主流域名解析庫曝重大DNS投毒漏洞,如何有效應對DNS投毒?
近日,一個未修復的關鍵安全漏洞被披露,透過利用該漏洞可對物聯網類產品造成巨大的安全威脅。該漏洞最早於2021年9月被報告,影響了用於開發嵌入式Linux系統的兩個流行的C庫——uClibc和uClibc-ng的域名DNS系統的正常使用,這可能會使數百萬物聯網裝置面臨巨大的安全威脅。
網路安全研究人員表示,該漏洞可能允許攻擊者對目標裝置實施DNS投毒攻擊。成功利用該漏洞可進行中間人 ( MitM ) 攻擊並破壞DNS快取,從而將網際網路流量重定向到他們控制的惡意伺服器上。如果將作業系統配置為使用固定或可預測的源埠,則可以輕鬆利用該漏洞,竊取和操縱使用者傳輸的資訊,並對這些裝置進行其他攻擊。
什麼是DNS投毒?
DNS快取投毒又稱DNS欺騙,是一種透過查詢並利用DNS系統中存在的漏洞,將流量從合法伺服器引導至虛假伺服器上的攻擊方式。與一般的釣魚攻擊採用非法URL不同的是,這種攻擊使用的是合法URL地址。
DNS投毒的工作機制
在實際的DNS解析過程中,使用者請求某個網站,瀏覽器首先會查詢本機中的DNS快取,如果DNS快取中記錄了該網站和IP的對映關係,就會直接將結果返回給使用者,使用者對所得的IP地址發起訪問。如果快取中沒有相關記錄,才會委託遞迴伺服器發起遞迴查詢。
這種查詢機制,縮短了全球查詢的時間,可以讓使用者獲得更快的訪問體驗,但也存在一定的安全風險。如果攻擊者透過控制使用者的主機或者使用惡意軟體攻擊使用者的DNS快取,就可以對DNS快取中的域名對映關係進行篡改,將域名解析結果指向一個虛假IP。
在這種情況下,使用者再次對該網站發起請求時,透過DNS系統的解析會直接將虛假的對映關係返給使用者,將使用者引導至虛假站點之上,從而造成資訊洩露,財產安全受到影響。
如何應對DNS投毒?
(1)DNS伺服器中Bind等軟體採用源埠隨機性較好的較高版本。源埠的隨機性可以有效降低攻擊成功的機率,增加攻擊難度。
(2)增加權威域名伺服器的數量。據調查,國際和國內在權威域名伺服器部署的數量方面近幾年均有所提升,但應進一步加強。
(3)在現有DNS協議框架基礎上,引入一些技巧性方法,增強DNS安全性。如在對DNS應答資料包的認證方面,除原查詢包傳送IP地址、埠和隨機查詢ID外,再增加其他可認證欄位,增強認證機制。
(4)改進現有DNS協議框架,例如在DNS伺服器上配置DNSSEC安全的機制,提升對應答資料包的弱認證方式以提高DNS安全性,或引入IPv6協議機制。
(5)採用DNS智慧雲解析技術。中科三方雲解析系統配備10萬+加速節點覆蓋全國所有省份和運營商,主動向全國公共DNS推送域名記錄,支援最低1秒的TTL值,可大幅提升域名解析的準確性和穩定性,降低公共DNS的遞迴時間,提升網站的解析速度,有效避免DNS劫持、DNS投毒造成的損失。
DNS在網際網路上應用廣泛,其安全性關係整個Internet的穩定。DNS快取投毒作為一種常見的DNS攻擊手段,具備危害性大、隱蔽性強等特點,如果與其他攻擊技術結合,其對於網路安全的破壞性更強。因此,如何提升DNS安全防禦能力,有效應對DNS劫持、DNS投毒等攻擊手段,應成為廣大政企網站關注的重點。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69996004/viewspace-2898954/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 主流域名解析庫曝重大DNS投毒漏洞,應如何做好有效應對?DNS
- 什麼是DNS快取投毒?有哪些危害?DNS快取
- DNS泛解析與內容投毒,XSS漏洞以及證書驗證的那些事DNS
- 什麼是DNS劫持?如何進行有效應對?DNS
- 國科雲:淺談DNS快取投毒常見型別和防禦策略DNS快取型別
- 什麼是DNS劫持?如何應對DNS劫持?DNS
- DNS域名解析DNS
- Linux---DNS域名解析如何配置LinuxDNS
- Oracle Database Server 'TNS Listener'遠端資料投毒漏洞OracleDatabaseServer
- DNS域名解析服務DNS
- Linux——DNS域名解析服務LinuxDNS
- 什麼是DNS域名解析DNS
- 雲解析DNS如何有效應對頻發的DDoS攻擊?(中科三方)DNS
- DNS域名解析服務及其配置DNS
- 必看:詳解DNS域名解析:重新整理本地DNS快取,使域名解析儘快生效DNS快取
- Oracle 監聽投毒COST解決Oracle
- 給資料“投毒”:畫師正在如何反擊AI?AI
- 使用 CoreDNS 來應對 DNS 汙染DNS
- 主從DNS域名解析伺服器DNS伺服器
- 淺析DNS劫持及應對方案DNS
- linux apache泛域名解析及dns相關LinuxApacheDNS
- 域名解析導致資料庫連線緩慢(hosts :files dns)資料庫DNS
- Javascript快取投毒學習與實戰JavaScript快取
- 新發現DNS安全漏洞影響巨大,政企如何做好DNS安全防護?DNS
- 利用Wireshark抓包分析DNS域名解析過程DNS
- linux下安裝dns域名解析伺服器LinuxDNS伺服器
- 雲解析DNS如何應對DDoS攻擊?(中科三方)DNS
- DNS 系列(三):如何免受 DNS 欺騙的侵害DNS
- 什麼是DNS解析?如何提升DNS解析安全?DNS
- 【中科三方】高防DNS有效防劫持,配置智慧DNS解析必不可少DNS
- 如何防止DNS汙染?DNS
- DNS劫持 DNS汙染 介紹、dns 劫持 汙染DNS
- DNS服務應用DNS
- 如何判斷DNS解析故障?如何解決DNS解析錯誤?DNS
- 第3步: 域名解析伺服器的過程(DNS)伺服器DNS
- DNS劫持和DNS汙染DNS
- go語言中強大的DNS庫--github.com/miekg/dnsGoDNSGithub
- 中科三方:DNS劫持原理及應對方法DNS