日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
什么是DNS污染及該如何預(yù)防

創(chuàng)新互聯(lián)專注為客戶提供全方位的互聯(lián)網(wǎng)綜合服務(wù),包含不限于成都做網(wǎng)站、網(wǎng)站建設(shè)、外貿(mào)營銷網(wǎng)站建設(shè)、泉港網(wǎng)絡(luò)推廣、微信小程序定制開發(fā)、泉港網(wǎng)絡(luò)營銷、泉港企業(yè)策劃、泉港品牌公關(guān)、搜索引擎seo、人物專訪、企業(yè)宣傳片、企業(yè)代運(yùn)營等,從售前售中售后,我們都將竭誠為您服務(wù),您的肯定,是我們最大的嘉獎(jiǎng);創(chuàng)新互聯(lián)為所有大學(xué)生創(chuàng)業(yè)者提供泉港建站搭建服務(wù),24小時(shí)服務(wù)熱線:13518219792,官方網(wǎng)址:www.cdcxhl.com

如果說好萊塢電影教會我們一件事的話,那就是黑客很聰明,他們有各種各樣的伎倆來繞過我們的安全。在現(xiàn)實(shí)世界中,安全問題往往歸結(jié)為機(jī)會,而不是發(fā)展技能?!癉NS中毒”攻擊符合這一描述,事實(shí)上,您需要具備防止域被欺騙的技能。

這個(gè)概念很簡單:訪問者看到的是你的網(wǎng)站,但它是欺詐和有害的,而這個(gè)假網(wǎng)站看起來很相似。因此,您需要采用多種技術(shù)來確保用戶的安全,并且您的站點(diǎn)不會受到攻擊。

在這篇文章中,我們將深入探討DNS污染(英文DNS Poisoning),又或者稱作DNS中毒和域欺騙的概念。我們還將討論一些相關(guān)概念,以幫助您理解為什么您的最終響應(yīng)是最佳方法。

域名系統(tǒng)(DNS)入門

在我們進(jìn)入DNS污染的細(xì)節(jié)之前,讓我們先談?wù)動蛎到y(tǒng)。雖然瀏覽一個(gè)網(wǎng)站似乎是一項(xiàng)簡單的任務(wù),但在服務(wù)器的引擎蓋下有很多事情在進(jìn)行。

從“A”到“B”涉及很多因素:

  • IP地址。這是一個(gè)數(shù)字串,是你的實(shí)際網(wǎng)址。把它們當(dāng)作你房子的坐標(biāo)。例如,127.0.0.1:8080是標(biāo)準(zhǔn)的“本地主機(jī)”地址(即您的計(jì)算機(jī))。
  • 域名。如果IP地址代表坐標(biāo),則域名就是信封上顯示的地址。當(dāng)然,“wbolt.com”就是其中的一個(gè)例子。
  • DNS請求。這是一個(gè)高級前端任務(wù)和復(fù)雜的低級流程的極好例子?,F(xiàn)在,考慮一個(gè)請求是瀏覽器請求一個(gè)專用服務(wù)器地址是一組坐標(biāo)。
  • DNS服務(wù)器。這與您網(wǎng)站的服務(wù)器不同,它是四臺服務(wù)器合一的。它的工作是處理DNS請求。我們將在后面的章節(jié)中更詳細(xì)地討論這一點(diǎn)。
  • 遞歸服務(wù)器。您還將看到這些名為“解析名稱服務(wù)器”的服務(wù)器。它是DNS查找過程的一部分,負(fù)責(zé)在服務(wù)器上查詢與IP地址相關(guān)的域名。

總的來說,DNS使最終用戶獲取域名變得簡單。它是Web的核心部分,因此,它有許多活動部分。

接下來我們將介紹查找過程本身,盡管您已經(jīng)看到DNS如何完成一項(xiàng)重要任務(wù)。

DNS查找的過程

請容忍我們,我們提供的是一個(gè)抽象的類比。

把人們帶到偏遠(yuǎn)地區(qū)的活動,如登山或航海,都有一個(gè)共同的危險(xiǎn):迷路和不能及時(shí)找到。定位被困人員的傳統(tǒng)方法是使用坐標(biāo)。它們是明確的,并提供精確的準(zhǔn)確性。

