??????? 美國(guó)服務(wù)器的DNS緩存欺騙是指因?yàn)镈NS記錄更改而導(dǎo)致惡意重定向流量的結(jié)果。美國(guó)服務(wù)器DNS緩存欺騙可以通過(guò)直接攻擊DNS主機(jī),或通過(guò)任何形式的專(zhuān)門(mén)針對(duì)DNS流量的中間人攻擊來(lái)執(zhí)行,本文小編就來(lái)介紹一下美美國(guó)服務(wù)器DNS緩存欺騙的內(nèi)容。
??????? DNS緩存欺騙以一種利用DNS通信結(jié)構(gòu)的方式明確地工作,當(dāng)美國(guó)服務(wù)器DNS嘗試在域上執(zhí)行查找時(shí),它會(huì)將請(qǐng)求轉(zhuǎn)發(fā)到更權(quán)威DNS主機(jī),并沿著美國(guó)服務(wù)器DNS鏈向下查詢(xún),直到它到達(dá)域上的權(quán)威DNS主機(jī)。
??????? 由于本地美國(guó)服務(wù)器DNS不知道具體哪個(gè)服務(wù)器負(fù)責(zé)對(duì)應(yīng)哪個(gè)域,并且不知道到每個(gè)權(quán)威服務(wù)器的完整路由,因此只要回復(fù)與查詢(xún)匹配并且格式正確,它就會(huì)從任何地方接受對(duì)其查詢(xún)的回復(fù)。
??????? 因此攻擊者利用在回復(fù)本地美國(guó)服務(wù)器DNS時(shí),擊敗實(shí)際的權(quán)威DNS主機(jī),這樣做本地美國(guó)服務(wù)器DNS將會(huì)使用攻擊者的DNS記錄,而不是實(shí)際的權(quán)威答案,由于DNS的性質(zhì),所以本地美國(guó)服務(wù)器DNS無(wú)法確定回復(fù)的真實(shí)性。
??????? 由于美國(guó)服務(wù)器DNS將在內(nèi)部緩存查詢(xún),因此每次請(qǐng)求域時(shí)不必花費(fèi)時(shí)間查詢(xún)權(quán)威DNS主機(jī),從而加劇了這種攻擊。而這同時(shí)帶來(lái)了另一個(gè)問(wèn)題,因?yàn)槿绻粽呖梢該魯?quán)威DNS主機(jī)進(jìn)行回復(fù),那么攻擊者記錄將被本美國(guó)服務(wù)器DNS緩存,這意味著任何使用本地美國(guó)服務(wù)器DNS的用戶(hù)都將獲得攻擊者記錄,可能會(huì)重定向所有使用該本地美國(guó)服務(wù)器DNS的用戶(hù)都可以訪(fǎng)問(wèn)攻擊者的網(wǎng)站。
??????? 美國(guó)服務(wù)器DNS緩存欺騙攻擊的案例:
??????? 案例一:生日攻擊的盲目響應(yīng)偽造
??????? 美國(guó)服務(wù)器DNS協(xié)議交換不驗(yàn)證對(duì)遞歸迭代查詢(xún)的響應(yīng),驗(yàn)證查詢(xún)只會(huì)檢查 16 位事務(wù) ID 以及響應(yīng)數(shù)據(jù)包的源 IP 地址和目標(biāo)端口。在 2008 年之前所有DNS使用固定端口53 解析,因此除了事務(wù) ID 之外,欺騙DNS回復(fù)所需的所有信息都是可預(yù)測(cè)的。用這種弱點(diǎn)攻擊美國(guó)服務(wù)器DNS被稱(chēng)為生日悖論,平均需要 256 次來(lái)猜測(cè)事務(wù) ID。
??????? 為了使攻擊成功,偽造的DNS回復(fù)必須在合法權(quán)威響應(yīng)之前到達(dá)目標(biāo)解析器。如果合法響應(yīng)首先到達(dá),它將由解析器緩存,并且直到其生存時(shí)間TTL到期,解析器將不會(huì)要求權(quán)威美國(guó)服務(wù)器解析相同的域名,從而防止攻擊者中毒映射該域。
??????? 案例二:竊聽(tīng)
??????? 許多增強(qiáng)美國(guó)服務(wù)器DNS安全性的新提議包括源端口隨機(jī)化,0x20 XOR 編碼,WSEC-DNS,這些都取決于用于身份驗(yàn)證的組件的不對(duì)稱(chēng)可訪(fǎng)問(wèn)性。 換句話(huà)說(shuō),它們通過(guò)隱匿而不是通過(guò)身份驗(yàn)證和加密的機(jī)密性來(lái)提供安全性,唯一目標(biāo)是如上所述,防止盲目攻擊使用這些安全方法,仍然使DNS容易受損和遭受網(wǎng)絡(luò)竊聽(tīng)者的輕微攻擊,以打破并執(zhí)行如上所述的相同攻擊,而這次沒(méi)有盲目猜測(cè)。
??????? 即使在交換環(huán)境中,也可以使用ARP中毒和類(lèi)似技術(shù)強(qiáng)制所有美國(guó)服務(wù)器數(shù)據(jù)包進(jìn)入惡意計(jì)算機(jī),并且可以擊破這種混淆技術(shù)。
??????? 以上內(nèi)容就是關(guān)于美國(guó)服務(wù)器DNS緩存欺騙的介紹,希望能幫助到有需要的美國(guó)服務(wù)器用戶(hù)們。
??????? 現(xiàn)在夢(mèng)飛科技合作的美國(guó)VM機(jī)房的美國(guó)服務(wù)器所有配置都免費(fèi)贈(zèng)送防御值 ,可以有效防護(hù)網(wǎng)站的安全,以下是部分配置介紹:
| CPU | 內(nèi)存 | 硬盤(pán) | 帶寬 | IP | 價(jià)格 |
| Xeon E3-1231v3 | 16GB | 500GB?SSD | 100Mbps或1Gbps限20TB | 1個(gè)IP | 799/月 |
| Dual Xeon E5-2630 | 16GB | 500GB?SSD | 10Gbps限20TB | 1個(gè)IP | 859/月 |
| Dual Xeon E5-2690 | 16GB | 500GB?SSD | 40Gbps限20TB | 1個(gè)IP | 1059/月 |
| Dual Xeon silver 4116 | 64GB | 500GB?SSD | 100Gbps限20TB | 1個(gè)IP | 3559/月 |
??????? 夢(mèng)飛科技已與全球多個(gè)國(guó)家的頂級(jí)數(shù)據(jù)中心達(dá)成戰(zhàn)略合作關(guān)系,為互聯(lián)網(wǎng)外貿(mào)行業(yè)、金融行業(yè)、IOT行業(yè)、游戲行業(yè)、直播行業(yè)、電商行業(yè)等企業(yè)客戶(hù)等提供一站式安全解決方案。持續(xù)關(guān)注夢(mèng)飛科技官網(wǎng),獲取更多IDC資訊!
文章鏈接: http://m.qzkangyuan.com/19743.html
文章標(biāo)題:美國(guó)服務(wù)器DNS緩存欺騙介紹
文章版權(quán):夢(mèng)飛科技所發(fā)布的內(nèi)容,部分為原創(chuàng)文章,轉(zhuǎn)載請(qǐng)注明來(lái)源,網(wǎng)絡(luò)轉(zhuǎn)載文章如有侵權(quán)請(qǐng)聯(lián)系我們!
