【解讀】什么是DNS欺騙與緩存投毒

隨著公眾對于網(wǎng)絡(luò)威脅意識(shí)的不斷增強(qiáng)，那些惡意軟件制作者不得不花更多的精力在如何欺騙人們在無意中透露自己的隱私數(shù)據(jù)。域名系統(tǒng)(DNS)緩存投毒，或稱DNS欺騙，就是一種通過劫持用戶的瀏覽請求，然后神不知鬼不覺地轉(zhuǎn)發(fā)到某個(gè)惡意站點(diǎn)的攻擊手段。

下面，讓我們一起來看看DNS緩存投毒的工作原理，以及我們該如何避免中招。

一、什么是DNS緩存?

1. URL和IP地址的工作原理

首先，我們來看看DNS緩存的概念。如果要訪問某個(gè)網(wǎng)站，您通常需要輸入其相應(yīng)的URL。例如，您在瀏覽器中輸入網(wǎng)站地址：www.mybanksaddress.com，以查詢自己的銀行賬戶。

不過，您的計(jì)算機(jī)可并不識(shí)別URL。作為機(jī)器，它只認(rèn)識(shí)那些作為互聯(lián)網(wǎng)設(shè)備“家庭地址”的數(shù)字串，也就是它們的公網(wǎng)IP地址。相反，我們?nèi)祟悇t更容易記得含有網(wǎng)站名稱的URL，而不是IP地址。

2. DNS服務(wù)器的工作原理

因此，為了向您呈現(xiàn)目標(biāo)網(wǎng)站的內(nèi)容，您的計(jì)算機(jī)必須將您輸入的URL轉(zhuǎn)換為它可以識(shí)別和采用的IP地址。為此，它會(huì)將收到的URL傳遞給所謂的DNS服務(wù)器。

DNS服務(wù)器就像一個(gè)巨大的網(wǎng)站電話簿。當(dāng)它接到由用戶計(jì)算機(jī)發(fā)送過來的URL請求時(shí)，就會(huì)在其數(shù)據(jù)庫中查找、并匹配相應(yīng)的IP地址。然后再回復(fù)給查詢計(jì)算機(jī)該IP地址。

籍此，您的計(jì)算機(jī)就能夠通過與www.mybanksaddress.com相對應(yīng)IP地址，來訪問到其網(wǎng)站的具體內(nèi)容了。

3. DNS緩存的工作原理

一般而言，各個(gè)網(wǎng)站所持有的IP地址不會(huì)輕易發(fā)生變化(當(dāng)然也不排除按需變化的可能性)，因此您的計(jì)算機(jī)可以將此類映射關(guān)系的信息存儲(chǔ)起來，以供日后使用。即，在DNS的緩存中記錄下URL：www.mybanksaddress.com與其IP地址的映射關(guān)系。

此后，當(dāng)您要再次訪問該銀行的網(wǎng)站時(shí)，您的計(jì)算機(jī)就不必再去“麻煩”DNS服務(wù)器了。它直接查看自己的緩存，并找到上次接收到的IP地址即可。可以說，DNS緩存在某種程度上，充當(dāng)了您之前訪問過的所有站點(diǎn)的一個(gè)微型電話簿。

二、DNS緩存如何被“投毒”的?

1. 黑客如何植入病毒

在計(jì)算機(jī)使用DNS緩存時(shí)，它不會(huì)去主動(dòng)關(guān)注：自上次使用過以來，IP地址是否發(fā)生了變更。從某種程度上說，DNS緩存相當(dāng)于計(jì)算機(jī)的內(nèi)存，就算緩存中的值被修改了，計(jì)算機(jī)仍然會(huì)機(jī)械地去讀取既有的映射信息。

因此，當(dāng)某個(gè)惡意代理(malicious agent)想要攻擊www.mybanksaddress.com的用戶時(shí)，他只需要?jiǎng)?chuàng)建一個(gè)看似與真實(shí)網(wǎng)站相同的虛假網(wǎng)站，并設(shè)置好虛假的登錄界面，便可借此來欺騙www.mybanksaddress.com的用戶泄露他們的詳細(xì)信息。