然而,這個(gè)過程也有缺點(diǎn)。首先,你需要知道如何計(jì)算你在任何地點(diǎn)的坐標(biāo)——如果你在世界的偏遠(yuǎn)地區(qū),那就很棘手了。第二,你必須向救援隊(duì)清楚說明這些坐標(biāo)。一個(gè)錯(cuò)誤的數(shù)字和后果是可怕的。

what3words應(yīng)用程序需要計(jì)算和傳遞坐標(biāo)的復(fù)雜過程,并將其轉(zhuǎn)換為一個(gè)三個(gè)單詞的大致位置摘要。例如,以Automatic的總部為例:

Apple地圖中的自動化辦公室

該位置的坐標(biāo)為37.744159, -122.421555。不過,除非你是一名專業(yè)的航海家,否則你不太可能知道這一點(diǎn)。即使你這樣做了,把它交給能幫助你的人也是一個(gè)渺茫的提議。

簡言之,What3單詞需要一組抽象的坐標(biāo),并將它們翻譯成三個(gè)值得記憶的單詞。就Automatic的辦公室而言,就是decent.transfers.sleeps

what3words網(wǎng)站,展示Automatic的辦公室

這使得幾乎所有能夠訪問該應(yīng)用程序的人都能掌握復(fù)雜的全球定位。它已經(jīng)拯救了很多平民的生命。

這與DNS查找相關(guān)聯(lián),因?yàn)檫^程類似。在what3words的情況下,救援者向應(yīng)用程序詢問字串的坐標(biāo)。請求通過服務(wù)器發(fā)送,以查找坐標(biāo),并在找到坐標(biāo)后返回給最終用戶。

DNS查找具有類似的流程:

  • 您的瀏覽器請求域名的IP地址。
  • 您的操作系統(tǒng)(OS)要求遞歸服務(wù)器查找域名,并開始運(yùn)行其服務(wù)器集合。
  • 當(dāng)它找到域名時(shí),它將返回到瀏覽器。

what3words的缺點(diǎn)之一是一個(gè)單詞字符串不如一組坐標(biāo)精確。這意味著您可以快速確定一個(gè)大致位置,但可能需要花費(fèi)更長的時(shí)間才能找到被困人員。

DNS查找也有缺點(diǎn),惡意攻擊者可以利用這些缺點(diǎn)進(jìn)行攻擊。不過,在我們看這個(gè)之前,讓我們先簡單地繞道討論一下緩存,以及它如何加快查找速度。

DNS緩存

與Web緩存非常相似,DNS緩存可以幫助您向服務(wù)器調(diào)用常規(guī)查詢。這將使每次新訪問獲取IP地址的過程更快。

簡而言之,緩存位于DNS服務(wù)器系統(tǒng)內(nèi),并減少了到遞歸服務(wù)器的額外行程。這意味著瀏覽器可以直接從DNS服務(wù)器獲取IP地址,并更快地完成GET請求。

您將在整個(gè)系統(tǒng)中找到DNS緩存。例如,您的計(jì)算機(jī)將具有DNS緩存,路由器和internet服務(wù)提供商(ISP)也將具有DNS緩存。你通常不會意識到你的瀏覽體驗(yàn)有多依賴DNS緩存,直到你成為DNS中毒的受害者。

什么是DNS污染

現(xiàn)在,您已經(jīng)了解了DNS查找的概念和獲取IP地址的整個(gè)過程,我們可以了解如何利用它。

你經(jīng)常會看到DNS污染(DNS Poisoning)也被稱為“欺騙”或者“中毒”,因?yàn)殒溨杏幸粋€(gè)欺詐性的“相似”網(wǎng)站是攻擊的一部分。

我們將更詳細(xì)地討論所有這些方面,但要知道DNS中毒或欺騙是一種有害的攻擊,可能會給用戶和互聯(lián)網(wǎng)帶來精神、金錢和資源方面的問題。

首先,讓我們進(jìn)入緩存中毒的過程。

DNS污染的工作原理

鑒于整個(gè)污染過程非常復(fù)雜,攻擊者創(chuàng)造了許多不同的方法來實(shí)現(xiàn)其目標(biāo):

  • 機(jī)器在中間。這是攻擊者在瀏覽器和DNS服務(wù)器之間進(jìn)行攻擊、毒害兩者并將用戶重定向到其自己服務(wù)器上的欺詐站點(diǎn)的地方。
  • 服務(wù)器劫持。如果攻擊者進(jìn)入DNS服務(wù)器,他們可以重新配置該服務(wù)器,將所有請求發(fā)送到自己的站點(diǎn)。
  • 通過垃圾郵件中毒。與服務(wù)器劫持不同,這種方法會毒害客戶端(即瀏覽器)。訪問權(quán)限通常通過垃圾郵件鏈接、電子郵件和欺詐性廣告授予。
  • “Birthday attacks.”。這是一種復(fù)雜的加密攻擊,需要進(jìn)一步解釋。

