中文字幕日韩精品一区二区免费_精品一区二区三区国产精品无卡在_国精品无码专区一区二区三区_国产αv三级中文在线

什么是DNS緩存中毒?如何防止DNS緩存中毒攻擊

2021-03-03    分類: 網(wǎng)站建設(shè)

近來(lái),網(wǎng)絡(luò)上出現(xiàn)互聯(lián)網(wǎng)漏洞——DNS緩存漏洞,此漏洞直指我們應(yīng)用中互聯(lián)網(wǎng)脆弱的安全系統(tǒng),而安全性差的根源在于設(shè)計(jì)缺陷。利用該漏洞輕則可以讓用戶無(wú)法打開網(wǎng)頁(yè),重則是網(wǎng)絡(luò)釣魚和金融詐騙,給受害者造成巨大損失。

DNS緩存中毒也稱為DNS欺騙,是一種攻擊,旨在查找并利用DNS或

DNS緩存中毒如何工作?

當(dāng)一個(gè)DNS緩存服務(wù)器從用戶處獲得域名請(qǐng)求時(shí),服務(wù)器會(huì)在緩存中尋找是否有這個(gè)地址。如果沒有,它就會(huì)上級(jí)DNS服務(wù)器發(fā)出請(qǐng)求。

在出現(xiàn)這種漏洞之前,攻擊者很難攻擊DNS服務(wù)器:他們必須通過發(fā)送偽造查詢響應(yīng)、獲得正確的查詢參數(shù)以進(jìn)入緩存服務(wù)器,進(jìn)而控制合法DNS服務(wù)器。這個(gè)過程通常持續(xù)不到一秒鐘,因此黑客攻擊很難獲得成功。

但是,現(xiàn)在有安全人員找到該漏洞,使得這一過程朝向有利于攻擊者轉(zhuǎn)變。這是因?yàn)楣粽攉@悉,對(duì)緩存服務(wù)器進(jìn)行持續(xù)不斷的查詢請(qǐng)求,服務(wù)器不能給與回應(yīng)。比如,一個(gè)黑客可能會(huì)發(fā)出類似請(qǐng)求:1q2w3e.google.com,而且他也知道緩存服務(wù)器中不可能有這個(gè)域名。這就會(huì)引起緩存服務(wù)器發(fā)出更多查詢請(qǐng)求,并且會(huì)出現(xiàn)很多欺騙應(yīng)答的機(jī)會(huì)。

當(dāng)然,這并不是說攻擊者擁有很多機(jī)會(huì)來(lái)猜測(cè)查詢參數(shù)的正確值。事實(shí)上,是這種開放源DNS服務(wù)器漏洞的公布,會(huì)讓它在10秒鐘內(nèi)受到危險(xiǎn)攻擊。

要知道,即使1q2w3e.google.com受到緩存DNS中毒攻擊危害也不大,因?yàn)闆]有人會(huì)發(fā)出這樣的域名請(qǐng)求,但是,這正是攻擊者發(fā)揮威力的地方所在。通過欺騙應(yīng)答,黑客也可以給緩存服務(wù)器指向一個(gè)非法的服務(wù)器域名地址,該地址一般為黑客所控制。而且通常來(lái)說,這兩方面的信息緩存服務(wù)器都會(huì)存儲(chǔ)。

由于攻擊者現(xiàn)在可以控制域名服務(wù)器,每個(gè)查詢請(qǐng)求都會(huì)被重定向到黑客指定的服務(wù)器上。這也就意味著,黑客可以控制所有域名下的子域網(wǎng)址:www.bigbank.com,mail.bigbank.com,ftp.bigbank.com等等。這非常強(qiáng)大,任何涉及到子域網(wǎng)址的查詢,都可以引導(dǎo)至由黑客指定的任何服務(wù)器上。

DNS緩存中毒有何風(fēng)險(xiǎn)?

