📜  DNS 攻击的类型和安全策略

📅  最后修改于: 2021-09-28 10:59:15             🧑  作者: Mango

先决条件 – 域名服务器、DNS 欺骗或 DNS 缓存中毒
域名服务器是互联网的重要组成部分。它被开发为一个将字母名称转换为 IP 地址的系统,允许用户访问网站和交换电子邮件。 DNS 被组织成一个树状基础设施,其中第一级包含最顶层的域,例如.com.org 。第二级节点包含通用的传统域名。这棵树上的“叶子”节点称为主机。

DNS 的工作方式类似于数百万计算机系统访问的数据库,试图确定哪个地址最有可能解决用户的查询。

在 DNS 攻击中,黑客有时会针对包含域名的服务器。在其他情况下,这些攻击者会尝试确定系统本身的漏洞并利用它们为自己谋利。

攻击类型:

  1. 拒绝服务 (DoS) –
    攻击者通过使资源不可用或用流量淹没系统来使计算机对用户无用(无法访问)的一种攻击。
  2. 分布式拒绝服务 (DDoS) –
    攻击者控制着大量的计算机(数百或数千台)以传播恶意软件并用不必要的超载流量淹没受害者的计算机。最终,由于无法利用处理密集处理所需的能力,系统将过载并崩溃。
  3. DNS 欺骗(也称为 DNS 缓存中毒)——
    攻击者会将流量从真正的 DNS 服务器中转移出去,并将它们重定向到用户不知道的“盗版”服务器。这可能会导致用户个人数据的损坏/失窃。
  4. 快速通量 –
    攻击者通常会在执行攻击时欺骗他的 IP 地址。 Fast Flux 是一种不断更改基于位置的数据以隐藏攻击的确切位置的技术。这将掩盖攻击者的真实位置,为他提供利用攻击所需的时间。通量可以是单一的或双重的或任何其他变体。单个通量更改 Web 服务器的地址,而双通量更改 Web 服务器的地址和 DNS 服务的名称。
  5. 反射攻击——
    攻击者将发送数千个查询,同时欺骗自己的 IP 地址并使用受害者的源地址。当这些查询得到回答时,它们都将被重定向到受害者本人。
  6. 反射放大 DoS –
    当答案的大小远大于查询本身时,会触发通量,从而导致放大效应。这通常使用与反射攻击相同的方法,但这种攻击会进一步压倒用户系统的基础设施。

针对DNS攻击的措施:

  1. 使用数字签名和证书来验证会话以保护私人数据。
  2. 定期更新并使用最新的软件版本,例如 BIND。 BIND 是一种为用户解析 DNS 查询的开源软件。它被 Internet 上的大多数 DNS 服务器广泛使用。
  3. 安装适当的补丁并定期修复错误的错误。
  4. 在其他几台服务器中复制数据,以便如果数据在一台服务器中损坏/丢失,可以从其他服务器恢复。这也可以防止单点故障。
  5. 阻止冗余查询以防止欺骗。
  6. 限制可能的查询数量。