DNS快取中毒是怎麼回事?
近來,網路上出現網際網路漏洞——DNS快取漏洞,此漏洞直指我們應用中網際網路脆弱的安全系統,而安全性差的根源在於設計缺陷。利用該漏洞輕則可以讓使用者無法開啟網頁,重則是網路釣魚和金融詐騙,給受害者造成巨大損失。
DNS快取中毒也稱為DNS欺騙,是一種攻擊,旨在查詢並利用DNS或域名系統中存在的漏洞,以便將有機流量從合法伺服器吸引到虛假伺服器上。這種攻擊往往被歸類為域欺騙攻擊(pharming attack),由此它會導致出現很多嚴重問題。首先,使用者往往會以為登陸的是自己熟悉的網站,而它們卻並不是。與釣魚攻擊採用非法URL不同的是,這種攻擊使用的是合法的URL地址。
當一個DNS快取伺服器從使用者處獲得域名請求時,伺服器會在快取中尋找是否有這個地址。如果沒有,它就會上級DNS伺服器發出請求。
在出現這種漏洞之前,攻擊者很難攻擊DNS伺服器:他們必須透過傳送偽造查詢響應、獲得正確的查詢引數以進入快取伺服器,進而控制合法DNS伺服器。這個過程通常持續不到一秒鐘,因此駭客攻擊很難獲得成功。
但是,現在有安全人員找到該漏洞,使得這一過程朝向有利於攻擊者轉變。這是因為攻擊者獲悉,對快取伺服器進行持續不斷的查詢請求,伺服器不能給與回應。比如,一個駭客可能會發出類似請求:1q2w3e.google.com,而且他也知道快取伺服器中不可能有這個域名。這就會引起快取伺服器發出更多查詢請求,並且會出現很多欺騙應答的機會。
當然,這並不是說攻擊者擁有很多機會來猜測查詢引數的正確值。事實上,是這種開放源DNS伺服器漏洞的公佈,會讓它在10秒鐘內受到危險攻擊。
要知道,即使1q2w3e.google.com受到快取DNS中毒攻擊危害也不大,因為沒有人會發出這樣的域名請求,但是,這正是攻擊者發揮威力的地方所在。透過欺騙應答,駭客也可以給快取伺服器指向一個非法的伺服器域名地址,該地址一般為駭客所控制。而且通常來說,這兩方面的資訊快取伺服器都會儲存。
由於攻擊者現在可以控制域名伺服器,每個查詢請求都會被重定向到駭客指定的伺服器上。這也就意味著,駭客可以控制所有域名下的子域網址:,mail.bigbank.com,ftp.bigbank.com等等。這非常強大,任何涉及到子域網址的查詢,都可以引導至由駭客指定的任何伺服器上。
DNS快取中毒的主要風險是竊取資料。DNS快取中毒攻擊的最喜歡的目標是醫院,金融機構網站和線上零售商。這些目標容易被欺騙,這意味著任何密碼,信用卡或其他個人資訊都可能受到損害。此外,在使用者裝置上安裝金鑰記錄器的風險,可能會導致使用者訪問其他站點時暴露其使用者名稱和密碼。
另一個重大風險是,如果網際網路安全提供商的網站被欺騙,那麼使用者的計算機可能會受到其他威脅(如:病毒或特洛伊木馬)的影響,因為一旦被攻擊使用者則不會執行合法的安全更新。
據稱,DNS攻擊的年平均成本為223.6萬美元,其中23%的攻擊來自DNS快取中毒。
那麼,企業究竟該如何防止DNS快取中毒攻擊?要從以下幾點出發:
第一,DNS伺服器應該配置為儘可能少地依賴與其他DNS伺服器的信任關係。以這種方式配置將使攻擊者更難以使用他們自己的DNS伺服器來破壞目標伺服器。
第二,企業應該設定DNS伺服器,只允許所需的服務執行。因為在DNS伺服器上執行不需要的其他服務,只會增加攻擊向量大小。
第三,安全人員還應確保使用最新版本的DNS。較新版本的BIND具有加密安全事務ID和埠隨機化等功能,可以幫助防止快取中毒攻擊。
