什么是DNS緩存中毒？如何防止DNS緩存中毒攻擊

近來，網(wǎng)絡上出現(xiàn)互聯(lián)網(wǎng)漏洞——DNS緩存漏洞，此漏洞直指我們應用中互聯(lián)網(wǎng)脆弱的安全系統(tǒng)，而安全性差的根源在于設計缺陷。利用該漏洞輕則可以讓用戶無法打開網(wǎng)頁，重則是網(wǎng)絡釣魚和金融詐騙，給受害者造成巨大損失。

DNS緩存中毒也稱為DNS欺騙，是一種攻擊，旨在查找并利用DNS或

DNS緩存中毒如何工作?

當一個DNS緩存服務器從用戶處獲得域名請求時，服務器會在緩存中尋找是否有這個地址。如果沒有，它就會上級DNS服務器發(fā)出請求。

在出現(xiàn)這種漏洞之前，攻擊者很難攻擊DNS服務器：他們必須通過發(fā)送偽造查詢響應、獲得正確的查詢參數(shù)以進入緩存服務器，進而控制合法DNS服務器。這個過程通常持續(xù)不到一秒鐘，因此黑客攻擊很難獲得成功。

但是，現(xiàn)在有安全人員找到該漏洞，使得這一過程朝向有利于攻擊者轉變。這是因為攻擊者獲悉，對緩存服務器進行持續(xù)不斷的查詢請求，服務器不能給與回應。比如，一個黑客可能會發(fā)出類似請求：1q2w3e.google.com，而且他也知道緩存服務器中不可能有這個域名。這就會引起緩存服務器發(fā)出更多查詢請求，并且會出現(xiàn)很多欺騙應答的機會。

當然，這并不是說攻擊者擁有很多機會來猜測查詢參數(shù)的正確值。事實上，是這種開放源DNS服務器漏洞的公布，會讓它在10秒鐘內受到危險攻擊。

要知道，即使1q2w3e.google.com受到緩存DNS中毒攻擊危害也不大，因為沒有人會發(fā)出這樣的域名請求，但是，這正是攻擊者發(fā)揮威力的地方所在。通過欺騙應答，黑客也可以給緩存服務器指向一個非法的服務器域名地址，該地址一般為黑客所控制。而且通常來說，這兩方面的信息緩存服務器都會存儲。

由于攻擊者現(xiàn)在可以控制域名服務器，每個查詢請求都會被重定向到黑客指定的服務器上。這也就意味著，黑客可以控制所有域名下的子域網(wǎng)址：www.bigbank.com，mail.bigbank.com，ftp.bigbank.com等等。這非常強大，任何涉及到子域網(wǎng)址的查詢，都可以引導至由黑客指定的任何服務器上。

DNS緩存中毒有何風險?

DNS緩存中毒的主要風險是竊取數(shù)據(jù)。DNS緩存中毒攻擊的最喜歡的目標是醫(yī)院，金融機構網(wǎng)站和在線零售商。這些目標容易被欺騙，這意味著任何密碼，信用卡或其他個人信息都可能受到損害。此外，在用戶設備上安裝密鑰記錄器的風險，可能會導致用戶訪問其他站點時暴露其用戶名和密碼。

另一個重大風險是，如果互聯(lián)網(wǎng)安全提供商的網(wǎng)站被欺騙，那么用戶的計算機可能會受到其他威脅(如：病毒或特洛伊木馬)的影響，因為一旦被攻擊用戶則不會執(zhí)行合法的安全更新。

據(jù)稱，DNS攻擊的年平均成本為223.6萬美元，其中23%的攻擊來自DNS緩存中毒。

如何防止DNS緩存中毒

那么，企業(yè)究竟該如何防止DNS緩存中毒攻擊?要從以下幾點出發(fā)：

第一，DNS服務器應該配置為盡可能少地依賴與其他DNS服務器的信任關系。以這種方式配置將使攻擊者更難以使用他們自己的DNS服務器來破壞目標服務器。

第二，企業(yè)應該設置DNS服務器，只允許所需的服務運行。因為在DNS服務器上運行不需要的其他服務，只會增加攻擊向量大小。

第三，安全人員還應確保使用最新版本的DNS。較新版本的BIND具有加密安全事務ID和端口隨機化等功能，可以幫助防止緩存中毒攻擊。

第四，用戶的安全教育對于防止這些攻擊也非常重要。用戶應接受有關識別可疑網(wǎng)站的培訓，用戶要學會只訪問HTTPS網(wǎng)站，這有助于防止人們成為中毒攻擊的受害者，因為他們會確保不將他們的個人信息輸入黑客的網(wǎng)站。如果他們在連接到網(wǎng)站之前收到ssl警告，則不會單擊“忽略”按鈕。 這樣就不會受到DNS緩存中毒攻擊。

結論

HTTPS是現(xiàn)行架構下最安全的解決方案，ssl證書可以很直觀的辨別出釣魚網(wǎng)站，避免網(wǎng)站受到DNS緩存中毒攻擊，保護信息安全。部署ssl證書一定要選擇一個具有公信力的CA機構，選擇CA機構最好是通過國際Webtrust標準的認證，具備了國際電子認證服務能力的CA機構，通過國際Webtrust標準的認證意味著CA機構的運營管理和服務水平符合國際標準，并且有能力、有資質提供全球化認證服務，是可靠電子認證服務的有效證明。

當前文章：什么是DNS緩存中毒？如何防止DNS緩存中毒攻擊
URL網(wǎng)址：http://bm7419.com/news/103948.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站排名、網(wǎng)站策劃、標簽優(yōu)化、域名注冊、云服務器、微信公眾號

廣告

聲明：本網(wǎng)站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經(jīng)允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)