广州凡科互联网科技有限公司

营业时间
MON-SAT 9:00-18:00

全国服务热线
18720358503

公司门店地址
广州市海珠区工业大道北67号凤凰创意园

怎样了解DNS缓存文件投毒

日期:2021-02-23 浏览:

DNS 蒙骗是 DNS 服务器纪录变更致使故意重定项总流量的結果。DNS 蒙骗能够根据立即进攻 DNS 服务器(大家将在这里探讨)或根据任何方式的专业对于 DNS 总流量的正中间人进攻来实行。

DNS 缓存文件蒙骗以1种运用 DNS 通讯构造的方法确立地工作中。当 DNS 服务器尝试在域上实行搜索时,它会将恳求转发到根权威性 DNS,并迭代更新地沿着 DNS 服务器链向下查寻,直至它抵达域上的权威性 DNS 服务器。因为当地 DNS 服务器不知道道哪一个服务器负责哪一个域,而且不知道道到每一个权威性服务器的详细路由器,因而要是回应与查寻配对而且文件格式正确,它就会从任何地区接纳对其查寻的回应。进攻者能够根据在回应当地 DNS 服务器时战胜具体的权威性 DNS 服务器来运用此设计方案,假如这样做,当地 DNS 服务器将应用进攻者的 DNS 纪录而并不是具体的权威性回答。因为 DNS 的特性,当地 DNS 服务器没法明确哪一个回应是真正的,哪一个是假的。

因为 DNS 服务器将在內部缓存文件查寻,因而每次恳求域时,她们无须消耗時间查寻权威性服务器,从而加重了这类进攻。这带来了另外一个难题,由于假如进攻者能够战胜权威性DNS 服务器开展回应,那末进攻者纪录将被当地 DNS 服务器缓存文件,这代表着任何应用当地DNS服务器的客户都将得到进攻者纪录,将会会重定项全部应用该当地 DNS 服务器的客户都可以以浏览进攻者的网站。

DNS 缓存文件投毒的事例

生辰进攻的盲目跟风回应仿冒

DNS 协议书互换不认证对递归迭代更新查寻的回应。认证查寻只会查验 16 位事务管理 ID 和回应数据信息包的源 IP 详细地址和总体目标端口号。在 2008 年以前,全部 DNS 应用固定不动端口号53 分析.因而,除事务管理 ID 以外,蒙骗 DNS 回应所需的全部信息内容全是可预测分析的。用这类弱点进攻 DNS 被称为“生辰悖论”,均值必须 256 次来猜想事务管理 ID。以便使进攻取得成功,仿冒的 DNS 回应务必在合理合法权威性回应以前抵达总体目标分析器。假如合理合法回应最先抵达,它将由分析器缓存文件,而且直至其存活時间(TTL)期满,分析器将不容易规定权威性服务器分析同样的网站域名,从而避免进攻者中毒投射该域,直至 TTL 期满。

Kaminsky 系统漏洞

在 2008 年 在 Black Hat 上有人揭露了生辰进攻的扩展,在其中基础的盲猜技术性维持不会改变。该进攻运用了 DNS 回应的基础特点,由于 DNS 回应能够是立即回复(恳求的立即 IP 详细地址)或引入(对给定地区具备权威性性的服务器)。生辰进攻仿冒了1个为给定域纪录引入不正确条目地回答。 Kaminsky 系统漏洞应用引入来绕开先前条目上的 TTL 对全部域开展不正确键入。基础观念是进攻者挑选她们期待进攻的域,随后向总体目标分析器查寻并未被分析器缓存文件的子域(精准定位不存在的子域是1个很好的挑选,纪录是沒有被 DNS 分析器缓存文件)。因为子域不在缓存文件中,因而总体目标分析器向该域的权威性服务器推送查寻。更是在这1点上,进攻者用很多仿冒的回应来吞没分析器,每一个仿冒的回应都有不一样的仿冒事务管理 ID 号。假如进攻者取得成功引入仿冒回应,则分析器将为权威性服务器缓存文件不正确投射。对受感柒域的总体目标分析器的将来 DNS 查寻将致使全部恳求被转发到进攻者操纵器权威性分析器,使进攻者可以出示故意回应,而不用为每一个新 DNS 纪录引入假条目。

监听

很多提高 DNS 安全性性的新建议包含源端口号任意化,0x20 XOR 编号,WSEC-DNS,这些都取决于用于身份认证的组件的不对称性可浏览性。 换句话说,它们根据藏匿而并不是根据身份认证和数据加密的商业秘密性来出示安全性性。她们的唯1总体目标是如上所述避免盲目跟风进攻 应用这些安全性方式依然使 DNS 非常容易遭到受损服务器和互联网监听者的轻度进攻,以摆脱不为人知并实行如上所述的同样进攻,这次沒有盲目跟风猜想。 即便在互换自然环境中,还可以应用 ARP 中毒和相近技术性强制性全部数据信息包进到故意测算机,而且能够击破这类搞混技术性。

DNS 缓存文件投毒减缓

DNSSEC

避免 DNS 缓存文件被投毒的最好方式是完成数据加密和身份认证的安全性方式。DNS 做为1种落伍的协议书和全部互联网技术的支柱,让人诧异的是依然是1种未数据加密的协议书,沒有对它收到的条目和回应开展任何方式的认证。

自然,处理计划方案是出示1种称为 DNS Secure 或 DNSSEC的认证和身份认证方式。该协议书建立了与 DNS 纪录1起储存的唯1数据加密签字。随后 DNS 分析器应用签字来认证 DNS 回应,保证纪录未被伪造。另外,它还出示了从 TLD 到域权威性地区的信赖链,保证了 DNS 分析的全部全过程是安全性的。

虽然有这些显著的益处,但 DNSSEC 的选用速率很慢,很多不那末受欢迎的 TLD 依然沒有运用 DNSSEC 来确保安全性。关键难题是 DNSSEC 设定繁杂,必须升級机器设备来解决新协议书,此外因为历史时间上大多数数 DNS 蒙骗进攻的少见和不能知性,DNSSEC 的完成不被视作优先选择级,一般只实行1次运用就做到其性命周期的终点站。



新闻资讯

联系方式丨CONTACT

  • 全国热线:18720358503
  • 传真热线:18720358503
  • Q Q咨询:2639601583
  • 企业邮箱:2639601583@qq.com

首页
电话
短信
联系