先决条件 – 域名服务器、DNS 欺骗或 DNS 缓存中毒
域名服务器是互联网的重要组成部分。它被开发为一个将字母名称转换为 IP 地址的系统,允许用户访问网站和交换电子邮件。 DNS 被组织成一个树状基础设施,其中第一级包含最顶层的域,例如.com和.org 。第二级节点包含通用的传统域名。这棵树上的“叶子”节点称为主机。
DNS 的工作方式类似于数百万计算机系统访问的数据库,试图确定哪个地址最有可能解决用户的查询。
在 DNS 攻击中,黑客有时会针对包含域名的服务器。在其他情况下,这些攻击者会尝试确定系统本身的漏洞并利用它们为自己谋利。
攻击类型:
- 拒绝服务 (DoS) –
攻击者通过使资源不可用或用流量淹没系统来使计算机对用户无用(无法访问)的一种攻击。 - 分布式拒绝服务 (DDoS) –
攻击者控制着大量的计算机(数百或数千台)以传播恶意软件并用不必要的超载流量淹没受害者的计算机。最终,由于无法利用处理密集处理所需的能力,系统将过载并崩溃。 - DNS 欺骗(也称为 DNS 缓存中毒)——
攻击者会将流量从真正的 DNS 服务器中转移出去,并将它们重定向到用户不知道的“盗版”服务器。这可能会导致用户个人数据的损坏/失窃。 - 快速通量 –
攻击者通常会在执行攻击时欺骗他的 IP 地址。 Fast Flux 是一种不断更改基于位置的数据以隐藏攻击的确切位置的技术。这将掩盖攻击者的真实位置,为他提供利用攻击所需的时间。通量可以是单一的或双重的或任何其他变体。单个通量更改 Web 服务器的地址,而双通量更改 Web 服务器的地址和 DNS 服务的名称。 - 反射攻击——
攻击者将发送数千个查询,同时欺骗自己的 IP 地址并使用受害者的源地址。当这些查询得到回答时,它们都将被重定向到受害者本人。 - 反射放大 DoS –
当答案的大小远大于查询本身时,会触发通量,从而导致放大效应。这通常使用与反射攻击相同的方法,但这种攻击会进一步压倒用户系统的基础设施。
针对DNS攻击的措施:
- 使用数字签名和证书来验证会话以保护私人数据。
- 定期更新并使用最新的软件版本,例如 BIND。 BIND 是一种为用户解析 DNS 查询的开源软件。它被 Internet 上的大多数 DNS 服务器广泛使用。
- 安装适当的补丁并定期修复错误的错误。
- 在其他几台服务器中复制数据,以便如果数据在一台服务器中损坏/丢失,可以从其他服务器恢复。这也可以防止单点故障。
- 阻止冗余查询以防止欺骗。
- 限制可能的查询数量。