关注我们

DNS欺骗

LzersLzers 安全文摘 2018-07-02 666082 0

什么是域名系统(DNS)欺骗?

域名服务器(DNS)欺骗(又称DNS缓存中毒)是一种攻击,其中使用更改后的DNS记录将在线流量重定向到类似其预期目的地的欺诈网站。

一旦出现,用户将被提示登录(他们认为是)他们的账户,从而使犯罪者有机会窃取他们的访问凭证和其他类型的敏感信息。此外,恶意网站通常用于在用户的计算机上安装蠕虫或病毒,使攻击者可以长期访问它以及它所存储的数据。

执行DNS欺骗攻击的方法包括:

  • 中间人(MITM) - 拦截用户和DNS服务器之间的通信,以便将用户路由到不同的/恶意的IP地址。

  • DNS服务器危害 - 直接劫持DNS服务器,该服务器配置为返回恶意IP地址。

DNS缓存中毒示例

以下示例说明DNS缓存中毒攻击,攻击者(IP 192.168.3.300)拦截客户端(IP 192.168.1.100)和属于网站www.estores.com(IP 192.168 )的服务器计算机之间的通信通道。 2.200)。

在这种情况下,使用工具(例如arpspoof)来欺骗客户端,使其认为服务器IP为192.168.3.300。同时,服务器被认为客户端的IP也是192.168.3.300。

这种情况如下进行:

  1. 攻击者使用arpspoof发出命令:arpspoof 192.168.1.100 192.168.2.200。这会修改服务器ARP表中的MAC地址,使其认为攻击者的计算机属于客户端。

  2. 攻击者再次使用arpspoof发出命令:arpspoof 192.168.2.200 192.168.1.100,它告诉客户端犯罪者的计算机是服务器。

  3. 攻击者发出Linux命令:echo 1> / proc / sys / net / ipv4 / ip_forward。结果,在客户端和服务器之间发送的IP数据包被转发给犯罪者的计算机。

  4. 主机文件192.168.3.300 estores.com创建在攻击者的本地计算机上,该计算机将www.estores.com网站映射到其本地IP。

  5. 犯罪者在本地计算机的IP上建立一个网络服务器,并创建一个类似www.estores.com的假网站。

  6. 最后,使用工具(例如dnsspoof)将所有DNS请求定向到犯罪者的本地主机文件。因此虚假网站向用户展示,只有通过与网站互动,恶意软件才会安装在他们的计算机上。

使用域名服务器安全(DNSSEC)缓解DNS欺骗

DNS是一个未加密的协议,可以很容易地通过欺骗来拦截流量。更重要的是,DNS服务器不会验证他们重定向流量的IP地址。

DNSSEC是一种旨在通过添加其他验证方法来保护您的DNS的协议。该协议创建一个存储在您的其他DNS记录旁边的唯一密码签名,例如A记录和CNAME。然后,您的DNS解析器使用此签名来验证DNS响应,确保记录未被篡改。

虽然DNSSEC可以帮助防止DNS欺骗,但它有一些潜在的缺点,包括:

  • 缺乏数据机密性 - DNSSEC进行身份验证,但不对DNS响应进行编码。因此,肇事者仍然能够监听流量并使用这些数据进行更复杂的攻击。

  • 复杂的部署 --DNSSEC通常配置错误,这会导致服务器失去安全优势,甚至完全拒绝访问网站。

  • 区域枚举 - DNSSEC使用额外的资源记录来启用签名验证。一个这样的记录NSEC能够验证DNS区域是否存在。它也可以用来遍历DNS区域来收集所有现有的DNS记录 - 一个名为区域枚举的漏洞。较新版本的NSEC,称为NSEC3和NSEC5,发布主机名散列记录,从而加密它们并防止区域枚举。

版权声明

本文仅代表作者观点,不代表黑白网立场。
如文章侵犯了您的权利,请通过邮箱联系我们删除。
详情查看:版权纠纷
E-Mail:server@heibai.org

喜欢1发布评论

评论列表

发表评论

  • 昵称(必填)
  • 邮箱
  • 网址