防不胜防 了解DNS缓存中毒攻击原理

本文涉及的产品
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
云解析 DNS,旗舰版 1个月
全局流量管理 GTM,标准版 1个月
简介: 网络上出现史上最强大的互联网漏洞——DNS缓存漏洞,此漏洞直指我们应用中互联网脆弱的安全系统,而安全性差的根源在于设计缺陷。利用该漏洞轻则可以让用户无法打开网页,重则是网络钓鱼和金融诈骗,给受害者造成巨大损失。

网络上出现史上最强大的互联网漏洞——DNS缓存漏洞,此漏洞直指我们应用中互联网脆弱的安全系统,而安全性差的根源在于设计缺陷。利用该漏洞轻则可以让用户无法打开网页,重则是网络钓鱼和金融诈骗,给受害者造成巨大损失。

缓存中毒攻击者(cache poisoning)给DNS服务器注入非法网络域名地址,如果服务器接受这个非法地址,那说明其缓存就被攻击了,而且以后响应的域名请求将会受黑客所控。当这些非法地址进入服务器缓存,用户的浏览器或者邮件服务器就会自动跳转到DNS指定的地址。

这种攻击往往被归类为域欺骗攻击(pharming attack),由此它会导致出现很多严重问题。首先,用户往往会以为登陆的是自己熟悉的网站,而它们却并不是。与钓鱼攻击采用非法URL不同的是,这种攻击使用的是合法的URL地址。

另外一个问题是,成百上千的用户会被植入缓存中毒攻击的服务器重定向,引导至黑客设立的圈套站点上。这种问题的严重性,会与使用域名请求的用户多少相关。在这样的情况下,即使没有丰富技术的黑客也可以造成很大的麻烦,让用户稀里糊涂的就把自己网银帐号密码,网游帐号密码告诉给他人。

用这种类似的方法,邮件系统也会受到黑客攻击。只不过不是给Web服务器,而是给邮件服务器非法地址,从而让系统引导至受到控制的邮件服务器中。

那么,黑客究竟是怎么做到使缓存服务器接受非法地址呢?当一个DNS缓存服务器从用户处获得域名请求时,服务器会在缓存中寻找是否有这个地址。如果没有,它就会上级DNS服务器发出请求。

在出现这种漏洞之前,攻击者很难攻击DNS服务器:他们必须通过发送伪造查询响应、获得正确的查询参数以进入缓存服务器,进而控制合法DNS服务器。这个过程通常持续不到一秒钟,因此黑客攻击很难获得成功。

但是,现在有安全人员找到该漏洞,使得这一过程朝向有利于攻击者转变。这是因为攻击者获悉,对缓存服务器进行持续不断的查询请求,服务器不能给与回应。比如,一个黑客可能会发出类似请求:1q2w3e.google.com,而且他也知道缓存服务器中不可能有这个域名。这就会引起缓存服务器发出更多查询请求,并且会出现很多欺骗应答的机会。

当然,这并不是说攻击者拥有很多机会来猜测查询参数的正确值。事实上,是这种开放源DNS服务器漏洞的公布,会让它在10秒钟内受到危险攻击。

要知道,即使1q2w3e.google.com受到缓存DNS中毒攻击危害也不大,因为没有人会发出这样的域名请求,但是,这正是攻击者发挥威力的地方所在。通过欺骗应答,黑客也可以给缓存服务器指向一个非法的服务器域名地址,该地址一般为黑客所控制。而且通常来说,这两方面的信息缓存服务器都会存储。

由于攻击者现在可以控制域名服务器,每个查询请求都会被重定向到黑客指定的服务器上。这也就意味着,黑客可以控制所有域名下的子域网址:www.bigbank.com,mail.bigbank.com,ftp.bigbank.com等等。这非常强大,任何涉及到子域网址的查询,都可以引导至由黑客指定的任何服务器上。

如何应对?

