但是周围同事用的其他电信4... 查看详情
收藏 0 赞 0 分享

华为E3276s-150无线上网卡托连接网络失败的解决办法

最近买了有一个电信的4G网卡,型号是E3276s-150,上网速度挺快的,但是前段时间使用的时候老是出现连接失败的提示,后来检查了4G客户端界面,问题得到解决,现将经验分享给大家。1、故障现象   4G上网卡连接失败,如图:2、故障判断  ... 查看详情
收藏 0 赞 0 分享

华为卡托E3276s-150搜不到4G信号该怎么办?

本人最近入手了一个4G的无线上网卡,买来插在笔记本电脑上,按他的驱动默认安装下,安装完毕后,然后电脑提示重启,但是重启后客户端的4G信号一直显示不出来,由于之前买的时候在其他电脑试过能正常使用,排除了设备故障原因,后经我研究终于找到了问题所在。如图:1、故障现象 &nb... 查看详情
收藏 0 赞 0 分享
查看更多