Windows

DNS缓存中毒和欺骗

2019Cloudflare加密周谈TLS加密技术杜绝域名DNS劫持投毒污染HTTP信息劫持窃听篡改2019.06.17

2019Cloudflare加密周谈TLS加密技术杜绝域名DNS劫持投毒污染HTTP信息劫持窃听篡改2019.06.17

目录:

Anonim

DNS 代表域名系统,这有助于浏览器计算出网站的IP地址,以便将其加载到您的计算机上。 DNS缓存 为您或ISP的计算机上的文件,其中包含经常使用的网站的IP地址列表。本文介绍什么是DNS缓存中毒和DNS欺骗。

DNS缓存中毒

每当用户在他或她的浏览器中键入网站URL时,浏览器会联系本地文件(DNS缓存)以查看是否存在任何条目来解决网站的IP地址。浏览器需要网站的IP地址才能连接到网站。它不能简单地使用URL直接连接到网站。必须将其解析为适当的IPv4或IPv6 IP地址。如果记录存在,网络浏览器将使用它;否则它将转到DNS服务器以获取IP地址。这称为DNS查找。

在您的计算机或ISP的DNS服务器计算机上创建DNS缓存,以便减少查询URL的DNS时间。基本上,DNS缓存是小文件,其中包含计算机或网络上经常使用的不同网站的IP地址。在联系DNS服务器之前,网络上的计算机会联系本地服务器以查看DNS高速缓存中是否有任何条目。如果有的话,电脑会使用它;否则服务器将联系DNS服务器并获取IP地址。然后它将使用该网站的最新IP地址更新本地DNS缓存。

根据操作系统和DNS解析的准确性,DNS缓存中的每个条目都设置了一个时间限制。到期后,包含DNS缓存的计算机或服务器将联系DNS服务器并更新条目,以使信息正确

但是,有些人可能会使DNS缓存中毒以进行犯罪活动。

中毒缓存 意味着更改URL的实际值。例如,网络犯罪分子可以创建一个类似于 xyz.com 的网站,并在您的DNS缓存中输入其DNS记录。因此,当您在浏览器的地址栏中键入 xyz.com 时,后者将会获取假冒网站的IP地址,并将您带到那里,而不是真正的网站。这就是所谓的Pharming。使用这种方法,网络犯罪分子可以窃取您的登录凭据和其他信息,例如卡片详情,社会安全号码,电话号码等以防身份盗用。 DNS中毒也是为了将恶意软件注入到您的计算机或网络中。一旦您使用中毒DNS缓存登陆虚假网站,犯罪分子就可以做任何他们想做的事情。

有时,犯罪分子有时可以设置虚假的DNS服务器,以便在查询时可以发布虚假IP地址。这是高级别的DNS中毒,并且会破坏特定区域中的大部分DNS缓存,从而影响更多用户。

阅读:Comodo Secure DNS | OpenDNS | Google Public DNS | Yandex安全DNS | Angel DNS。

DNS缓存欺骗

DNS欺骗是一种类型的攻击,涉及模拟DNS服务器响应以引入错误信息。在欺骗攻击中,恶意用户试图猜测DNS客户端或服务器已发送DNS查询并正在等待DNS响应。一个成功的欺骗攻击会在DNS服务器的缓存中插入一个虚假的DNS响应,这个过程称为缓存中毒。假冒的DNS服务器无法验证DNS数据是否真实,并且将使用假信息从其缓存中进行回复。

DNS缓存欺骗听起来类似于DNS缓存中毒,但有一点区别。 DNS缓存欺骗是一组用于毒化DNS缓存的方法。这可能是强制进入计算机网络的服务器以修改和操作DNC缓存。这可能会设置一个虚假的DNS服务器,以便在查询时发送伪造的响应。有很多方法可以使DNS缓存中毒,其中一种常见方式是DNS缓存欺骗。

阅读:如何使用ipconfig找出您的计算机的DNS设置是否已被破解

DNS缓存中毒 - 预防

防止DNS缓存中毒的方法不多。最好的方法是 扩展您的安全系统 ,以便攻击者不会危及您的网络并操纵本地DNS缓存。使用可检测DNS缓存中毒攻击的 好防火墙 经常清除DNS缓存 也是您可能考虑的选项之一

除了扩展安全系统,管理员应 更新其固件和软件 以保证安全系统处于最新状态。操作系统应该用最新的更新补丁。不应有任何第三方传出链接。服务器应该是网络和互联网之间的唯一接口,并且应该在防火墙后面。

网络中服务器 信任关系应该向上移动,以便它们不会问任何问题DNS解析服务器。这样,只有具有真正证书的服务器才能在解析DNS服务器时与网络服务器通信。

DNS缓存中每个条目的 句点 应该很短,以便更多地获取DNS记录经常更新。这可能意味着连接到网站的时间较长(有时),但会降低使用中毒缓存的几率。

Windows系统上的DNS缓存锁定 应配置为90%或更高。 Windows Server中的缓存锁定允许您控制是否可以覆盖DNS缓存中的信息。有关详细信息,请参阅TechNet。

使用 DNS套接字缓冲池 ,因为它使DNS服务器在发出DNS查询时可以使用源端口随机化。 TechNet表示,这提供了针对缓存中毒攻击的增强安全性。

域名系统安全扩展(DNSSEC) 是Windows Server的一组扩展,它为DNS协议增加了安全性。您可以在这里阅读更多信息。

您可能会感兴趣的两种工具:F-Secure路由器检查器将检查DNS劫持,并且WhiteHat Security Tool监视DNS劫持。

现在阅读: 什么是DNS劫持?

欢迎观察和评论