常見(jiàn)的DNS 攻擊來(lái)自：月光博客 分類：網(wǎng)站建設(shè) 標(biāo)簽：安全常見(jiàn)的DNS 攻擊包括：1) 域名劫持通過(guò)采用黑客手段控制了域名管理密碼和域名管理郵箱，然后將該域名的NS 紀(jì)錄指向到黑客可以控制的DN

常見(jiàn)的DNS 攻擊

來(lái)自：月光博客 分類：網(wǎng)站建設(shè) 標(biāo)簽：安全

常見(jiàn)的DNS 攻擊包括：

1) 域名劫持

通過(guò)采用黑客手段控制了域名管理密碼和域名管理郵箱，然后將該域名的NS 紀(jì)錄指向到黑客可以控制的DNS 服務(wù)器，然后通過(guò)在該DNS 服務(wù)器上添加相應(yīng)域名紀(jì)錄，從而使網(wǎng)民訪問(wèn)該域名時(shí)，進(jìn)入了黑客所指向的內(nèi)容。

這顯然是DNS 服務(wù)提供商的責(zé)任，用戶束手無(wú)策。

2) 緩存投毒

利用控制DNS 緩存服務(wù)器，把原本準(zhǔn)備訪問(wèn)某網(wǎng)站的用戶在不知不覺(jué)中帶到黑客指向的其他網(wǎng)站上。其實(shí)現(xiàn)方式有多種，比如可以通過(guò)利用網(wǎng)民ISP 端的DNS 緩存服務(wù)器的漏洞進(jìn)行攻擊或控制，從而改變?cè)揑SP 內(nèi)的用戶訪問(wèn)域名的響應(yīng)結(jié)果; 或者，黑客通過(guò)利用用戶權(quán)威域名服務(wù)器上的漏洞，如當(dāng)用戶權(quán)威域名服務(wù)器同時(shí)可以被當(dāng)作緩存服務(wù)器使用，黑客可以實(shí)現(xiàn)緩存投毒，將錯(cuò)誤的域名紀(jì)錄存入緩存中，從而使所有使用該緩存服務(wù)器的用戶得到錯(cuò)誤的DNS 解析結(jié)果。

最近發(fā)現(xiàn)的DNS 重大缺陷，就是這種方式的。只所以說(shuō)是“重大”缺陷，據(jù)報(bào)道是因?yàn)槭菂f(xié)議自身的設(shè)計(jì)實(shí)現(xiàn)問(wèn)題造成的，幾乎所有的DNS 軟件都存在這樣的問(wèn)題。

3)DDOS 攻擊

一種攻擊針對(duì)DNS 服務(wù)器軟件本身，通常利用BIND 軟件程序中的漏洞，導(dǎo)致DNS 服務(wù)器崩潰或拒絕服務(wù); 另一種攻擊的目標(biāo)不是DNS 服務(wù)器，而是利用DNS 服務(wù)器作為中間的“攻擊放大器”，去攻擊其它互聯(lián)網(wǎng)上的主機(jī)，導(dǎo)致被攻擊主機(jī)拒絕服務(wù)。

4) DNS欺騙

DNS 欺騙就是攻擊者冒充域名服務(wù)器的一種欺騙行為。

原理：如果可以冒充域名服務(wù)器，然后把查詢的IP 地址設(shè)為攻擊者的IP 地址，這樣的話，用戶上網(wǎng)就只能看到攻擊者的主頁(yè)，而不是用戶想要取得的網(wǎng)站的主頁(yè)了，這就是DNS 欺騙的基本原理。DNS 欺騙其實(shí)并不是真的“黑掉”了對(duì)方的網(wǎng)站，而是冒名頂替、招搖撞騙罷了。

現(xiàn)在的Internet 上存在的DNS 服務(wù)器有絕大多數(shù)都是用bind 來(lái)架設(shè)的, 使用的bind 版本主要為bind 4.9.5 P1以前版本和bind 8.2.2-P5以前版本. 這些bind 有個(gè)共同的特點(diǎn), 就是BIND 會(huì)緩存(Cache)所有已經(jīng)查詢過(guò)的結(jié)果, 這個(gè)問(wèn)題就引起了下面的幾個(gè)問(wèn)題的存

在.

