《常见的DNS攻击》由会员分享,可在线阅读,更多相关《常见的DNS攻击(3页珍藏版)》请在金锄头文库上搜索。
1、常见的常见的 DNSDNS 攻击攻击来自:月光博客来自:月光博客 分类:网站建设分类:网站建设 标签:安全标签:安全常见的常见的 DNSDNS 攻击包括:攻击包括:1) 域名劫持通过采用黑客手段控制了域名管理密码和域名管理邮箱,然后将该域名的 NS 纪录指向到黑客可以控制的 DNS 服务器,然后通过在该 DNS 服务器上添加相应域名纪录,从而使网民访问该域名时,进入了黑客所指向的内容。这显然是 DNS 服务提供商的责任,用户束手无策。2) 缓存投毒利用控制 DNS 缓存服务器,把原本准备访问某网站的用户在不知不觉中带到黑客指向的其他网站上。其实现方式有多种,比如可以通过利用网民 ISP 端的
2、DNS 缓存服务器的漏洞进行攻击或控制,从而改变该 ISP 内的用户访问域名的响应结果;或者,黑客通过利用用户权威域名服务器上的漏洞,如当用户权威域名服务器同时可以被当作缓存服务器使用,黑客可以实现缓存投毒,将错误的域名纪录存入缓存中,从而使所有使用该缓存服务器的用户得到错误的 DNS 解析结果。最近发现的 DNS 重大缺陷,就是这种方式的。只所以说是“重大”缺陷,据报道是因为是协议自身的设计实现问题造成的,几乎所有的 DNS 软件都存在这样的问题。3)DDOS 攻击一种攻击针对 DNS 服务器软件本身,通常利用 BIND 软件程序中的漏洞,导致 DNS 服务器崩溃或拒绝服务;另一种攻击的目标
3、不是 DNS 服务器,而是利用 DNS 服务器作为中间的“攻击放大器” ,去攻击其它互联网上的主机,导致被攻击主机拒绝服务。4) DNS 欺骗DNS 欺骗就是攻击者冒充域名服务器的一种欺骗行为。原理:如果可以冒充域名服务器,然后把查询的 IP 地址设为攻击者的 IP 地址,这样的话,用户上网就只能看到攻击者的主页,而不是用户想要取得的网站的主页了,这就是DNS 欺骗的基本原理。DNS 欺骗其实并不是真的“黑掉”了对方的网站,而是冒名顶替、招摇撞骗罢了。现在的 Internet 上存在的 DNS 服务器有绝大多数都是用 bind 来架设的,使用的 bind版本主要为 bind 4.9.5+P1以
4、前版本和 bind 8.2.2-P5以前版本.这些 bind 有个共同的特点,就是 BIND 会缓存(Cache)所有已经查询过的结果,这个问题就引起了下面的几个问题的存在.DNS 欺骗在 DNS 的缓存还没有过期之前,如果在 DNS 的缓存中已经存在的记录,一旦有客户查询,DNS 服务器将会直接返回缓存中的记录防止防止 DNSDNS 被攻击的若干防范性措施被攻击的若干防范性措施互联网上的 DNS 放大攻击(DNS amplification attacks)急剧增长。这种攻击是一种数据包的大量变体能够产生针对一个目标的大量的虚假的通讯。这种虚假通讯的数量有多大?每秒钟达数 GB,足以阻止任何
5、人进入互联网。与老式的“smurf attacks”攻击非常相似,DNS 放大攻击使用针对无辜的第三方的欺骗性的数据包来放大通讯量,其目的是耗尽受害者的全部带宽。但是, “smurf attacks”攻击是向一个网络广播地址发送数据包以达到放大通讯的目的。DNS 放大攻击不包括广播地址。相反,这种攻击向互联网上的一系列无辜的第三方 DNS 服务器发送小的和欺骗性的询问信息。这些 DNS 服务器随后将向表面上是提出查询的那台服务器发回大量的回复,导致通讯量的放大并且最终把攻击目标淹没。因为 DNS 是以无状态的 UDP 数据包为基础的,采取这种欺骗方式是司空见惯的。这种攻击主要依靠对 DNS 实
