來,網絡上出現互聯網漏洞——DNS緩存漏洞,此漏洞直指我們應用中互聯網脆弱的安全系統,而安全性差的根源在于設計缺陷。利用該漏洞輕則可以讓用戶無法打開網頁,重則是網絡釣魚和金融詐騙,給受害者造成巨大損失。
DNS緩存中毒也稱為DNS欺騙,是一種攻擊,旨在查找并利用DNS或域名系統中存在的漏洞,以便將有機流量從合法服務器吸引到虛假服務器上。這種攻擊往往被歸類為域欺騙攻擊(pharming attack),由此它會導致出現很多嚴重問題。首先,用戶往往會以為登陸的是自己熟悉的網站,而它們卻并不是。與釣魚攻擊采用非法URL不同的是,這種攻擊使用的是合法的URL地址。
DNS緩存中毒如何工作?
當一個DNS緩存服務器從用戶處獲得域名請求時,服務器會在緩存中尋找是否有這個地址。如果沒有,它就會上級DNS服務器發出請求。
在出現這種漏洞之前,攻擊者很難攻擊DNS服務器:他們必須通過發送偽造查詢響應、獲得正確的查詢參數以進入緩存服務器,進而控制合法DNS服務器。這個過程通常持續不到一秒鐘,因此黑客攻擊很難獲得成功。
但是,現在有安全人員找到該漏洞,使得這一過程朝向有利于攻擊者轉變。這是因為攻擊者獲悉,對緩存服務器進行持續不斷的查詢請求,服務器不能給與回應。比如,一個黑客可能會發出類似請求:1q2w3e.google.com,而且他也知道緩存服務器中不可能有這個域名。這就會引起緩存服務器發出更多查詢請求,并且會出現很多欺騙應答的機會。
當然,這并不是說攻擊者擁有很多機會來猜測查詢參數的正確值。事實上,是這種開放源DNS服務器漏洞的公布,會讓它在10秒鐘內受到危險攻擊。
要知道,即使1q2w3e.google.com受到緩存DNS中毒攻擊危害也不大,因為沒有人會發出這樣的域名請求,但是,這正是攻擊者發揮威力的地方所在。通過欺騙應答,黑客也可以給緩存服務器指向一個非法的服務器域名地址,該地址一般為黑客所控制。而且通常來說,這兩方面的信息緩存服務器都會存儲。
由于攻擊者現在可以控制域名服務器,每個查詢請求都會被重定向到黑客指定的服務器上。這也就意味著,黑客可以控制所有域名下的子域網址:www.bigbank.com,mail.bigbank.com,ftp.bigbank.com等等。這非常強大,任何涉及到子域網址的查詢,都可以引導至由黑客指定的任何服務器上。
DNS緩存中毒有何風險?
DNS緩存中毒的主要風險是竊取數據。DNS緩存中毒攻擊的最喜歡的目標是醫院,金融機構網站和在線零售商。這些目標容易被欺騙,這意味著任何密碼,信用卡或其他個人信息都可能受到損害。此外,在用戶設備上安裝密鑰記錄器的風險,可能會導致用戶訪問其他站點時暴露其用戶名和密碼。
另一個重大風險是,如果互聯網安全提供商的網站被欺騙,那么用戶的計算機可能會受到其他威脅(如:病毒或特洛伊木馬)的影響,因為一旦被攻擊用戶則不會執行合法的安全更新。
據稱,DNS攻擊的年平均成本為223.6萬美元,其中23%的攻擊來自DNS緩存中毒。
如何防止DNS緩存中毒
那么,企業究竟該如何防止DNS緩存中毒攻擊?要從以下幾點出發:
第一,DNS服務器應該配置為盡可能少地依賴與其他DNS服務器的信任關系。以這種方式配置將使攻擊者更難以使用他們自己的DNS服務器來破壞目標服務器。
第二,企業應該設置DNS服務器,只允許所需的服務運行。因為在DNS服務器上運行不需要的其他服務,只會增加攻擊向量大小。
