一、定义:
DNS欺骗是指攻击者将伪造的域名解析记录插入到DNS缓存服务器中,把网络用户的有效访问请求重定向到攻击者的网站上。
二、原理:
DNS欺骗的原理非常简单,攻击者只要把伪造的域名解析记录插入到DNS缓存服务器中,就可以使正常用户访问网站时重定向到攻击者指定的假网站上。DNS服务器会存储一份把网址转换成IP地址的记录表,当一个网络用户输入一个受害者无法控制的名称时(如www.example.com),DNS服务器会把记录表中此域名所对应的IP地址传递给网络用户,从而使得它可以访问目标网站。借助攻击者的伪造域名解析记录,受害者的网络访问会受阻,用户访问的不再是受害者的网站,而是攻击者指定的伪造的网站。
三、攻击方式:
1、缓存污染:当攻击者将伪造的域名解析记录写入DNS服务器的缓存中,合法网站的IP地址将被伪造的记录覆盖,而一旦缓存写入,它就会在新的请求中被使用,从而实现DNS欺骗。
2、窃取DNS解析服务:攻击者会窃取一台DNS服务器,把他们想要的域名解析记录添加到他们所占有的DNS服务器,从而阻止受害者访问正常网站,并重定向到他们指定的假网站。
3、利用漏洞进行DNS投毒攻击:攻击者将恶意代码注入到正常的DNS解析服务器,以把正常的记录覆盖掉,实现DNS欺骗。
四、防范方法:
1、采用安全的DNS解析服务:确保DNS服务器是托管在安全可靠的服务器上,建议为每个子域名配置一个独立的DNS解析服务器,以防止DNS欺骗攻击。
2、使用强有力的权限管理:设置灵活的DNS解析控制权限机制,限制域名解析来源的IP地址范围,使用更精确的安全加固措施来减少攻击者的侵入机会。
3、实施定期的审计和监控:定期审计DNS服务器,对域名信息进行安全检查,实施实时回溯和检测,及时发现DNS欺骗攻击行为,进行必要的修复。
一、DNS欺骗的概念
DNS欺骗(DNS spoofing)是指恶意修改DNS的记录,使用不正当的键入来改变某个域的DNS指向,以此绕过原有的DNS记录,导致访问者被误导到一个伪装的服务器网站中,常用于盗取账号密码的黑客攻击,是一种网络安全中的入侵手段。
二、DNS欺骗的攻击原理
1. DNS服务器抗攻击能力缺乏。DNS服务器具有可忽略的抗攻击能力,尤其是管理上缺乏安全性审计和外部安全性漏洞扫描,导致受到破坏和攻击的可能性极大;
2.攻击者利用中间人攻击技术。攻击者会尝试向某个网络上的多个关键节点发出伪造的DNS响应,以此来中断正常的连接,并且可能使其映射到恶意网站或控制其设备。另外,攻击者也可以采取其他技术,如钝化DNS服务器、针对DNS服务器进行应急备份,以使DNS欺骗策略正常产生作用;
3. DNS欺骗利用分布式特性。由于DNS系统中存在许多DNS服务器,可以攻击数量可观的这些服务器,从而有效地ツ实施DNS欺骗。
三、DNS欺骗的影响
1. 给用户的上网安全带来很大的威胁。攻击者利用DNS欺骗技术,可以将访问者转向伪造的网站,并从中盗取重要的用户数据及隐私等信息,从而实施网络犯罪;
2. 给用户的搜索结果带来不可控性。在被恶意植入的搜索引擎页面中,会出现大量的无用信息,以及色情、垃圾等内容。
3. 影响网站的正常访问。被DNS欺骗的网站,用户的访问请求会被欺骗服务器转到另外的页面中,导致用户无法正常浏览。
四、预防和应对措施
1. 加强DNS服务器安全管理。严格的DNS服务器安全管理,应当实行安全性审计以及定期的外部安全性漏洞扫描,及时发现攻击影响;
2. 使用DNS服务器反射服务。DNS服务器反射服务可以强制要求DNS客户端重新从远程服务器获取更新的地址列表,保证数据的够靠性;
3. 使用iptables防止DNS欺骗攻击。iptables是linux下利用防火墙技术的一种工具,可以过滤抗攻击的DNS信息及报文,有助于防止DNS欺骗的攻击;
4. 使用DNSSEC技术。利用其签名进行数据的验证,避免中间人攻击,确保客户端从DNS服务器上获得的为真正的对应域名的IP地址,防止发生DNS欺骗;
5. 注意外部网站的访问。特别是密码等重要信息输入前,应该检查是否为正规官方网站。