DNS 欺騙

在DNS 的緩存還沒(méi)有過(guò)期之前, 如果在DNS 的緩存中已經(jīng)存在的記錄, 一旦有客戶查詢, DNS 服務(wù)器將會(huì)直接返回緩存中的記錄

防止DNS 被攻擊的若干防范性措施

互聯(lián)網(wǎng)上的DNS 放大攻擊(DNS amplification attacks)急劇增長(zhǎng)。這種攻擊是一種數(shù)據(jù)包的大量變體能夠產(chǎn)生針對(duì)一個(gè)目標(biāo)的大量的虛假的通訊。這種虛假通訊的數(shù)量有多大? 每秒鐘達(dá)數(shù)GB ，足以阻止任何人進(jìn)入互聯(lián)網(wǎng)。

與老式的“smurf attacks”攻擊非常相似，DNS 放大攻擊使用針對(duì)無(wú)辜的第三方的欺騙性的數(shù)據(jù)包來(lái)放大通訊量，其目的是耗盡受害者的全部帶寬。但是，“smurf attacks”攻擊是向一個(gè)網(wǎng)絡(luò)廣播地址發(fā)送數(shù)據(jù)包以達(dá)到放大通訊的目的。DNS 放大攻擊不包括廣播地址。相反，這種攻擊向互聯(lián)網(wǎng)上的一系列無(wú)辜的第三方DNS 服務(wù)器發(fā)送小的和欺騙性的詢問(wèn)信息。這些DNS 服務(wù)器隨后將向表面上是提出查詢的那臺(tái)服務(wù)器發(fā)回大量的回復(fù)，導(dǎo)致通訊量的放大并且最終把攻擊目標(biāo)淹沒(méi)。因?yàn)镈NS 是以無(wú)狀態(tài)的UDP 數(shù)據(jù)包為基礎(chǔ)的，采取這種欺騙方式是司空見(jiàn)慣的。

這種攻擊主要依靠對(duì)DNS 實(shí)施60個(gè)字節(jié)左右的查詢，回復(fù)最多可達(dá)512個(gè)字節(jié)，從而使通訊量放大8.5倍。這對(duì)于攻擊者來(lái)說(shuō)是不錯(cuò)的，但是，仍沒(méi)有達(dá)到攻擊者希望得到了淹沒(méi)的水平。最近，攻擊者采用了一些更新的技術(shù)把目前的DNS 放大攻擊提高了好幾倍。 當(dāng)前許多DNS 服務(wù)器支持EDNS 。EDNS 是DNS 的一套擴(kuò)大機(jī)制，RFC 2671對(duì)次有介紹。一些選擇能夠讓DNS 回復(fù)超過(guò)512字節(jié)并且仍然使用UDP ，如果要求者指出它能夠處理這樣大的DNS 查詢的話。攻擊者已經(jīng)利用這種方法產(chǎn)生了大量的通訊。通過(guò)發(fā)送一個(gè)60個(gè)字節(jié)的查詢來(lái)獲取一個(gè)大約4000個(gè)字節(jié)的記錄，攻擊者能夠把通訊量放大66倍。一些這種性質(zhì)的攻擊已經(jīng)產(chǎn)生了每秒鐘許多GB 的通訊量，對(duì)于某些目標(biāo)的攻擊甚至超過(guò)了每秒鐘10GB 的通訊量。

要實(shí)現(xiàn)這種攻擊，攻擊者首先要找到幾臺(tái)代表互聯(lián)網(wǎng)上的某個(gè)人實(shí)施循環(huán)查詢工作的第三方DNS 服務(wù)器(大多數(shù)DNS 服務(wù)器都有這種設(shè)置) 。由于支持循環(huán)查詢，攻擊者可以向一臺(tái)DNS 服務(wù)器發(fā)送一個(gè)查詢，這臺(tái)DNS 服務(wù)器隨后把這個(gè)查詢(以循環(huán)的方式) 發(fā)送給攻擊者選擇的一臺(tái)DNS 服務(wù)器。接下來(lái)，攻擊者向這些服務(wù)器發(fā)送一個(gè)DNS 記錄查詢，這個(gè)記錄是攻擊者在自己的DNS 服務(wù)器上控制的。由于這些服務(wù)器被設(shè)置為循環(huán)查詢，這些第三方服務(wù)器就向攻擊者發(fā)回這些請(qǐng)求。攻擊者在DNS 服務(wù)器上存儲(chǔ)了一個(gè)4000個(gè)字節(jié)的文本用于進(jìn)行這種DNS 放大攻擊。