Birthday attacks基于“生日問題”。這是一個(gè)概率場景,即(簡而言之)如果一個(gè)房間里有23個(gè)人,兩個(gè)人共享同一個(gè)生日的概率為50%。如果房間里有更多的人,機(jī)會就會增加。

顯示生日問題的圖表(圖片來源:維基百科)

這將轉(zhuǎn)換為基于將DNS查找請求連接到GET響應(yīng)的標(biāo)識符的DNS中毒。如果攻擊者發(fā)送一定數(shù)量的隨機(jī)請求和響應(yīng),則很有可能匹配導(dǎo)致中毒嘗試成功。從大約450個(gè)請求中,概率約為75%,在700個(gè)請求中,攻擊者幾乎可以保證破解服務(wù)器。

簡而言之,在大多數(shù)情況下都會發(fā)生對DNS服務(wù)器的攻擊,因?yàn)檫@使惡意用戶能夠更靈活地操縱您的站點(diǎn)和用戶數(shù)據(jù)。DNS數(shù)據(jù)也沒有驗(yàn)證,因?yàn)檎埱蠛晚憫?yīng)不使用傳輸控制協(xié)議(TCP)。

鏈中的弱點(diǎn)是DNS緩存,因?yàn)樗洚?dāng)DNS條目的存儲庫。如果攻擊者可以將偽造條目注入緩存,則訪問該緩存的每個(gè)用戶都會發(fā)現(xiàn)自己處于欺詐站點(diǎn),直到緩存過期。

攻擊者通常會尋找一些信號、弱點(diǎn)和數(shù)據(jù)點(diǎn)來攻擊目標(biāo)。它們用于發(fā)現(xiàn)尚未緩存的DNS查詢,因?yàn)檫f歸服務(wù)器必須在某個(gè)時(shí)候執(zhí)行查詢。通過擴(kuò)展,攻擊者還將查找查詢將轉(zhuǎn)到的名稱服務(wù)器。一旦他們有了這個(gè),解析程序使用的端口和請求ID號是至關(guān)重要的。

雖然滿足所有這些要求并不是必需的——畢竟,攻擊者可以通過多種方法訪問服務(wù)器——但勾選這些框可以使他們的工作更輕松。

DNS污染的真實(shí)世界示例

在過去的幾年里,DNS中毒已經(jīng)有了一些引人注目的例子。在某些情況下,這是一種故意的行為。例如,一些國家或者地區(qū)大規(guī)模運(yùn)行防火墻,以控制互聯(lián)網(wǎng)用戶接收的信息。

簡言之,他們通過將訪問者重定向到Twitter和Facebook等未經(jīng)批準(zhǔn)的網(wǎng)站,污染自己的服務(wù)器。

瑞典ISP從這些國家或者地區(qū)服務(wù)器提供根DNS信息時(shí)出現(xiàn)網(wǎng)絡(luò)錯(cuò)誤。這意味著智利和美國的用戶在訪問某些社交媒體網(wǎng)站時(shí)會被重定向到其他地方。

在另一個(gè)例子中,抗議馬來西亞虐待的孟加拉國黑客毒害了許多與微軟、谷歌、YouTube和其他知名網(wǎng)站相關(guān)的域名。這似乎是服務(wù)器劫持事件,而不是客戶端問題或垃圾郵件。

即使是維基解密也不能免疫DNS中毒攻擊。幾年前,一次潛在的服務(wù)器劫持導(dǎo)致該網(wǎng)站的訪問者被重定向到一個(gè)專門針對黑客的頁面。

DNS污染不一定是一個(gè)復(fù)雜的過程。所謂的“道德黑客”——即那些希望暴露安全缺陷而不是造成損害的人——有在自己的計(jì)算機(jī)上測試欺騙的簡單方法。

不過,除了被重定向之外,DNS中毒表面上似乎沒有任何長期影響。事實(shí)上,有——我們將在下一步討論它們。

為什么DNS污染有害

攻擊者希望在服務(wù)器上執(zhí)行DNS中毒有三個(gè)主要目標(biāo):