为了解决这些问题,用于查询的UDP端口不应该再是默认的53,而是应该在UDP端口范围内随机选择(排除预留端口)

但是,很多企业发现他们的DNS服务器远落后于提供网络地址转换(network address translation ,NAT)的各种设备。大部分NAT设备会随机选择NDS服务器使用的UDP端口,这样就会使得新的安全补丁会失去效果。IT经理也不会在防火墙中开放全方位的UDP端口。更严重的是,有安全研究员证明,即使提供64000UDP端口中随机选择的保护,DNS服务器也照样有可能受到中毒攻击。

现在是时候考虑保护DNS的其他方案了。UDP源端口随机化选择是一种比较有用的防护举措,但是这会打破UDP源端口随机化给与DNS服务器的保护,同由此全方位开放端口面临的风险或者降低防火墙性能这两者间的平衡关系。还有一种比较有效的防护措施就是,当检测到面临潜在攻击风险时,让DNS服务器切换到使用TCP连接。

如果攻击者猜测到了必要的参数以欺骗查询响应,那么就需要额外的防御措施了。这意味着DNS服务器需要更智能化,能够准确分析每个查询响应,以便剔除攻击者发送的非法应答中的有害信息。

目录
相关文章
|
14天前
|
域名解析 网络协议 安全
什么是DNS劫持攻击以及如何避免此类攻击
【10月更文挑战第28天】DNS劫持攻击是一种网络攻击方式,攻击者通过篡改用户的DNS设置,将合法网站的域名解析为恶意网站的IP地址,使用户在不知情的情况下访问钓鱼网站。攻击手段包括在用户系统植入恶意软件、利用路由器漏洞或破解DNS通信等。为防止此类攻击,应使用安全软件、定期检查DNS设置、重置路由器密码及避免访问不安全的网站。
66 1
|
4天前
|
存储 缓存 网络协议
如何防止DNS缓存中毒攻击(一)
DNS缓存中毒也称为DNS欺骗
25 10
|
4天前
|
缓存 网络协议 安全
如何防止DNS缓存中毒(Ⅱ)
服务器应该配置为尽可能少地依赖与其他DNS服务器的信任关系
22 10
|
17天前
|
安全 前端开发 Java
Web安全进阶:XSS与CSRF攻击防御策略深度解析
【10月更文挑战第26天】Web安全是现代软件开发的重要领域,本文深入探讨了XSS和CSRF两种常见攻击的原理及防御策略。针对XSS,介绍了输入验证与转义、使用CSP、WAF、HTTP-only Cookie和代码审查等方法。对于CSRF,提出了启用CSRF保护、设置CSRF Token、使用HTTPS、二次验证和用户教育等措施。通过这些策略,开发者可以构建更安全的Web应用。
52 4
|
16天前
|
安全 Go PHP
Web安全进阶:XSS与CSRF攻击防御策略深度解析
【10月更文挑战第27天】本文深入解析了Web安全中的XSS和CSRF攻击防御策略。针对XSS,介绍了输入验证与净化、内容安全策略(CSP)和HTTP头部安全配置;针对CSRF,提出了使用CSRF令牌、验证HTTP请求头、限制同源策略和双重提交Cookie等方法,帮助开发者有效保护网站和用户数据安全。
44 2
|
17天前
|
算法 Java 数据库连接
Java连接池技术,从基础概念出发,解析了连接池的工作原理及其重要性
本文详细介绍了Java连接池技术,从基础概念出发,解析了连接池的工作原理及其重要性。连接池通过复用数据库连接,显著提升了应用的性能和稳定性。文章还展示了使用HikariCP连接池的示例代码,帮助读者更好地理解和应用这一技术。
31 1
|
18天前
|
缓存 网络协议 安全
如何防止DNS缓存中毒(Ⅱ)
防止DNS缓存中毒的方法包括:减少DNS服务器与其它服务器的信任关系;限制DNS服务器上的服务;使用最新版DNS;加强用户安全教育,如识别可疑网站,仅访问HTTPS网站等。部署SSL证书并选择符合国际Webtrust标准的CA机构,可进一步提高安全性。
28 1
|
4天前
|
存储 供应链 物联网
深入解析区块链技术的核心原理与应用前景
深入解析区块链技术的核心原理与应用前景
|
4天前
|
存储 供应链 安全
深度解析区块链技术的核心原理与应用前景
深度解析区块链技术的核心原理与应用前景
11 0
|
3天前
|
监控 Java 应用服务中间件
高级java面试---spring.factories文件的解析源码API机制
【11月更文挑战第20天】Spring Boot是一个用于快速构建基于Spring框架的应用程序的开源框架。它通过自动配置、起步依赖和内嵌服务器等特性,极大地简化了Spring应用的开发和部署过程。本文将深入探讨Spring Boot的背景历史、业务场景、功能点以及底层原理,并通过Java代码手写模拟Spring Boot的启动过程,特别是spring.factories文件的解析源码API机制。
16 2

相关产品

  • 云解析DNS
  • 推荐镜像

    更多