什么是DNS欺骗?一种计算机攻击手段

2020.07.01 -

   

域名服务器(DNS)欺骗(又名DNS缓存中毒)是一种攻击,其中,经过更改的DNS记录用于将在线流量重定向到类似于其预期目标的欺诈性网站。

到达该位置后,系统将提示用户登录他们的帐户,从而使犯罪者有机会窃取其访问凭据和其他类型的敏感信息。此外,恶意网站通常用于在用户的计算机上安装蠕虫或病毒,从而使犯罪者能够长期访问它及其存储的数据。

执行DNS欺骗攻击的方法包括:

  • 中间人(MITM)  –拦截用户和DNS服务器之间的通信,以将用户路由到其他/恶意IP地址。
  • DNS服务器危害  – DNS服务器的直接劫持,配置为返回恶意IP地址。
进行DNS欺骗攻击的受损DNS服务器

DNS服务器入侵攻击

DNS缓存中毒示例

以下示例说明了DNS缓存中毒攻击,其中攻击者(IP 192.168.3.300)拦截了客户端(IP 192.168.1.100)与属于网站www.estores.com  (IP 192.168。)的服务器计算机之间的通信通道  2.200)。

在这种情况下,使用一种工具(例如arpspoof)欺骗客户端,以为服务器IP为192.168.3.300。同时,使服务器认为客户端的IP也是192.168.3.300。

这样的情况将进行如下:

  1. 攻击者使用arpspoof发出命令:  arpspoof 192.168.1.100 192.168.2.200。这会修改服务器ARP表中的MAC地址,使其认为攻击者的计算机属于客户端。
  2. 攻击者再次使用arpspoof发出命令:arpspoof 192.168.2.200 192.168.1.100,它告诉客户端犯罪者的计算机是服务器。
  3. 攻击者发出Linux命令:  echo 1> / proc / sys / net / ipv4 / ip_forward。结果,在客户端和服务器之间发送的IP数据包将转发到犯罪者的计算机。
  4. 主机文件  192.168.3.300 estores.com  是在攻击者的本地计算机上创建的,该文件将网站www.estores.com映射到其本地IP。
  5. 犯罪者在本地计算机的IP上设置Web服务器,并创建一个类似于www.lwyseo.com的假冒网站  。
  6. 最后,使用一种工具(例如dnsspoof)将所有DNS请求定向到犯罪者的本地主机文件。结果是向用户显示虚假网站,并且只有通过与该网站进行交互,  恶意软件才会安装在他们的计算机上。

使用域名服务器安全性(DNSSEC)

DNS是未加密的协议,可以很容易地通过欺骗来拦截流量。而且,DNS服务器不会验证将流量重定向到的IP地址。

DNSSEC  是旨在通过添加其他验证方法来保护DNS的协议。该协议会创建一个与您的其他DNS记录(例如A记录和CNAME)一起存储的唯一加密签名。然后,您的DNS解析程序将使用此签名来对DNS响应进行身份验证,以确保记录未被篡改。

尽管DNSSEC可以帮助防止DNS欺骗,但它具有许多潜在的缺点,包括:

  • 缺乏数据机密性  – DNSSEC进行身份验证,但不对DNS响应进行编码。结果,犯罪者仍然能够侦听流量并将数据用于更复杂的攻击。
  • 复杂的部署  – DNSSEC通常配置错误,这可能导致服务器失去安全优势,甚至完全拒绝访问网站。
  • 区域枚举  – DNSSEC使用其他资源记录来启用签名验证。这样的记录NSEC能够验证DNS区域的不存在。它也可以用于遍历DNS区域以收集所有现有的DNS记录(称为区域枚举的漏洞)。较新版本的NSEC(称为NSEC3和NSEC5)会发布主机名的哈希记录,从而对其进行加密并防止区域枚举。

以上便是DNS欺骗的详细介绍,可知这是一种黑客技术,通常用于计算机攻击。所以如今在使用互联网设备的时候一定要注意安全。

本站文章禁止转载,违者必究
阅 83
0

域名服务器(DNS)欺骗(又名DNS缓存中毒)是一种攻击,其中,经过更改的DNS记录用于将在线流量重定向到类似 […]

湘公网安备 43011102001693号

    湘ICP备19003021号-1