第三,安全人員還應確保使用最新版本的DNS。較新版本的BIND具有加密安全事務ID和端口隨機化等功能,可以幫助防止緩存中毒攻擊。
第四,用戶的安全教育對于防止這些攻擊也非常重要。用戶應接受有關識別可疑網站的培訓,用戶要學會只訪問HTTPS網站,這有助于防止人們成為中毒攻擊的受害者,因為他們會確保不將他們的個人信息輸入黑客的網站。如果他們在連接到網站之前收到SSL警告,則不會單擊“忽略”按鈕。 這樣就不會受到DNS緩存中毒攻擊。
結論
HTTPS是現行架構下最安全的解決方案,SSL證書可以很直觀的辨別出釣魚網站,避免網站受到DNS緩存中毒攻擊,保護信息安全。部署SSL證書一定要選擇一個具有公信力的CA機構,選擇CA機構最好是通過國際Webtrust標準的認證,具備了國際電子認證服務能力的CA機構,通過國際Webtrust標準的認證意味著CA機構的運營管理和服務水平符合國際標準,并且有能力、有資質提供全球化認證服務,是可靠電子認證服務的有效證明。國內能通過Webtrust認證的CA機構僅有3家,GDCA就是其中的一家,如果對安裝SSL證書有什么興趣或是疑問可到官網咨詢客服。
NS(Domain Name System)是互聯網的核心組成部分之一,它作為一個分布式數據庫,負責將用戶可讀的域名(如www.example.com)轉換為計算機和網絡設備可以理解和使用的IP地址,作為可以將域名和IP地址相互映射的一個分布式數據庫,能夠使人更方便的訪問互聯網,而不用去記住能夠被機器直接讀取的IP數串。
DNS污染是一種網絡攻擊方式,DNS污染(也稱為DNS劫持或DNS緩存投毒),通常指的是攻擊者通過篡改或偽造DNS查詢的響應來將用戶引導到錯誤的IP地址。通過篡改DNS(域名系統)的查詢結果,導致用戶無法訪問目標網站或被誤導至其他網站。
那么,DNS如果被污染會有什么后果?
當DNS被污染時,可能會導致一系列嚴重的后果,包括但不限于:
用戶可能會被引導到釣魚網站,從而泄露個人敏感信息,如銀行賬號、密碼等。
攻擊者通過DNS污染將正常網站解析到惡意網站,誘導用戶點擊鏈接或下載附件,從而竊取用戶信息或傳播惡意軟件。
大規模的DNS污染可能導致整個網絡癱瘓,影響正常的網絡通信和業務運行。
DNS污染使得用戶更容易接觸到惡意網站和病毒,從而增加了網絡安全風險。攻擊者還可以通過DNS污染實施釣魚攻擊、流量分析等其他網絡攻擊手段。
DNS污染成為目前一個日益嚴峻的問題,特別是在網絡安全領域。隨著互聯網的普及和在線活動的增加,DNS系統成為了網絡攻擊者的重要目標。但有多種方法可以對抗這一現象:
1、使用安全的DNS服務。
2、使用安全的DNS服務提供商,選擇信譽良好的公共遞歸解析器或加密DNS服務來解析域名。
3、使用HTTPS可以確保即使DNS查詢被污染,數據傳輸仍然是安全的。結論DNS污染是一個復雜且持續存在的問題,它影響著網絡的安全性和開放性。
企業和組織也可以采取額外的安全措施來防范DNS污染攻擊,如部署防火墻、入侵檢測系統、網絡監控和日志記錄等。此外,加強員工的安全意識培訓也是防范DNS污染的重要措施之一。
017-08-12 05:49:00 作者:陳杰
路由器DNS被劫持”,不知道怎么辦!因此今天“漲姿勢”跟大家說說遇到這種問題該怎么解決。
DNS劫持是什么?