DNS緩存中毒的主要風(fēng)險(xiǎn)是竊取數(shù)據(jù)。DNS緩存中毒攻擊的最喜歡的目標(biāo)是醫(yī)院,金融機(jī)構(gòu)網(wǎng)站和在線零售商。這些目標(biāo)容易被欺騙,這意味著任何密碼,信用卡或其他個(gè)人信息都可能受到損害。此外,在用戶設(shè)備上安裝密鑰記錄器的風(fēng)險(xiǎn),可能會(huì)導(dǎo)致用戶訪問其他站點(diǎn)時(shí)暴露其用戶名和密碼。

另一個(gè)重大風(fēng)險(xiǎn)是,如果互聯(lián)網(wǎng)安全提供商的網(wǎng)站被欺騙,那么用戶的計(jì)算機(jī)可能會(huì)受到其他威脅(如:病毒或特洛伊木馬)的影響,因?yàn)橐坏┍还粲脩魟t不會(huì)執(zhí)行合法的安全更新。

據(jù)稱,DNS攻擊的年平均成本為223.6萬(wàn)美元,其中23%的攻擊來(lái)自DNS緩存中毒。

如何防止DNS緩存中毒

那么,企業(yè)究竟該如何防止DNS緩存中毒攻擊?要從以下幾點(diǎn)出發(fā):

第一,DNS服務(wù)器應(yīng)該配置為盡可能少地依賴與其他DNS服務(wù)器的信任關(guān)系。以這種方式配置將使攻擊者更難以使用他們自己的DNS服務(wù)器來(lái)破壞目標(biāo)服務(wù)器。

第二,企業(yè)應(yīng)該設(shè)置DNS服務(wù)器,只允許所需的服務(wù)運(yùn)行。因?yàn)樵贒NS服務(wù)器上運(yùn)行不需要的其他服務(wù),只會(huì)增加攻擊向量大小。

第三,安全人員還應(yīng)確保使用最新版本的DNS。較新版本的BIND具有加密安全事務(wù)ID和端口隨機(jī)化等功能,可以幫助防止緩存中毒攻擊。

第四,用戶的安全教育對(duì)于防止這些攻擊也非常重要。用戶應(yīng)接受有關(guān)識(shí)別可疑網(wǎng)站的培訓(xùn),用戶要學(xué)會(huì)只訪問HTTPS網(wǎng)站,這有助于防止人們成為中毒攻擊的受害者,因?yàn)樗麄儠?huì)確保不將他們的個(gè)人信息輸入黑客的網(wǎng)站。如果他們?cè)谶B接到網(wǎng)站之前收到ssl警告,則不會(huì)單擊“忽略”按鈕。 這樣就不會(huì)受到DNS緩存中毒攻擊。

結(jié)論

HTTPS是現(xiàn)行架構(gòu)下最安全的解決方案,ssl證書可以很直觀的辨別出釣魚網(wǎng)站,避免網(wǎng)站受到DNS緩存中毒攻擊,保護(hù)信息安全。部署ssl證書一定要選擇一個(gè)具有公信力的CA機(jī)構(gòu),選擇CA機(jī)構(gòu)最好是通過國(guó)際Webtrust標(biāo)準(zhǔn)的認(rèn)證,具備了國(guó)際電子認(rèn)證服務(wù)能力的CA機(jī)構(gòu),通過國(guó)際Webtrust標(biāo)準(zhǔn)的認(rèn)證意味著CA機(jī)構(gòu)的運(yùn)營(yíng)管理和服務(wù)水平符合國(guó)際標(biāo)準(zhǔn),并且有能力、有資質(zhì)提供全球化認(rèn)證服務(wù),是可靠電子認(rèn)證服務(wù)的有效證明。

本文名稱:什么是DNS緩存中毒?如何防止DNS緩存中毒攻擊
文章轉(zhuǎn)載:http://www.rwnh.cn/news48/103948.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站排名、做網(wǎng)站、移動(dòng)網(wǎng)站建設(shè)、自適應(yīng)網(wǎng)站、企業(yè)網(wǎng)站制作、外貿(mào)建站

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)

成都網(wǎng)頁(yè)設(shè)計(jì)公司
荥阳市| 白水县| 藁城市| 汤原县| 张家界市| 大港区| 繁昌县| 客服| 阜阳市| 应城市| 通城县| 慈溪市| 汕尾市| 兴义市| 祥云县| 临安市| 花莲市| 尚义县| 炉霍县| 历史| 自贡市| 荥阳市| 葵青区| 会泽县| 曲松县| 扎囊县| 惠水县| 扶沟县| 新闻| 襄汾县| 久治县| 扎赉特旗| 藁城市| 和静县| 肥西县| 荣成市| 延边| 台东市| 罗田县| 苍山县| 庄河市|