6、施60个字节左右的查询,回复最多可达512个字节,从而使通讯量放大8.5倍。这对于攻击者来说是不错的,但是,仍没有达到攻击者希望得到了淹没的水平。最近,攻击者采用了一些更新的技术把目前的 DNS 放大攻击提高了好几倍。当前许多 DNS 服务器支持 EDNS。EDNS 是 DNS 的一套扩大机制,RFC 2671对次有介绍。一些选择能够让 DNS 回复超过512字节并且仍然使用 UDP,如果要求者指出它能够处理这样大的 DNS 查询的话。攻击者已经利用这种方法产生了大量的通讯。通过发送一个60个字节的查询来获取一个大约4000个字节的记录,攻击者能够把通讯量放大66倍。一些这种性质的攻击已经产生
7、了每秒钟许多 GB 的通讯量,对于某些目标的攻击甚至超过了每秒钟10GB的通讯量。要实现这种攻击,攻击者首先要找到几台代表互联网上的某个人实施循环查询工作的第三方 DNS 服务器(大多数 DNS 服务器都有这种设置)。由于支持循环查询,攻击者可以向一台 DNS 服务器发送一个查询,这台 DNS 服务器随后把这个查询(以循环的方式)发送给攻击者选择的一台 DNS 服务器。接下来,攻击者向这些服务器发送一个 DNS 记录查询,这个记录是攻击者在自己的 DNS 服务器上控制的。由于这些服务器被设置为循环查询,这些第三方服务器就向攻击者发回这些请求。攻击者在 DNS 服务器上存储了一个4000个字节的
8、文本用于进行这种 DNS 放大攻击。现在,由于攻击者已经向第三方 DNS 服务器的缓存中加入了大量的记录,攻击者接下来向这些服务器发送 DNS 查询信息(带有启用大量回复的 EDNS 选项),并采取欺骗手段让那些 DNS 服务器认为这个查询信息是从攻击者希望攻击的那个 IP 地址发出来的。这些第三方DNS 服务器于是就用这个4000个字节的文本记录进行回复,用大量的 UDP 数据包淹没受害者。攻击者向第三方 DNS 服务器发出数百万小的和欺骗性的查询信息,这些 DNS 服务器将用大量的 DNS 回复数据包淹没那个受害者。如何防御这种大规模攻击呢?首先,保证你拥有足够的带宽承受小规模的洪水般的攻
9、击。一个单一的 T1线路对于重要的互联网连接是不够的,因为任何恶意的脚本少年都可以消耗掉你的带宽。如果你的连接不是执行重要任务的,一条 T1线路就够了。否则,你就需要更多的带宽以便承受小规模的洪水般的攻击。不过,几乎任何人都无法承受每秒钟数 GB的 DNS 放大攻击。因此,你要保证手边有能够与你的 ISP 随时取得联系的应急电话号码。这样,一旦发生这种攻击,你可以马上与 ISP 联系,让他们在上游过滤掉这种攻击。要识别这种攻击,你要查看包含 DNS 回复的大量通讯(源 UDP 端口53),特别是要查看那些拥有大量 DNS 记录的端口。一些 ISP 已经在其整个网络上部署了传感器以便检测各种类型
10、的早期大量通讯。这样,你的 ISP 很可能在你发现这种攻击之前就发现和避免了这种攻击。你要问一下你的ISP 是否拥有这个能力。最后,为了帮助阻止恶意人员使用你的 DNS 服务器作为一个实施这种 DNS 放大攻击的代理,你要保证你的可以从外部访问的 DNS 服务器仅为你自己的网络执行循环查询,不为任何互联网上的地址进行这种查询。大多数主要 DNS 服务器拥有限制循环查询的能力,因此,它们仅接受某些网络的查询,比如你自己的网络。通过阻止利用循环查询装载大型有害的 DNS 记录,你就可以防止你的 DNS 服务器成为这个问题的一部分。结束语:网络攻击越来越猖獗,对网络安全造成了很大的威胁。对于任何黑客的恶意攻击,都有办法来防御,只要了解了他们的攻击手段,具有丰富的网络知识,就可以抵御黑客们的疯狂攻击。一些初学网络的朋友也不必担心,因为目前市场上也已推出许多网络安全方案,以及各式防火墙,相信在不久的将来,网络一定会是一个安全的信息传输媒体。特别需要强调的是,在任何时候都应将网络安全教育放在整个安全体系的首位,努力提高所有网络用户的安全意识和基本防范技术。这对提高整个网络的安全性有着十分重要的意义
