DNS是收集毗连中的重要一环,它与路由系统配合构成互联网上的觅址系统,假设DNS遭遇毛病,“导航系统”失效,收集毗连就会呈现无法触达或抵达错误地址的情状。因为的DNS重要感化及生成懦弱性,招致DNS自降生之日起,就成为收集进攻的重点目标,此中DNS劫持是最常见危害更大的进攻体例。接下来,本文针对DNS劫持原理和应对体例做下简单介绍。
什么是DNS劫持?
DNS劫持就是通过各类手艺手段获得域名的解析掌握权,进而修改域名的解析笔录,将域名指向的办事器IP修改为受掌握的IP地址,从而将用户引导至虚假网站,实现窃取用户信息,毁坏一般办事的目标。
DNS劫持的危害
DNS劫持的危害是双向多面的。关于用户而言,它通过将用户引导至与原网站非常类似的网站,并诱导用户输进账号、密码、身份证等灵敏信息,从而形成小我信息泄露、财富缺失等风险。关于企业机构而言,它会让企业机构失往对域名的掌握权,招致站点不克不及拜候,一般流量流失,营业无法一般运行,进而对企业形象和经济利益形成影响。
DNS劫持示企图
DNS劫持案例
(1)2009年巴西更大银行Bandesco巴西银行遭遇DNS劫持,1%的用户被垂钓。受影响的用户被重定向到另一个虚假银行网站,该网站试图窃取用户密码并安拆歹意软件。
(2)2010年1月12日,发作闻名的“百度域名被劫持”事务,良多网民发现百度首页无法登录的反常情状。而根据百度域名的whois查询成果发现,该网站域名被劫持到雅虎下面的两个域名办事器,另有部门网民发现网站页面被窜改成黑色布景和伊朗国旗,对百度的平安形象和营业运行形成十分恶劣的影响。
(3)2012年,日本三井住友银行、三菱东京日联银行和日本邮储银行供给的网上银行办事都被垂钓网站劫持,呈现试图获取用户信息的虚假页面,当用户登录官网网站后,会弹出要求用户输进账号密码的页面,页面上还展现银行的标记,假设不认真辨认,很难分清实假。
(4)2013年5月,发作史上更大规模的DNS垂钓进攻事务,形成800用户被传染。
(5)2014年1月21日,全国呈现大范畴DNS毛病,中国顶级域名根办事器发作毛病,形成大部门网站受影响。
展开全文
从上面那些案例中能够看出DNS劫持是一种范畴涉及大、影响深远的收集进攻手段,不单对用户的信息财富平安形成严峻的威胁,也会对企业的品牌形象、线上流量以及营业开展产生浩荡缺失,因而领会DNS劫持原理并针对性地做好应计谋略至关重要。
DNS劫持原理
介绍DNS劫持原理,需要起首领会典型的DNS解析流程。当客户端倡议域名恳求时,当地递回办事器(大大都情状下为运营商DNS)或公共DNS会通过向根域名办事器、顶级域名办事器到权势巨子域名办事器一级一级查询,并将最末查询成果返回给客户端。
除了那种典型解析流程外,因为DNS缓存的存在,当客户端倡议恳求时,阅读器缓存、hosts文件、当地递回办事器DNS缓存会先将当地贮存的解析笔录间接告知客户端,从而省往全球递回查询的步调。
从上面DNS解析流程中能够看出,一次完全的DNS查询具备以下两个特征:
链路长,查询过程包罗屡次、多级收集通信;
参与角色多,查询过程涉及客户端(阅读器缓存、hosts文件)、递回解析办事器、权势巨子解析办事器等角色。
在一次完全DNS查询链路的各个环节,都能够通过手艺手段将域名解析笔录停止窜改,将域名指向劫持到错误的IP地址上。下面会一一介绍各类型的DNS劫持。
DNS解析流程图
DNS劫持类型
1.当地DNS劫持
当地DNS劫持是指发作在客户端侧的各类DNS劫持,包罗:
(1)通过木马或者歹意法式进侵客户端,窜改DNS缓存、hosts文件、DNS办事器地址等DNS相关设置装备摆设;
(2)操纵路由器破绽进侵路由器,并针对路由器中的DNS缓存停止窜改。
2.DNS解析途径劫持
DNS解析途径劫持是指发作在客户端和DNS办事器收集通信间的DNS劫持体例。通过对DNS劫持报文在查询阶段的途径停止划分,又可将DNS劫持分为四类:
(1)DNS恳求转发
通过中间盒子、软件等手艺手段将用户发出的DNS恳求重定向到由进攻者掌握的地痞DNS办事器,从而将其重定向到歹意站点。
(2)DNS恳求复造
将DNS查询复造到收集设备,并在用户倡议恳求时先于一般应答返回DNS劫持的成果,那种体例表示为一个DNS查询挠包返回两个差别的应答。
(3)DNS恳求代答
通过操纵收集设备或软件取代DNS办事器对DNS查询停止应答。
(4)DNS缓存传染
DNS缓存传染是指进攻者在递回解析办事器投进错误的缓存信息,当拜候者倡议解析恳求时,递回办事器就会从DNS缓存中将错误的解析笔录返回,从而将用户引导至错误的网站。
DNS缓存污染原理图
3.窜改DNS权势巨子笔录
窜改DNS权势巨子笔录是指进攻者不法进侵DNS权势巨子笔录治理平台账号,掌握DNS解析设置权限,间接修改DNS解析笔录的行为。通过那种体例能够将权势巨子办事器下特定域名的解析指向歹意办事器以实现DNS劫持的目标。
DNS劫持应对计划
(1)安拆杀毒软件,能够有效防备木马病毒和歹意软件,并按期修改路由器治理账号密码和更新固件;
(2)企业端能够设置更小的TTL值,实现DNS缓存的短时间更新,用户端能够按期刷新DNS缓存,从而让用户倡议恳求时尽可能往恳求权势巨子办事器,降低DNS缓存被污染的可能;
(3)加强域名账户的平安品级,利用强度较高的密码,并按期改换密码;
(4)按期查看域名账户信息、域名whois信息以及域名解析生效形态,发现反常及时联络域名办事商;
(5)抉择平安手艺实力过硬的域名注册商,而且给本身的域名权势巨子数据上锁,避免域名权势巨子数据被窜改。
(6)在客户端和递回DNS办事器通信的最初阶段中利用DNS加密手艺,如DNS-over-TLS,DNS-over-等。