ITPub博客

首页 > IT职业 > IT生活 > 什么是DNS缓存中毒?如何防止您的网站免受DNS缓存中毒攻击

什么是DNS缓存中毒?如何防止您的网站免受DNS缓存中毒攻击

原创 IT生活 作者:omcw922874 时间:2020-07-07 17:26:57 0 删除 编辑

什么是DNS 缓存中毒

DNS 缓存中毒是一种网络攻击,它使您的计算机认为它将到达正确的地址,但事实并非如此。攻击者利用DNS缓存中毒来劫持互联网流量并窃取用户凭据或个人数据。DNS缓存中毒攻击,也称为DNS欺骗,试图诱骗用户将其私人数据输入不安全的网站。

什么是DNS 缓存

在讨论攻击之前,我们需要重新理解DNS和DNS缓存。DNS是IP地址和域名的全局目录。DNS缓存是一个将这些地址存储在世界各地的DNS服务器中的系统。

为了使您的DNS请求快速,最初的开发人员创建了一个分布式DNS系统。每个服务器都存储一个它知道的DNS记录的列表,称为缓存。如果离您最近的 DNS 服务器不知道您需要的IP地址,它会询问其他DNS服务器,直到您找到要访问的网站的IP地址。然后,DNS服务器将新条目保存在缓存中。

DNS 缓存中毒攻击的工作原理

DNS 缓存中毒通过欺骗DNS服务器来保存伪造的DNS条目。伪造的DNS条目流到选择窃取数据的攻击者的服务器。

攻击者在DNS中植入一个假地址;

服务器缓存假地址;

流量被拉到攻击者的服务器。

常用技术手段如下:

(1) 生日袭击

DNS 不验证对递归查询的响应,因此第一个响应存储在缓存中。攻击者使用“生日袭击”尝试预测伪造的响应并将其发送给请求者。生日袭击使用数学和概率论进行猜测。在这种情况下,攻击者试图猜测您的DNS请求的事务ID,因此带有伪造DNS条目的伪造响应将在实际响应之前到达您。

生日袭击可能不会成功,但最终,攻击者会将假响应偷偷潜入缓存中。一旦攻击确实成功,攻击者将看到来自伪造DNS项的流量,直到生存时间 (TTL 过期。

(2) 卡明斯基脆弱性

卡明斯基攻击是Blackhat2008中提出的生日袭击的变体。首先,攻击者向不存在的目标解析程序发送DNS查询,例如“假丁欣网.cn“。然后,解析程序将查询转发到权威名称服务器,以获取错误子域的IP地址。此时,攻击者向解析器注入大量伪造的响应,希望其中一个伪造的响应与原始查询的事务ID匹配。

如果攻击成功,则攻击者已使用的假IP地址毒害目标解析程序的DNS缓存鼎新证券网. 直到TTL,有人要求鼎新证券网会得到一个假的IP地址。

(3) 窃听

如果攻击者有足够的网络访问权限,他可以监视本地DNS流量并使用多种技术来销毁缓存。

如何检测DNS 缓存中毒

那么,如何检测DNS缓存中毒攻击呢?监视DNS服务器是否存在可能的攻击迹象,并将数据安全分析应用到DNS监视中,以识别正常的OneSnodens行为受攻击保护。

对于单个域,来自单个源的DNS活动突然增加表示可能存在生日攻击。

从单一来源查询DNS服务器以获得多个域名而无需递归的DNS活动的增加表明有人试图寻找中毒条目。

除了监视DNS之外,它还监视activedirectory事件和文件系统行为以发现异常活动。更好的是,使用分析来关联所有三种媒体之间的活动,为您的网络安全策略添加有价值的环境。

如何预防

除了监视和分析之外,您还可以在 DNS 服务器上进行配置更改。

利米

t 递归查询以防止潜在的目标中毒攻击

只存储与请求域相关的数据

将响应限制为仅提供有关请求域的响应

强制客户端使用HTTPS

请确保您使用的是最新版本的BIND和DNS软件,以便您有最新的安全修复程序。

最后,DNSSEC是一种新的DNS协议,它加密DNS请求以防止伪造。这个协议没有被广泛采用,因为它确实减慢了DNS进程。HTTPS上的DNS(DoH)是DNS竞争规范的下一个版本,它可以在不牺牲DNSSEC等速度的前提下保证DNS请求的安全性。


来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/69964980/viewspace-2703047/,如需转载,请注明出处,否则将追究法律责任。

全部评论
企鹅;56767691

注册时间:2020-03-01

  • 博文量
    38
  • 访问量
    18149