  • 傳播惡意軟件。
  • 將你轉(zhuǎn)到另一個(gè)網(wǎng)站,這將在某種程度上使他們受益。
  • 從您或其他實(shí)體竊取信息。

當(dāng)然,要理解為什么DNS中毒或欺騙對ISP、服務(wù)器運(yùn)營商和最終用戶來說是一個(gè)問題并沒有超出想象。

正如我們所指出的,欺騙對ISP來說是一個(gè)巨大的問題,以至于有像CAIDA Spoofer這樣的工具可以提供幫助。

CAIDA網(wǎng)站

幾年前,統(tǒng)計(jì)數(shù)字顯示每天大約有30000起襲擊。自報(bào)告發(fā)表以來,這一數(shù)字幾乎肯定會增加。更重要的是,正如前一節(jié)中的示例一樣,通過網(wǎng)絡(luò)交付偽造的站點(diǎn)會帶來用戶信任問題以及隱私問題。

無論你是誰,當(dāng)你成為中毒和欺騙的受害者時(shí),都有一些風(fēng)險(xiǎn):

  • 就像某些國家防火墻一樣,你可能會受到審查。這意味著你得到的信息將不準(zhǔn)確,這會對許多社會和政治領(lǐng)域產(chǎn)生連鎖反應(yīng)。
  • 數(shù)據(jù)盜竊是人們最關(guān)心的問題,對于那些想要獲取用戶銀行信息和其他敏感數(shù)據(jù)的人來說,這是一項(xiàng)有利可圖的冒險(xiǎn)。
  • 您可能容易感染系統(tǒng)上的惡意軟件和其他特洛伊木馬病毒。例如,攻擊者可以通過偽造的站點(diǎn)在您的系統(tǒng)上注入鍵盤記錄器或其他形式的間諜軟件。

DNS污染還有其他相關(guān)影響。例如,在恢復(fù)過程全面展開時(shí),您可能無法對系統(tǒng)應(yīng)用任何安全更新。這會使您的計(jì)算機(jī)更長時(shí)間處于易受攻擊狀態(tài)。

此外,考慮這個(gè)清理過程的成本和復(fù)雜性,因?yàn)樗鼤绊懙矫總€(gè)人在鏈條上。所有聯(lián)網(wǎng)服務(wù)的更高價(jià)格只是負(fù)面因素之一。

消除DNS污染的努力是巨大的。鑒于欺騙同時(shí)影響客戶端和服務(wù)器端設(shè)置,將其從一個(gè)設(shè)置中刪除并不意味著它從所有設(shè)置中消失。

如何預(yù)防DNS污染

有兩個(gè)區(qū)域受到DNS污染的影響-客戶端和服務(wù)器端。我們將看看你能做些什么來防止這種對硬幣兩面的破壞性攻擊。

讓我們從互聯(lián)網(wǎng)作為一個(gè)整體在服務(wù)器端做什么開始。

互聯(lián)網(wǎng)如何防止DNS污染和服務(wù)器端欺騙

盡管在本文中我們已經(jīng)討論了很多關(guān)于DNS的內(nèi)容,但我們還沒有注意到這項(xiàng)技術(shù)有多么過時(shí)。簡而言之,由于一些因素,DNS并不是最適合現(xiàn)代網(wǎng)絡(luò)瀏覽體驗(yàn)的。首先,它是未加密的,并且沒有一些重要的驗(yàn)證考慮,這將阻止許多DNS中毒攻擊的繼續(xù)。

防止攻擊變得更強(qiáng)的一種快速方法是通過簡單的日志策略。這將在請求和響應(yīng)之間進(jìn)行簡單的比較,以查看它們是否匹配。

然而,長期的答案(根據(jù)專家的說法)是使用域名系統(tǒng)安全擴(kuò)展(DNSSEC)。這是一項(xiàng)旨在對抗DNS中毒的技術(shù),簡單來說,它提供了不同級別的驗(yàn)證。

更深入地說,DNSSEC使用“公鑰加密”作為驗(yàn)證。這是一種將數(shù)據(jù)視為真實(shí)可信的方式。它與您的其他DNS信息一起存儲,遞歸服務(wù)器使用它來檢查它接收到的信息是否未被更改。

與其他互聯(lián)網(wǎng)協(xié)議和技術(shù)相比,DNSSEC是一個(gè)相對的嬰兒,但它已經(jīng)足夠成熟,可以在互聯(lián)網(wǎng)的根級別實(shí)現(xiàn),盡管它還不是主流。谷歌的公共DNS是一項(xiàng)完全支持DNSSEC的服務(wù),而且隨時(shí)都會有更多的服務(wù)出現(xiàn)。

