互联网上的每一台设备都会有一个IP地址。当我们访问网站或发送信息时,实际上是通过IP地址进行准确的请求。但是这个IP地址由一长串数字组成,比较难记,所以我们创建了一个更实用的域名来代替IP地址。如何将域名与IP地址相关联是域名系统(DNS)发挥作用的地方。它由各种名称服务器(即DNS服务器)组成,负责域名解析,帮助客户端建立连接,是网络中最重要的服务之一。名称服务器与客户端的通信存在一定的安全隐患,一些恶意的人可以通过多种方式篡改Internet上的名称解析。本文要讲的DNS欺骗就是通过一个虚假的IP地址发起欺骗攻击。什么是DNS欺骗?DNS欺骗是对DNS名称解析的篡改,其中一种特别常见的DNS欺骗是伪造域名的IP地址。这是因为DNS解析主要在内部系统进行,正确的域名显示在浏览器中,所以用户通常不会注意到它被篡改了。具体操作是恶意者让DNS请求返回一个假的IP地址。当客户端与假IP地址建立连接时,用户将被重定向到假服务器。一个简单的例子:下图是一个客户端在连接example.com网站过程中被骗的案例示意图:(图片来自网络,如有侵权请联系告知delete)d1:客户端首先向DNS服务器请求主机名example.com的IP地址。d2:客户端收到了对请求的响应,但是返回了一个假的IP地址。没有建立到example.com真实服务器的连接。h1:客户端将请求发送到假IP地址后面的恶意主机。h2:恶意主机返回一个看似合法的网站页面给客户端。但是,恶意主机上缺少域的安全证书。A、B、C:这些是DNS欺骗的不同攻击点:在客户端或本地路由器上、在网络连接上以及在DNS服务器上。DNS欺骗会带来哪些威胁?攻击者在网络钓鱼和欺骗攻击中使用DNS欺骗,目的是拦截Internet上的用户数据。因为DNS欺骗会影响客户端建立的每个连接。无论是访问网站还是发送邮件,如果相关服务器的IP地址被篡改,其目的就是让受害人相信自己终于访问到了一个合法的地址,利用受害人的信任来引诱受害人下载恶意软件并感染系统,从而窃取敏感用户数据。DNS欺骗会带来以下风险:窃取机密数据:网络钓鱼用于窃取密码等敏感数据。这些方法通常用于侵入计算机系统或进行各种诈骗。系统恶意软件感染:受害者被诱骗在他们的系统上安装恶意软件,为进一步的攻击打开大门。用户配置文件收集:在出售或用于其他有针对性的网络钓鱼攻击的过程中收集个人数据。可构成持久性威胁:在DNS欺骗的情况下,被篡改的DNS响应信息可能会长期保留在缓存中并被欺骗。2020年春季COVID-19疫情期间,国外发生DNS欺骗攻击。攻击者劫持路由器的DNS并将其更改为恶意IP地址。受害者的浏览器会自行打开并显示一条消息,提示他们下载据称来自世界卫生组织(WHO)的“COVID-19通知应用程序”。但实际上,该软件是木马软件。如果受害者安装木马,它会搜索本地系统并尝试访问敏感数据以用于对受害者的网络钓鱼攻击。△宣传虚假COVID-19信息应用的Msftconnecttest页面然而,DNS欺骗并不都是恶意攻击,一些互联网服务提供商(ISP)偶尔会使用DNS欺骗来审查或投放广告。例如,ISP可以故意操纵其DNS表以执行国家审查要求。这样做可以禁止用户访问违规网站,当用户访问被禁止的域名时,他们将被重定向到一个警告页面。DNS欺骗还可以帮助收集用户数据,或通过重定向投放广告。例如,当用户输入不存在或拼写错误的域名时,ISP会使用DNS欺骗将用户重定向到特定页面,该页面可能会播放广告或创建用户配置文件。如何避免DNS欺骗?DNS是一种影响信息安全的威胁,我们需要警惕DNS欺骗。我们可以通过加密措施有效防止DNS欺骗。加密方式一般有两个关键优势:保护数据不被第三方未经授权访问保证通信双方的真实性对于站长来说,可以使用加密方式,例如为网站的域名、电子邮件客户端启用HTTPS连接配置在客户端(如IMAP、POP3和SMTP)中使用安全协议TLS和SSL。这种类型的加密可以保护请求中的数据传输。如果攻击者试图冒充正常主机,客户端会提示证书错误,降低DNS欺骗的可能性。DNS服务器之间的连接还可以通过DNSCrypt、DNSoverHTTPS(DoH)和DNSoverTLS(DoT)等技术减轻危险的中间人攻击。不过需要注意的是,这三种方案的应用并不是很普遍,DNS服务器必须支持相应的安全技术才能使用这三种方式进行加密。以上是管理员可以做的加密方式,对于用户来说,我们可以使用公共DNS来避免DNS欺骗。设置非常简单,直接在系统的“网络设置”中更改DNS地址即可。公有DNS不仅可以应对DNS欺骗,还可以加快解析响应速度。同时,大型公共DNS通常采用DNSSEC(DNS安全扩展)、DoH、DoT和DNSCrypt等先进的安全技术。常见的公共DNS为114DNS的114.114.114.114,纯净无劫持;Google的8.8.8.8和Quad9的9.9.9.9都支持DNSSEC。以上就是DNS欺骗的全部内容。阅读本文后,希望能对您更好地保护您的信息安全有所帮助。推荐阅读DNS系列(一):为什么更新的DNS记录不生效?DNS系列(二):你了解DNS记录和工作方式吗?