現(xiàn)在，由于攻擊者已經(jīng)向第三方DNS 服務(wù)器的緩存中加入了大量的記錄，攻擊者接下來(lái)向這些服務(wù)器發(fā)送DNS 查詢信息(帶有啟用大量回復(fù)的EDNS 選項(xiàng)) ，并采取欺騙手段讓那些DNS 服務(wù)器認(rèn)為這個(gè)查詢信息是從攻擊者希望攻擊的那個(gè)IP 地址發(fā)出來(lái)的。這些第三方DN

S 服務(wù)器于是就用這個(gè)4000個(gè)字節(jié)的文本記錄進(jìn)行回復(fù)，用大量的UDP 數(shù)據(jù)包淹沒(méi)受害者。攻擊者向第三方DNS 服務(wù)器發(fā)出數(shù)百萬(wàn)小的和欺騙性的查詢信息，這些DNS 服務(wù)器將用大量的DNS 回復(fù)數(shù)據(jù)包淹沒(méi)那個(gè)受害者。

如何防御這種大規(guī)模攻擊呢? 首先，保證你擁有足夠的帶寬承受小規(guī)模的洪水般的攻擊。一個(gè)單一的T1線路對(duì)于重要的互聯(lián)網(wǎng)連接是不夠的，因?yàn)槿魏螑阂獾哪_本少年都可以消耗掉你的帶寬。如果你的連接不是執(zhí)行重要任務(wù)的，一條T1線路就夠了。否則，你就需要更多的帶寬以便承受小規(guī)模的洪水般的攻擊。不過(guò)，幾乎任何人都無(wú)法承受每秒鐘數(shù)GB 的DN S 放大攻擊。

因此，你要保證手邊有能夠與你的ISP 隨時(shí)取得聯(lián)系的應(yīng)急電話號(hào)碼。這樣，一旦發(fā)生這種攻擊，你可以馬上與ISP 聯(lián)系，讓他們?cè)谏嫌芜^(guò)濾掉這種攻擊。要識(shí)別這種攻擊，你要查看包含DNS 回復(fù)的大量通訊(源UDP 端口53) ，特別是要查看那些擁有大量DNS 記錄的端口。一些ISP 已經(jīng)在其整個(gè)網(wǎng)絡(luò)上部署了傳感器以便檢測(cè)各種類型的早期大量通訊。這樣，你的ISP 很可能在你發(fā)現(xiàn)這種攻擊之前就發(fā)現(xiàn)和避免了這種攻擊。你要問(wèn)一下你的ISP 是否擁有這個(gè)能力。

最后，為了幫助阻止惡意人員使用你的DNS 服務(wù)器作為一個(gè)實(shí)施這種DNS 放大攻擊的代理，你要保證你的可以從外部訪問(wèn)的DNS 服務(wù)器僅為你自己的網(wǎng)絡(luò)執(zhí)行循環(huán)查詢，不為任何互聯(lián)網(wǎng)上的地址進(jìn)行這種查詢。大多數(shù)主要DNS 服務(wù)器擁有限制循環(huán)查詢的能力，因此，它們僅接受某些網(wǎng)絡(luò)的查詢，比如你自己的網(wǎng)絡(luò)。通過(guò)阻止利用循環(huán)查詢裝載大型有害的DNS 記錄，你就可以防止你的DNS 服務(wù)器成為這個(gè)問(wèn)題的一部分。

結(jié)束語(yǔ)：網(wǎng)絡(luò)攻擊越來(lái)越猖獗，對(duì)網(wǎng)絡(luò)安全造成了很大的威脅。對(duì)于任何黑客的惡意攻擊，都有辦法來(lái)防御，只要了解了他們的攻擊手段，具有豐富的網(wǎng)絡(luò)知識(shí)，就可以抵御黑客們的瘋狂攻擊。一些初學(xué)網(wǎng)絡(luò)的朋友也不必?fù)?dān)心，因?yàn)槟壳笆袌?chǎng)上也已推出許多網(wǎng)絡(luò)安全方案，以及各式防火墻，相信在不久的將來(lái)，網(wǎng)絡(luò)一定會(huì)是一個(gè)安全的信息傳輸媒體。特別需要強(qiáng)調(diào)的是，在任何時(shí)候都應(yīng)將網(wǎng)絡(luò)安全教育放在整個(gè)安全體系的首位，努力提高所有網(wǎng)絡(luò)用戶的安全意識(shí)和基本防范技術(shù)。這對(duì)提高整個(gè)網(wǎng)絡(luò)的安全性有著十分重要的意義