DNS劫持又稱域名劫持,是指在劫持的網絡范圍內攔截域名解析的請求,分析請求的域名,把審查范圍以外的請求放行,否則返回假的IP地址或者什么都不做使請求失去響應,其效果就是對特定的網絡不能訪問或訪問的是假網址。
基本原理
DNS(域名系統)的作用是把網絡地址(域名,以一個字符串的形式)對應到真實的計算機能夠識別的網絡地址(IP地址),以便計算機能夠進一步通信,傳遞網址和內容等。由于域名劫持往往只能在特定的被劫持的網絡范圍內進行,所以在此范圍外的域名服務器(DNS)能夠返回正常的IP地址,高級用戶可以在網絡設置把DNS指向這些正常的域名服務器以實現對網址的正常訪問。所以域名劫持通常相伴的措施——封鎖正常DNS的IP。
如果知道該域名的真實IP地址,則可以直接用此IP代替域名后進行訪問。比如訪問百度域名,可以把訪問改為202.108.22.5,從而繞開域名劫持。
舉例
路由器DNS被劫持是指路由器DNS地址遭到篡改,無論你是登錄百度、某寶,網頁都會跳轉到某些固定的網頁上。
正常狀態下,就是我們訪問百度www.baidu.com時的DNS服務器返回其相對應的正確IP地址為111.13.100.91,通過這個地址轉到百度服務器。
DNS被劫持的狀態下,我們訪問www.baidu.com時DNS服務器返回一個釣魚IP地址例如124.25.***.***,其對應的域名也許是www.sh.baidu.com。
路由器DNS未被篡改時正常的網址:
路由器被DNS劫持的危害:
危害一:會造成連接這個路由器上網的所有設備被監控,被記錄;
危害二:網上購物/支付有可能會被惡意指向別的網站,造成個人賬戶泄露;
危害三:上網速度變慢,瀏覽網頁時被植入廣告,傳播木馬病毒等。
那么路由器DNS被篡該怎么辦?
有小伙伴可能說用殺毒軟件、防護軟件,騰小妹很認真的告訴你,這些方法是不行滴。
殺毒軟件、防護軟件是對電腦進行檢測殺毒,對于路由器它們都無能為力。所以最為靠譜的方法時我們手動修復路由器的DNS。
路由器DNS被篡改解決辦法
我們只需要進入路由器把遭劫持篡改的DNS改回“自動獲取”就可以咯。
以騰達AC6的界面為例
1.首先登陸路由器的設置頁面,方法是打開瀏覽器,然后在網址欄里輸入192.168.0.1(騰達路由器默認登錄IP為192.168.0.1),然后Enter。
2.成功進入路由器設置界面后,點擊 “外網設置”即可進入路由器DNS設置界面,把【DNS設置】改為“自動獲取”,按“保存”即可,如下圖:
路由器DNS地址被篡改主要是用戶沒有修改路由器默認用戶名與密碼導致的,黑客非常容易的憑借默認的登錄用戶名與密碼篡改路由器DNS地址。為了防止路由器DNS后期再遭劫持與篡改,我們要及時修改路由器登錄密碼。
修改路由器登陸用戶名與密碼也很簡單。
方法:點擊左側的“系統設置”——“管理員密碼”
輸入原密碼、新密碼以及確認密碼后點擊“保存”即可。
歷史事件
2009年巴西最大銀行遭遇DNS攻擊,1%用戶被釣魚。
2010年1月12日 “百度域名被劫持”事件。
2012年日本郵儲銀行、三井住友銀行和三菱東京日聯銀行各自提供的網上銀行服務都被釣魚網站劫持。
2013年史上最大規模DNS釣魚攻擊預估已致800萬用戶感染。
2014年1月21日 北京2014年1月21日,全國大范圍出現DNS故障,下午15時20分左右,中國頂級域名根服務器出現故障,大部分網站受影響,此次故障未對國家頂級域名.CN造成影響,所有運行服務正常。
要點分析
網站域名解析錯誤存在幾種可能。一是黑客攻擊國外根服務器造成國內服務器域名解析遭到污染。二是由于數據傳輸過程中網絡節點較多,節點也可能成為攻擊目標。但如果是攻擊節點的話,此次攻擊比較特殊,“攻擊者既沒有圖名,也沒有圖利,而是指向了一個沒有具體內容的IP地址。”三是黑客在攻擊單個網站的時候,因為節點較多,導致節點污染從而影響了全網。