日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
什么是DNS緩存中毒?如何防止DNS緩存中毒攻擊

 近來,網(wǎng)絡(luò)上出現(xiàn)互聯(lián)網(wǎng)漏洞——DNS緩存漏洞,此漏洞直指我們應(yīng)用中互聯(lián)網(wǎng)脆弱的安全系統(tǒng),而安全性差的根源在于設(shè)計缺陷。利用該漏洞輕則可以讓用戶無法打開網(wǎng)頁,重則是網(wǎng)絡(luò)釣魚和金融詐騙,給受害者造成巨大損失。

創(chuàng)新互聯(lián)成都企業(yè)網(wǎng)站建設(shè)服務(wù),提供網(wǎng)站設(shè)計、成都網(wǎng)站制作網(wǎng)站開發(fā),網(wǎng)站定制,建網(wǎng)站,網(wǎng)站搭建,網(wǎng)站設(shè)計,響應(yīng)式網(wǎng)站,網(wǎng)頁設(shè)計師打造企業(yè)風格網(wǎng)站,提供周到的售前咨詢和貼心的售后服務(wù)。歡迎咨詢做網(wǎng)站需要多少錢:18982081108

DNS緩存中毒也稱為DNS欺騙,是一種攻擊,旨在查找并利用DNS或域名系統(tǒng)中存在的漏洞,以便將有機流量從合法服務(wù)器吸引到虛假服務(wù)器上。這種攻擊往往被歸類為域欺騙攻擊(pharming attack),由此它會導致出現(xiàn)很多嚴重問題。首先,用戶往往會以為登陸的是自己熟悉的網(wǎng)站,而它們卻并不是。與釣魚攻擊采用非法URL不同的是,這種攻擊使用的是合法的URL地址。

DNS緩存中毒如何工作?

當一個DNS緩存服務(wù)器從用戶處獲得域名請求時,服務(wù)器會在緩存中尋找是否有這個地址。如果沒有,它就會上級DNS服務(wù)器發(fā)出請求。

在出現(xiàn)這種漏洞之前,攻擊者很難攻擊DNS服務(wù)器:他們必須通過發(fā)送偽造查詢響應(yīng)、獲得正確的查詢參數(shù)以進入緩存服務(wù)器,進而控制合法DNS服務(wù)器。這個過程通常持續(xù)不到一秒鐘,因此黑客攻擊很難獲得成功。

但是,現(xiàn)在有安全人員找到該漏洞,使得這一過程朝向有利于攻擊者轉(zhuǎn)變。這是因為攻擊者獲悉,對緩存服務(wù)器進行持續(xù)不斷的查詢請求,服務(wù)器不能給與回應(yīng)。比如,一個黑客可能會發(fā)出類似請求:1q2w3e.google.com,而且他也知道緩存服務(wù)器中不可能有這個域名。這就會引起緩存服務(wù)器發(fā)出更多查詢請求,并且會出現(xiàn)很多欺騙應(yīng)答的機會。

當然,這并不是說攻擊者擁有很多機會來猜測查詢參數(shù)的正確值。事實上,是這種開放源DNS服務(wù)器漏洞的公布,會讓它在10秒鐘內(nèi)受到危險攻擊。

要知道,即使1q2w3e.google.com受到緩存DNS中毒攻擊危害也不大,因為沒有人會發(fā)出這樣的域名請求,但是,這正是攻擊者發(fā)揮威力的地方所在。通過欺騙應(yīng)答,黑客也可以給緩存服務(wù)器指向一個非法的服務(wù)器域名地址,該地址一般為黑客所控制。而且通常來說,這兩方面的信息緩存服務(wù)器都會存儲。

由于攻擊者現(xiàn)在可以控制域名服務(wù)器,每個查詢請求都會被重定向到黑客指定的服務(wù)器上。這也就意味著,黑客可以控制所有域名下的子域網(wǎng)址:www.bigbank.com,mail.bigbank.com,ftp.bigbank.com等等。這非常強大,任何涉及到子域網(wǎng)址的查詢,都可以引導至由黑客指定的任何服務(wù)器上。

DNS緩存中毒有何風險?

DNS緩存中毒的主要風險是竊取數(shù)據(jù)。DNS緩存中毒攻擊的最喜歡的目標是醫(yī)院,金融機構(gòu)網(wǎng)站和在線零售商。這些目標容易被欺騙,這意味著任何密碼,信用卡或其他個人信息都可能受到損害。此外,在用戶設(shè)備上安裝密鑰記錄器的風險,可能會導致用戶訪問其他站點時暴露其用戶名和密碼。

另一個重大風險是,如果互聯(lián)網(wǎng)安全提供商的網(wǎng)站被欺騙,那么用戶的計算機可能會受到其他威脅(如:病毒或特洛伊木馬)的影響,因為一旦被攻擊用戶則不會執(zhí)行合法的安全更新。

據(jù)稱,DNS攻擊的年平均成本為223.6萬美元,其中23%的攻擊來自DNS緩存中毒。

如何防止DNS緩存中毒

那么,企業(yè)究竟該如何防止DNS緩存中毒攻擊?要從以下幾點出發(fā):

第一,DNS服務(wù)器應(yīng)該配置為盡可能少地依賴與其他DNS服務(wù)器的信任關(guān)系。以這種方式配置將使攻擊者更難以使用他們自己的DNS服務(wù)器來破壞目標服務(wù)器。

第二,企業(yè)應(yīng)該設(shè)置DNS服務(wù)器,只允許所需的服務(wù)運行。因為在DNS服務(wù)器上運行不需要的其他服務(wù),只會增加攻擊向量大小。

第三,安全人員還應(yīng)確保使用最新版本的DNS。較新版本的BIND具有加密安全事務(wù)ID和端口隨機化等功能,可以幫助防止緩存中毒攻擊。

第四,用戶的安全教育對于防止這些攻擊也非常重要。用戶應(yīng)接受有關(guān)識別可疑網(wǎng)站的培訓,用戶要學會只訪問HTTPS網(wǎng)站,這有助于防止人們成為中毒攻擊的受害者,因為他們會確保不將他們的個人信息輸入黑客的網(wǎng)站。如果他們在連接到網(wǎng)站之前收到SSL警告,則不會單擊“忽略”按鈕。 這樣就不會受到DNS緩存中毒攻擊。

結(jié)論

HTTPS是現(xiàn)行架構(gòu)下最安全的解決方案,SSL證書可以很直觀的辨別出釣魚網(wǎng)站,避免網(wǎng)站受到DNS緩存中毒攻擊,保護信息安全。部署SSL證書一定要選擇一個具有公信力的CA機構(gòu),選擇CA機構(gòu)最好是通過國際Webtrust標準的認證,具備了國際電子認證服務(wù)能力的CA機構(gòu),通過國際Webtrust標準的認證意味著CA機構(gòu)的運營管理和服務(wù)水平符合國際標準,并且有能力、有資質(zhì)提供全球化認證服務(wù),是可靠電子認證服務(wù)的有效證明。


當前名稱:什么是DNS緩存中毒?如何防止DNS緩存中毒攻擊
本文來源:http://www.dlmjj.cn/article/dpjjcjd.html