什么是DNS缓存中毒DNS缓存中毒是一种网络攻击,它会诱使您的计算机认为它会转到正确的地址,而实际上它并没有。攻击者使用DNS缓存中毒来劫持互联网流量并窃取用户凭据或个人数据。也称为DNS欺骗,DNS缓存中毒攻击试图诱骗用户将他们的私人数据输入不安全的网站。什么是DNS缓存在讨论攻击之前,我们需要刷新一下对DNS和DNS缓存的理解。DNS是IP地址和域名的全球目录。DNS缓存是将这些地址存储在世界各地的DNS服务器中的系统。为了让您的DNS请求保持快速,最初的开发人员创建了一个分布式DNS系统。每个服务器都存储它知道的DNS记录列表——这称为缓存。如果离您最近的DNS服务器不知道您需要的IP地址,它会询问其他DNS服务器,直到找到您要访问的网站的IP地址。然后您的DNS服务器将该新条目保存到缓存中。DNS缓存投毒攻击的工作原理DNS缓存投毒的工作原理是诱骗DNS服务器保存虚假的DNS条目。来自虚假DNS条目的流量会进入选择窃取数据的攻击者的服务器。攻击者在DNS中植入虚假地址;服务器缓存假地址;流量被转移到攻击者的服务器。常见的技术手段如下:(1)BirthdayAttackDNS不验证对递归查询的响应,因此将第一个响应存储在缓存中。攻击者使用“生日攻击”来尝试预测并向请求者发送伪造的响应。BirthdayAttack使用数学和概率论进行猜测。在这种情况下,攻击者试图猜测您的DNS请求的事务ID,因此带有虚假DNS条目的虚假响应会先于真实响应到达您。BirthdayAttack不能保证一定会成功,但最终,攻击者会将伪造的响应偷偷放入缓存中。一旦攻击成功,攻击者将看到来自伪造DNS条目的流量,直到生存时间(TTL)到期。(2)Kaminsky漏洞Kaminsky漏洞利用是BlackHat2008提出的BirthdayAttack的变种。目标解析器。解析器然后将查询转发到权威名称服务器以获取错误子域的IP地址。此时,攻击者将大量伪造的响应注入解析器,希望其中一个伪造响应与原始查询的事务ID相匹配。如果攻击成功,则攻击者已使用伪造的IP地址dingxinsec.com.cn毒害了目标解析器的DNS缓存。任何人请求dingxinsec.com.cn都会得到一个假的IP地址,直到TTL。(3)窃听如果攻击者有足够的网络访问权限,他可以监听本地DNS流量,并使用各种技术手段破坏缓存。如何检测DNS缓存中毒那么,如何检测DNS缓存中毒攻击呢?监控DNS服务器以获取可能的攻击迹象,将数据安全分析应用于您的DNS监控以识别来自攻击的正常DNS行为。来自单一来源的有关单一域的DNS活动突然增加表明存在潜在的生日攻击。从单一来源查询DNS服务器以获取多个域名而不递归的DNS活动增加表明试图找到中毒条目。除了监控DNS之外,还监控ActiveDirectory事件和文件系统行为以发现异常活动。更好的是,使用分析来关联所有三个向量的活动,为您的网络安全策略添加有价值的上下文。如何预防除了监控和分析,您还可以对您的DNS服务器进行配置更改。限制递归查询以防止潜在的有针对性的中毒攻击仅存储与所请求域相关的数据限制响应仅提供关于所请求域的响应强制客户端使用HTTPS确保您使用的是最新版本的BIND和DNS软件,以便您有最新的安全补丁。最后,DNSSEC是一种新的DNS协议,它对DNS请求进行加密以防止伪造。该协议尚未被广泛采用,因为它确实会减慢DNS进程。DNSoverHTTPS(DoH)是下一版DNS的竞争规范,它可以像DNSSEC一样在不牺牲速度的情况下保护DNS请求。
