如何理解DNS缓存投毒

微云发布于:2022-07-26阅读:0

DNS欺骗是DNS由于服务器记录导致恶意重定向流量。DNS直接攻击可以欺骗DNS服务器(我们将在这里讨论)或以任何形式专门针对DNS中间人攻击流量执行。

DNS一种利用缓存欺骗DNS通信结构的工作方式明确DNS当服务器试图在域上搜索时,它会将请求转发给根权威DNS,并迭代沿DNS向下查询服务器链,直到它到达域内的权威DNS服务器。由于本地DNS服务器不知道哪个服务器负责哪个域,也不知道每个权威服务器的完整路由。因此,只要回复与查询相匹配,格式正确,就会从任何地方接受回复。攻击者可以通过回复本地DNS在服务器中击败实际权威DNS如果这样做,本地服务器将使用此设计DNS攻击者将使用服务器DNS记录而不是实际的权威答案DNS本地的性质DNS服务器无法确定哪个回复是真的,哪个是假的。

如何理解DNS缓存投毒

由于DNS服务器将在内部进行缓存查询,因此他们不必浪费时间查询权威服务器,以加剧攻击。这带来了另一个问题,因为如果攻击者能够击败权威DNS如果服务器回复,攻击者的记录将被当地记录DNS服务器缓存,这意味着任何本地使用DNS所有服务器用户都将获得攻击者记录,并可能重新定向所有本地使用DNS所有服务器用户都可以访问攻击者的网站。

DNS缓存投毒的例子

盲目反应伪造生日攻击

DNS不验证协议交换对递归迭代查询的响应。验证查询只检查16个事务ID响应数据包的源IP地址和目标端口。在2008年之前DNS采用固定端口53分析.所以,除了事务ID之外,欺骗DNS所有回复所需的信息都是可预测的。用这种弱点攻击DNS被称为生日悖论,平均需要256次猜测事务ID。伪造攻击成功DNS回复必须在法律和权威响应之前到达目标分析器。如果首先达到法律响应,它将由分析器缓存,直到其生存时间(TTL)到期时,解析器不会要求权威服务器对同一域名进行分析,以防止攻击者中毒并映射该域TTL到期。

Kaminsky漏洞

在2008年在BlackHat有人揭示了生日攻击的扩展,基本的盲猜技术保持不变。这次攻击被使用了DNS因为DNS响应可以是直接响应(直接请求IP地址)或引用(对给定区域的权威服务器)。生日攻击伪造了为给定域记录注入错误条目的答案。Kaminsky引用漏洞绕过以前的项目TTL错误输入整个域。基本思想是攻击者选择他们想要攻击的域,然后向目标分析器查询未被分析器缓存的子域(定位不存在的子域是不错的选择,记录是不存在的DNS分析器缓存)。目标分析器向该域的权威服务器发送查询,因为子域不在缓存中。正是在这一点上,攻击者用大量伪造的响应淹没了分析器,每个伪造的响应都有不同的伪造事务ID数字。如果攻击者成功注入伪造响应,分析器将缓存错误映射到权威服务器。目标分析器的未来DNS查询将所有请求转发给攻击者控制器的权威分析器,使攻击者无需为每一个新的任务提供恶意响应DNS注入假条目记录。

窃听

许多增强DNS新的安全建议包括源口随机化、0x20XOR编码,WSEC-DNS,这些都取决于身份验证组件的不对称性和可访问性。换句话说,它们通过隐藏而不是身份验证和加密的机密性来提供安全性。他们唯一的目标是使用这些安全方法来防止盲目攻击DNS容易受到损坏服务器和网络窃听者的轻微攻击,以打破不知名的攻击,并执行上述相同的攻击,这次没有盲目猜测。它甚至可以在交换环境中使用ARP中毒和类似技术迫使所有数据包进入恶意计算机,并能打破这种混淆技术。

DNS缓存投毒缓解

DNSSEC

防止DNS实现加密和身份验证的实现加密和身份验证的安全方法。DNS作为整个互联网的过时协议和支柱,令人惊讶的是,它仍然是一个未加密的协议,没有以任何形式验证其收到的项目和响应。

当然,解决方案是提供一个名称DNSSecure或DNSSEC验证和身份验证方法。协议创建和DNS记录一起存储的唯一加密签名DNS用签名验证分析器DNS响应,确保记录不被篡改。此外,它还提供了从TLD保证到域权威区域的信任链DNS整个分析过程是安全的。

尽管有这些明显的好处,但DNSSEC使用速度很慢,很多都不那么受欢迎TLD还是没用DNSSEC确保安全。主要问题是DNSSEC此外,由于历史上大多数原因,设置复杂,需要升级设备来处理新协议DNS欺骗攻击的罕见性和不可知性,DNSSEC实现不被视为优先级,其生命周期的终点通常只执行一个应用程序。

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:shawn.lee@vecloud.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

本站原创内容未经允许不得转载,或转载时需注明出处:https://news.kd010.com/fwqjs/12006.html

TAG标签:

上一篇:服务器为什么能长时间持续地工作?
下一篇:如何通过免费脚本DDoS deflate缓解DDOS攻击?

相关文章

返回顶部