即便如此,DNSSEC仍存在一些值得注意的缺點(diǎn):

  • 該協(xié)議不編碼響應(yīng)。這意味著攻擊者仍然可以“監(jiān)聽”流量,盡管要繞過DNSSEC,攻擊必須更加復(fù)雜。
  • 由于DNSSEC使用額外的記錄來收集DNS數(shù)據(jù),因此存在另一個(gè)稱為“區(qū)域枚舉”的漏洞。該漏洞使用一條記錄來“遍歷”并收集特定“區(qū)域”內(nèi)的所有DNS記錄。此記錄的某些版本會加密數(shù)據(jù),但其他版本尚未加密。
  • DNSSEC是一個(gè)復(fù)雜的協(xié)議,因?yàn)樗彩切碌?,所以有時(shí)可能會配置錯(cuò)誤。當(dāng)然,這會削弱使用它的好處,并帶來進(jìn)一步的問題。

即便如此,DNSSEC至少在服務(wù)器端是未來的趨勢。作為最終用戶,您還可以采取一些預(yù)防措施。

如何防止客戶端的DNS污染

有更多的方法可以在客戶端防止DNS中毒,盡管沒有一種方法能夠像專家實(shí)現(xiàn)的服務(wù)器端DNSSEC那樣強(qiáng)大。不過,作為網(wǎng)站所有者,您可以勾選一些簡單的框:

  • 對任何請求和回復(fù)使用端到端加密。安全套接字層(SSL)證書在這里做得很好。
  • 使用欺騙檢測工具,如Xarp。這些掃描程序在發(fā)送數(shù)據(jù)包之前掃描接收到的數(shù)據(jù)包。這可以減輕任何惡意數(shù)據(jù)傳輸。
  • 增加DNS緩存的生存時(shí)間(TTL)值將有助于在惡意條目到達(dá)最終用戶之前清除它們。
  • 您應(yīng)該有一個(gè)好的DNS、DHCP和IPAM(DDI)策略。這包括DNS策略、動態(tài)主機(jī)配置協(xié)議和IP地址管理。這是一個(gè)由系統(tǒng)管理員和服務(wù)器安全專家處理的復(fù)雜但必要的過程。

作為最終用戶,您還可以做一些事情來幫助防止中毒和欺騙:

  • 使用虛擬專用網(wǎng)絡(luò)(VPN),因?yàn)槟臄?shù)據(jù)將被端到端加密。您還可以使用私有DNS服務(wù)器,同樣使用端到端加密。
  • 采取簡單的預(yù)防措施,例如不要單擊無法識別的鏈接并定期進(jìn)行安全掃描。
  • 定期刷新DNS緩存也會清除系統(tǒng)中的惡意數(shù)據(jù)。這需要幾秒鐘,而且很容易實(shí)現(xiàn)。

雖然不能完全消除DNS污染,但可以防止最壞的情況發(fā)生。作為最終用戶,您無法控制服務(wù)器如何處理攻擊。同樣,系統(tǒng)管理員無法控制瀏覽器中發(fā)生的事情。因此,團(tuán)隊(duì)努力阻止這種最有害的攻擊影響整個(gè)鏈。

小結(jié)

互聯(lián)網(wǎng)攻擊是司空見慣的。DNS污染(中毒或欺騙)是一種常見的攻擊,如果不加以制止,可能會影響數(shù)百萬用戶。這是因?yàn)镈NS協(xié)議很舊,不適合現(xiàn)代網(wǎng)絡(luò)瀏覽——盡管新技術(shù)即將問世。

簡而言之,DNS污染將最終用戶重定向到現(xiàn)有網(wǎng)站的欺詐版本。這是一種竊取數(shù)據(jù)并用惡意軟件感染系統(tǒng)的方法。沒有萬無一失的方法可以完全防止它,但是你可以通過一些簡單的措施來控制它。

您是否曾經(jīng)是DNS污染的受害者,如果是,原因是什么?請?jiān)谙旅娴脑u論部分與我們分享您的經(jīng)驗(yàn)!


當(dāng)前文章:什么是DNS污染及該如何預(yù)防
轉(zhuǎn)載注明:http://www.dlmjj.cn/article/djeggdi.html