什么是DNS缓存中毒？如何防止DNS缓存中毒攻击

最近，互联网漏洞出现在互联网上——DNS缓存漏洞是指我们应用中互联网脆弱的安全系统，安全性差的根本原因在于设计缺陷。使用这个漏洞可以使用户无法打开网页，或网络钓鱼和金融欺诈，给受害者造成巨大的损失。

DNS缓存中毒也叫DNS欺骗是一种旨在寻找和使用的攻击DNS或域名系统中的漏洞，以吸引有机流量从合法服务器到虚假服务器。这种攻击通常被归类为域欺骗攻击(pharmingattack)，这将导致许多严重的问题。首先，用户经常认为他们登录了他们熟悉的网站，但他们不是。非法进行钓鱼攻击URL不同的是，这种攻击是合法的URL地址。

DNS如何缓存中毒？

当一个DNS当缓存服务器从用户处获得域名请求时，服务器会在缓存中寻找是否有此地址。如果没有，它将是上级DNS服务器发出请求。

攻击者很难攻击这个漏洞DNS服务器：通过发送伪造的查询响应，获得正确的查询参数，进入缓存服务器，进而控制合法性DNS服务器。这个过程通常持续不到一秒钟，所以黑客攻击很难成功。

然而，现在一些安全人员发现了这个漏洞，这使得这个过程有利于攻击者的转变。这是因为攻击者得知服务器无法响应缓存服务器的持续查询请求。例如，黑客可能会发出类似的请求：1q2w3e.google.com，而且他也知道这个域名在缓存服务器中是不可能的。这将导致缓存服务器发出更多的查询请求，并有很多机会作弊。

当然，这并不意味着攻击者有很多机会猜测查询参数的正确值。事实上，这是一个开放的来源DNS服务器漏洞的公布，会让它在10秒钟内受到危险攻击。

即使是1q2w3e.google.com受到缓存DNS中毒攻击的危害并不大，因为没有人会发出这样的域名请求，但这就是攻击者发挥力量的地方。通过欺骗回应，黑客还可以指向缓存服务器的非法服务器域名地址，通常由黑客控制。通常，这两个方面的信息缓存服务器都会存储。

因为攻击者现在可以控制域名服务器，所以每个查询请求都将新定向黑客指定的服务器。这意味着黑客可以控制所有域名下的子域网站：www.kd010.com，mail.kd010.com，ftp.kd010.com等等。这很强大，任何涉及子域网站的查询都可以引导到黑客指定的任何服务器。

DNS缓存中毒的风险是什么？

DNS窃取数据是缓存中毒的主要风险。DNS缓存中毒攻击最喜欢的目标是医院、金融机构网站和在线零售商。这些目标很容易被欺骗，这意味着任何密码、信用卡或其他个人信息都可能被损坏。此外，在用户设备上安装密钥记录器的风险可能会导致用户在访问其他网站时暴露用户名和密码。

另一个主要风险是，如果互联网安全提供商的网站被欺骗，用户的计算机可能会受到其他威胁（如病毒或特洛伊木马）的影响，因为一旦受到攻击，用户将无法进行合法的安全更新。

据称，DNS攻击年平均成本为223.6万美元，其中23%来自攻击DNS缓存中毒。

如何防止DNS缓存中毒

那么，如何防止企业呢？DNS缓存中毒攻击应从以下几点入手：

一、DNS服务器应尽可能少地依赖于其他服务器DNS服务器务器。这样的配置会让攻击者更难使用自己的DNS破坏目标服务器的服务器。

二、企业要设立DNS服务器只允许所需的服务运行。因为在DNS在服务器上运行不需要的其他服务只会增加攻击向量。

三、安全人员还应确保使用最新版本DNS。较新版本的BIND加密安全事务ID有助于防止缓存中毒攻击，如端口随机化。

四、用户安全教育对防止这些攻击也非常重要。用户应接受识别可疑网站的培训，用户应学会只访问HTTPS该网站有助于防止人们成为中毒攻击的受害者，因为他们确保他们不会将个人信息输入黑客网站。如果他们在连接到该网站之前收到它SSL警告不会单击忽略按钮。这样就不会被接受DNS缓存中毒攻击。

结论

HTTPS是目前架构下最安全的解决方案，SSL钓鱼网站可以直观区分证书，避免网站接受DNS缓存中毒攻击，保护信息安全SSL证书必须选择公信力CA机构，选择CA机构最好是通过国际Webtrust具有国际电子认证服务能力的标准认证CA机构，通过国际Webtrust标准认证意味着CA机构的经营管理和服务水平符合国际标准，能够提供全球认证服务，是可靠电子认证服务的有效证明。

微云网络提供SSL价格低至299/年的证书服务；微云网络为活动期间购买的用户提供免费安装ssl技术支持服务证书，免费定制安全解决方案，使数据更安全！任何问题都可以随时咨询在线客服！