最近,互联网漏洞——DNS缓存漏洞出现在互联网上,指的是我们应用中互联网脆弱的安全系统,安全性差的根源在于设计缺陷。利用这个漏洞可以让用户无法打开网页,但网络钓鱼和金融欺诈给受害者造成了巨大的损失。hostease美国服务器商分享什么是DNS缓存中毒?
DNS缓存中毒,又称DNS欺骗,是一种攻击,旨在从合法服务器吸引有机流量到虚假服务器,找出和利用DNS或域名系统中的漏洞。这种攻击通常被归类为域欺骗攻击(pharmingatack),导致许多严重问题。首先,用户经常认为他们登录了他们熟悉的网站,但他们不是。与采用非法URL进行钓鱼攻击不同,该攻击采用合法URL地址。
如何工作DNS缓存中毒?
当DNS缓存服务器从用户处获得域名请求时,服务器会在缓存中寻找该地址。如果没有,它会要求上级DNS服务器。推荐阅读:《DNS缓存是什么?DNS缓存清除命令整理》
攻击者很难攻击DNS服务器:他们必须通过发送伪造的查询响应,获得正确的查询参数进入缓存服务器,然后控制合法的DNS服务器。这个过程通常持续不到一秒钟,所以黑客攻击很难成功。
然而,现在安全人员发现了这个漏洞,这使得这个过程有利于攻击者的转变。这是因为攻击者得知服务器无法回应缓存服务器的持续查询请求。例如,个黑客可能会发出类似的请求:。,他也知道这个域名在缓存服务器中是不可能的。这将导致缓存服务器发出更多的查询请求,并有很多机会作弊。
当然,这并不意味着攻击者有很多机会猜测查询参数的正确值。事实上,这种开源DNS服务器漏洞的发布会在10秒内造成危险攻击。
要知道,即使受到缓存DNS中毒攻击的伤害也不大,因为没有人会发出这样的域名请求,但这就是攻击者发挥力量的地方。黑客还可以通过欺骗来指向缓存服务器的非法服务器域名地址,通常由黑客控制。一般来说,这两个方面的信息缓存服务器都会存储。
由于攻击者现在可以控制域名服务器,每个查询请求都将被重定向黑客指定的服务器。这意味着黑客可以控制所有域名下的子域网站:www.你的域名.com、mail.你的域名.com、ftp.你的需要明.com等。这是非常强大的,任何涉及子域网站的查询都可以引导到黑客指定的任何服务器。
DNS缓存中毒的风险是什么?
窃取数据是DNS缓存中毒的主要风险。DNS缓存中毒攻击最喜欢的目标是医院、金融机构网站和在线零售商。这些目标很容易被欺骗,这意味着任何密码、信用卡或其他个人信息都可能被损坏。此外,在用户设备上安装密钥记录器的风险可能会导致用户在访问其他网站时暴露用户名和密码。推荐阅读:《DNS递归服务器工作流程》
另一个主要风险是,如果互联网安全提供商的网站被欺骗,用户的计算机可能会受到其他威胁(如病毒或特洛伊木马)的影响,因为一旦受到攻击,用户将无法进行合法的安全更新。
DNS攻击的年平均成本为223.6万美元,其中23%来自DNS缓存中毒。
如何预防DNS缓存中毒?
那么,企业应该如何防止DNS缓存中毒攻击呢?从以下几点入手:
首先,DNS服务器应尽可能少地依赖与其他DNS服务器的信任。这样的配置会让攻击者更难使用自己的DNS服务器来破坏目标服务器。
二是企业应设置DNS服务器,只允许所需服务运行。在DNS服务器上运行其他不必要的服务只会增加攻击向量。
第三,安全人员还应确保使用最新版本的DNS。BIND的新版本具有加密安全事务ID和端口随机化的功能,有助于防止缓存中毒攻击。
第四,用户安全教育对防止这些攻击也很重要。用户应接受识别可疑网站的培训。用户应该学会只访问HTTPS网站,这将有助于防止人们成为中毒攻击的受害者,因为他们将确保他们不会将个人信息输入黑客网站。如果他们在连接到网站之前收到SSL警告,他们不会单击忽略按钮。这样就不会被DNS缓存中毒攻击。
结论。
HTTPS是目前架构下最安全的解决方案。SSL证书可以直观识别钓鱼网站,避免DNS缓存中毒攻击,保护信息安全。部署SSL证书必须选择可信的CA机构,选择CA机构最好通过国际网络标准认证,具有CA机构的国际电子认证服务能力,通过国际网络标准认证意味着CA机构运营管理和服务水平符合国际标准,能力、合格提供全球认证服务,是可靠电子认证服务的有效证明。推荐相关阅读:《Ubutu-IP,Hostname,DNS等信息配置》