第四,使用者的安全教育對於防止這些攻擊也非常重要。使用者應接受有關識別可疑網站的培訓,使用者要學會只訪問HTTPS網站,這有助於防止人們成為中毒攻擊的受害者,因為他們會確保不將他們的個人資訊輸入駭客的網站。如果他們在連線到網站之前收到SSL警告,則不會單擊“忽略”按鈕。 這樣就不會受到DNS快取中毒攻擊。
HTTPS是現行架構下最安全的解決方案,SSL證照可以很直觀的辨別出釣魚網站,避免網站受到DNS快取中毒攻擊,保護資訊保安。部署SSL證照一定要選擇一個具有公信力的CA機構,選擇CA機構最好是透過國際Webtrust標準的認證,具備了國際電子認證服務能力的CA機構,透過國際Webtrust標準的認證意味著CA機構的運營管理和服務水平符合國際標準,並且有能力、有資質提供全球化認證服務,是可靠電子認證服務的有效證明。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31524109/viewspace-2637680/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- SAD DNS--新型DNS快取中毒攻擊DNS快取
- DNS 快取中毒--Kaminsky 攻擊復現DNS快取
- 什麼是DNS快取?DNS快取有哪些作用?DNS快取
- ot 這個蛋疼的快取是怎麼回事快取
- 防不勝防瞭解DNS快取中毒攻擊原理DNS快取
- DNS劫持是怎麼回事?DNS劫持如何預防?(國科雲)DNS
- 伺服器DNS快取怎麼清理伺服器DNS快取
- 什麼是DNS快取投毒?有哪些危害?DNS快取
- 如何定期清理DNS快取?清理DNS快取有什麼用?DNS快取
- win10怎麼清理網路快取_win10電腦怎麼清理dns快取Win10快取DNS
- 網站總被劫持?關於DNS快取中毒你究竟瞭解多少網站DNS快取
- 重新整理dns快取命令 dns快取清除命令DNS快取
- HttpOnly是怎麼回事?HTTP
- 理解 DNS 快取DNS快取
- 網站總是反覆中毒被篡改怎麼辦網站
- macOS 中清除 DNS 快取MacDNS快取
- 清空linux的dns快取LinuxDNS快取
- 什麼是redis快取雪崩、快取穿透、快取擊穿Redis快取穿透
- 快取穿透、快取雪崩和快取擊穿是什麼?快取穿透
- dns劫持,dns劫持是什麼,該怎麼去預防dns劫持DNS
- 執行計劃沒變,執行時快時慢是怎麼回事?
- 快取和web快取分別是什麼?快取Web
- 資訊洩露、DNS快取中毒!版本低於4.3的NicheStack受高嚴重安全漏洞影響DNS快取
- 怎麼清除瀏覽器快取?瀏覽器快取清理的方法步驟是什麼?瀏覽器快取
- Mac OS X 清除DNS快取MacDNS快取
- 什麼是redis的快取雪崩與快取穿透Redis快取穿透
- Redis 快取擊穿(失效)、快取穿透、快取雪崩怎麼解決?Redis快取穿透
- 網站中毒後怎麼辦?網站
- packagereference 裡面的資產是怎麼回事?Package
- ”三魂七魄”是怎麼回事
- 面試官:快取穿透、快取雪崩和快取擊穿是什麼?面試快取穿透
- 來說說快取穿透、快取擊穿、快取雪崩都是什麼?怎麼解決?快取穿透
- 央視新聞《 快盈網能賺錢是怎麼回事 》手機搜狐網
- 公眾號開發總是有快取怎麼辦?快取
- Mac 重新整理本地 DNS 快取MacDNS快取
- 如何清空DNS快取Windows&linuxDNS快取WindowsLinux
- 找不到dns地址怎麼辦 找不到dns地址是什麼意思DNS
- NSCache快取怎麼來的快取