2. 緩存欺騙的工作原理

在虛假網(wǎng)站上線之后，他們就需要去攻擊用戶的DNS緩存了。他們既可以通過惡意軟件來實(shí)現(xiàn)，也可以通過直接訪問目標(biāo)用戶的計(jì)算機(jī)來達(dá)到目的。無論采用哪種方式，他們的目標(biāo)都是：訪問DNS緩存，并找到www.mybanksaddress.com的存儲(chǔ)位置。一旦得手，他們就能夠?qū)y行的真實(shí)IP地址替換成他們設(shè)置好的那個(gè)虛假網(wǎng)站的地址。

可想而知，在遭受到緩存欺騙攻擊之后，如果您在自己的計(jì)算機(jī)上輸入U(xiǎn)RL：www.mybanksaddress.com時(shí)，您的計(jì)算機(jī)通過緩存所查找到的就是黑客植入的惡意IP地址，而且它會(huì)直接將您的瀏覽器重定向到那個(gè)虛假的網(wǎng)站上。

如果上述過程進(jìn)展“順利”，您又沒有仔細(xì)地觀察自己所到達(dá)該虛假網(wǎng)站的話，那么您輸入的所有真實(shí)且詳細(xì)信息就會(huì)被該網(wǎng)站一覽無余，它甚至可以籍此來更改您的現(xiàn)有賬戶。

三、DNS服務(wù)器是否也易受攻擊?

既然各種計(jì)算機(jī)都能夠通過與DNS服務(wù)器通信來獲取IP地址，那么黑客是否也會(huì)去給服務(wù)器投毒呢?答案是肯定的，而且后果可能很嚴(yán)重!

實(shí)際上，DNS服務(wù)器有著與用戶計(jì)算機(jī)類似的運(yùn)作方式。如果它接到用戶請求有關(guān)IP地址的查詢，卻又不知道如何回復(fù)和引導(dǎo)用戶的話，它就會(huì)向另一個(gè)DNS服務(wù)器詢問答案。此時(shí)被詢問的服務(wù)器就會(huì)從自己的緩存中搜尋已存儲(chǔ)的信息。

因此，如果黑客能夠攻破某臺(tái)DNS服務(wù)器，那么他們就可以通過修改數(shù)據(jù)庫的記錄，將用戶重定向到任何虛假的網(wǎng)站上。顯然，一旦有另一臺(tái)DNS服務(wù)器來查詢并獲取IP地址，那么請求該服務(wù)的每一臺(tái)計(jì)算機(jī)都會(huì)悉數(shù)中招。

而且更糟糕的是：當(dāng)那些未持有某個(gè)虛假網(wǎng)站IP地址的服務(wù)器，向已中毒的服務(wù)器查詢映射記錄時(shí)，顯然它們收到的是一些“有毒”的答案。這會(huì)進(jìn)而導(dǎo)致含有各種虛假信息的感染鏈，在各種DNS服務(wù)器之間持續(xù)傳播，一發(fā)不可收拾。

四、如何避免DNS中毒

DNS欺騙看似可怕，其實(shí)我們?nèi)杂修k法予以應(yīng)對。下面讓我們來看一些在上網(wǎng)時(shí)保持高度警惕的方法：

1. 保持您的防病毒軟件處于激活且更新的狀態(tài)

在充滿危機(jī)的互聯(lián)網(wǎng)上，我們要學(xué)會(huì)保護(hù)好自己。通常情況下，一款好的防病毒軟件足以阻止普通的DNS緩存投毒攻擊。當(dāng)然，如果您需要下載并安裝那些備受好評的防病毒軟件的話，對于自身系統(tǒng)的安全可謂是有百利而無一弊。

2. 不要下載可疑的文件

為了保護(hù)您的DNS緩存，請養(yǎng)成良好的上網(wǎng)瀏覽習(xí)慣。請勿隨便點(diǎn)擊網(wǎng)頁上任何可疑的文件、鏈接或橫幅廣告，它們往往正是攻擊者通過文件包含(File Inclusion)或是命令注入(Command injection)等方式，安插進(jìn)去的修改DNS緩存的一些惡意軟件腳本。

3. 使用可信的ISP或DNS服務(wù)器

上述保護(hù)好自己的方法只是安全防護(hù)的一個(gè)方面，那么我們該如何遠(yuǎn)離已受到感染的DNS服務(wù)器呢?

