什么是DNS欺骗?一种计算机攻击手段
2020.07.01 -
域名服务器(DNS)欺骗(又名DNS缓存中毒)是一种攻击,其中,经过更改的DNS记录用于将在线流量重定向到类似于其预期目标的欺诈性网站。
到达该位置后,系统将提示用户登录他们的帐户,从而使犯罪者有机会窃取其访问凭据和其他类型的敏感信息。此外,恶意网站通常用于在用户的计算机上安装蠕虫或病毒,从而使犯罪者能够长期访问它及其存储的数据。
执行DNS欺骗攻击的方法包括:
- 中间人(MITM) –拦截用户和DNS服务器之间的通信,以将用户路由到其他/恶意IP地址。
- DNS服务器危害 – DNS服务器的直接劫持,配置为返回恶意IP地址。

DNS服务器入侵攻击
DNS缓存中毒示例
以下示例说明了DNS缓存中毒攻击,其中攻击者(IP 192.168.3.300)拦截了客户端(IP 192.168.1.100)与属于网站www.estores.com (IP 192.168。)的服务器计算机之间的通信通道 2.200)。
在这种情况下,使用一种工具(例如arpspoof)欺骗客户端,以为服务器IP为192.168.3.300。同时,使服务器认为客户端的IP也是192.168.3.300。
这样的情况将进行如下:
- 攻击者使用arpspoof发出命令: arpspoof 192.168.1.100 192.168.2.200。这会修改服务器ARP表中的MAC地址,使其认为攻击者的计算机属于客户端。
- 攻击者再次使用arpspoof发出命令:arpspoof 192.168.2.200 192.168.1.100,它告诉客户端犯罪者的计算机是服务器。
- 攻击者发出Linux命令: echo 1> / proc / sys / net / ipv4 / ip_forward。结果,在客户端和服务器之间发送的IP数据包将转发到犯罪者的计算机。
- 主机文件 192.168.3.300 estores.com 是在攻击者的本地计算机上创建的,该文件将网站www.estores.com映射到其本地IP。
- 犯罪者在本地计算机的IP上设置Web服务器,并创建一个类似于www.lwyseo.com的假冒网站 。
- 最后,使用一种工具(例如dnsspoof)将所有DNS请求定向到犯罪者的本地主机文件。结果是向用户显示虚假网站,并且只有通过与该网站进行交互, 恶意软件才会安装在他们的计算机上。
使用域名服务器安全性(DNSSEC)
DNS是未加密的协议,可以很容易地通过欺骗来拦截流量。而且,DNS服务器不会验证将流量重定向到的IP地址。
DNSSEC 是旨在通过添加其他验证方法来保护DNS的协议。该协议会创建一个与您的其他DNS记录(例如A记录和CNAME)一起存储的唯一加密签名。然后,您的DNS解析程序将使用此签名来对DNS响应进行身份验证,以确保记录未被篡改。
尽管DNSSEC可以帮助防止DNS欺骗,但它具有许多潜在的缺点,包括:
- 缺乏数据机密性 – DNSSEC进行身份验证,但不对DNS响应进行编码。结果,犯罪者仍然能够侦听流量并将数据用于更复杂的攻击。
- 复杂的部署 – DNSSEC通常配置错误,这可能导致服务器失去安全优势,甚至完全拒绝访问网站。
- 区域枚举 – DNSSEC使用其他资源记录来启用签名验证。这样的记录NSEC能够验证DNS区域的不存在。它也可以用于遍历DNS区域以收集所有现有的DNS记录(称为区域枚举的漏洞)。较新版本的NSEC(称为NSEC3和NSEC5)会发布主机名的哈希记录,从而对其进行加密并防止区域枚举。
以上便是DNS欺骗的详细介绍,可知这是一种黑客技术,通常用于计算机攻击。所以如今在使用互联网设备的时候一定要注意安全。
阅 174