什么是DNS欺骗？一种计算机攻击手段

域名服务器（DNS）欺骗（又名DNS缓存中毒）是一种攻击，其中，经过更改的DNS记录用于将在线流量重定向到类似于其预期目标的欺诈性网站。

到达该位置后，系统将提示用户登录他们的帐户，从而使犯罪者有机会窃取其访问凭据和其他类型的敏感信息。此外，恶意网站通常用于在用户的计算机上安装蠕虫或病毒，从而使犯罪者能够长期访问它及其存储的数据。

执行DNS欺骗攻击的方法包括：

• 中间人（MITM）  –拦截用户和DNS服务器之间的通信，以将用户路由到其他/恶意IP地址。
• DNS服务器危害  – DNS服务器的直接劫持，配置为返回恶意IP地址。

DNS缓存中毒示例

以下示例说明了DNS缓存中毒攻击，其中攻击者（IP 192.168.3.300）拦截了客户端（IP 192.168.1.100）与属于网站www.estores.com  （IP 192.168。）的服务器计算机之间的通信通道  2.200）。

在这种情况下，使用一种工具（例如arpspoof）欺骗客户端，以为服务器IP为192.168.3.300。同时，使服务器认为客户端的IP也是192.168.3.300。

这样的情况将进行如下：

1. 攻击者使用arpspoof发出命令：  arpspoof 192.168.1.100 192.168.2.200。这会修改服务器ARP表中的MAC地址，使其认为攻击者的计算机属于客户端。
2. 攻击者再次使用arpspoof发出命令:arpspoof 192.168.2.200 192.168.1.100，它告诉客户端犯罪者的计算机是服务器。
3. 攻击者发出Linux命令：  echo 1> / proc / sys / net / ipv4 / ip_forward。结果，在客户端和服务器之间发送的IP数据包将转发到犯罪者的计算机。
4. 主机文件  192.168.3.300 estores.com  是在攻击者的本地计算机上创建的，该文件将网站www.estores.com映射到其本地IP。
5. 犯罪者在本地计算机的IP上设置Web服务器，并创建一个类似于www.lwyseo.com的假冒网站  。
6. 最后，使用一种工具（例如dnsspoof）将所有DNS请求定向到犯罪者的本地主机文件。结果是向用户显示虚假网站，并且只有通过与该网站进行交互，  恶意软件才会安装在他们的计算机上。

使用域名服务器安全性（DNSSEC）

DNS是未加密的协议，可以很容易地通过欺骗来拦截流量。而且，DNS服务器不会验证将流量重定向到的IP地址。

DNSSEC  是旨在通过添加其他验证方法来保护DNS的协议。该协议会创建一个与您的其他DNS记录（例如A记录和CNAME）一起存储的唯一加密签名。然后，您的DNS解析程序将使用此签名来对DNS响应进行身份验证，以确保记录未被篡改。

尽管DNSSEC可以帮助防止DNS欺骗，但它具有许多潜在的缺点，包括：

• 缺乏数据机密性  – DNSSEC进行身份验证，但不对DNS响应进行编码。结果，犯罪者仍然能够侦听流量并将数据用于更复杂的攻击。
• 复杂的部署  – DNSSEC通常配置错误，这可能导致服务器失去安全优势，甚至完全拒绝访问网站。
• 区域枚举  – DNSSEC使用其他资源记录来启用签名验证。这样的记录NSEC能够验证DNS区域的不存在。它也可以用于遍历DNS区域以收集所有现有的DNS记录（称为区域枚举的漏洞）。较新版本的NSEC（称为NSEC3和NSEC5）会发布主机名的哈希记录，从而对其进行加密并防止区域枚举。

以上便是DNS欺骗的详细介绍，可知这是一种黑客技术，通常用于计算机攻击。所以如今在使用互联网设备的时候一定要注意安全。