一臺(tái)設(shè)置全面的DNS服務(wù)器不會(huì)輕易“相信”它從另一臺(tái)服務(wù)器收到的任何信息。它會(huì)去驗(yàn)證每一條信息，直至確認(rèn)安全無毒，方才接受。因此，通過使用此類服務(wù)器，您可以確定自己的計(jì)算機(jī)所獲得的查詢結(jié)果始終是合法的。

由于用戶的計(jì)算機(jī)通常會(huì)直接使用ISP所提供的DNS服務(wù)器。因此，使用信譽(yù)良好、且配備了全面安全措施的ISP，會(huì)讓人倍感放心。

當(dāng)然，如果您不放心ISP提供的默認(rèn)DNS服務(wù)器的話，也可以自行改用其他可信的DNS服務(wù)器，以減少受攻擊的可能性。您可以通過鏈接：https://www.makeuseof.com/tag/switch-dns-servers-windows/，來了解如何在Windows中進(jìn)行多個(gè)DNS服務(wù)器的切換。

4. 刷新DNS緩存

如果您懷疑自己的DNS緩存已經(jīng)中毒了的話，請毫不猶豫地通過刷新的方式，清除任何損壞的條目，并重新啟動(dòng)服務(wù)。然后，請遵循上面第3點(diǎn)的建議，使用可信的DNS服務(wù)器，來重新填充緩存，以免讓自己二次中毒。

針對不同的操作系統(tǒng)，刷新DNS緩存的方式會(huì)有所不同。如果您正在使用Windows系統(tǒng)的話，請參見：https://www.makeuseof.com/tag/15-cmd-commands-every-windows-user-know/中所提及的刷新DNS緩存的命令。

5. 請復(fù)查訪問過的所有網(wǎng)站

雖然您的計(jì)算機(jī)會(huì)機(jī)械地認(rèn)為：只要您輸入的網(wǎng)站URL沒錯(cuò)的話，它訪問到的就是真實(shí)的IP地址。但是作為人類，我們應(yīng)該多一個(gè)心眼才是。

請您仔細(xì)檢查網(wǎng)頁的地址欄上是否有HTTPS加密，以及它的界面是否看起來可疑。一旦您發(fā)現(xiàn)自己可能訪問的是虛假網(wǎng)站，那么請不要輸入任何與登錄相關(guān)的信息，立即退出該網(wǎng)站，并執(zhí)行病毒掃描和DNS緩存刷新。

6. 重新啟動(dòng)路由器以清除其DNS緩存

我們常用的路由器也可能帶有自己的DNS緩存功能?？墒遣恍业氖?，它們和上面提到的用戶計(jì)算機(jī)、以及DNS服務(wù)器一樣，容易受到DNS投毒的攻擊。因此，請定期重啟您的路由器，此舉將有利于清除它已有的DNS緩存，并重新獲取新的映射記錄。

五、總結(jié)

綜上所述，DNS服務(wù)器是一把雙刃劍。它既是加速上網(wǎng)體驗(yàn)的利器，卻又容易受到投毒與欺騙，甚至?xí)斐蓢?yán)重的后果。希望本文的上述分析與建議，能夠讓您遠(yuǎn)離DNS緩存欺騙攻擊的傷害。如果您有興趣了解如何設(shè)置安全的DNS服務(wù)器，請參考鏈接：https://www.makeuseof.com/tag/best-dns-providers-security/

原文標(biāo)題：What Is DNS Cache Poisoning? How DNS Spoofing Can Hijack You，作者：Simon Batt

網(wǎng)頁題目：【解讀】什么是DNS欺騙與緩存投毒
轉(zhuǎn)載來于：http://www.bm7419.com/news/105446.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供營銷型網(wǎng)站建設(shè)、定制開發(fā)、面包屑導(dǎo)航、關(guān)鍵詞優(yōu)化、商城網(wǎng)站、域名注冊

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)