日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
什么是DNS污染及該如何預防

創(chuàng)新互聯(lián)專注為客戶提供全方位的互聯(lián)網(wǎng)綜合服務,包含不限于成都做網(wǎng)站、網(wǎng)站建設(shè)、外貿(mào)營銷網(wǎng)站建設(shè)、泉港網(wǎng)絡(luò)推廣、微信小程序定制開發(fā)、泉港網(wǎng)絡(luò)營銷、泉港企業(yè)策劃、泉港品牌公關(guān)、搜索引擎seo、人物專訪、企業(yè)宣傳片、企業(yè)代運營等,從售前售中售后,我們都將竭誠為您服務,您的肯定,是我們最大的嘉獎;創(chuàng)新互聯(lián)為所有大學生創(chuàng)業(yè)者提供泉港建站搭建服務,24小時服務熱線:13518219792,官方網(wǎng)址:www.cdcxhl.com

如果說好萊塢電影教會我們一件事的話,那就是黑客很聰明,他們有各種各樣的伎倆來繞過我們的安全。在現(xiàn)實世界中,安全問題往往歸結(jié)為機會,而不是發(fā)展技能。“DNS中毒”攻擊符合這一描述,事實上,您需要具備防止域被欺騙的技能。

這個概念很簡單:訪問者看到的是你的網(wǎng)站,但它是欺詐和有害的,而這個假網(wǎng)站看起來很相似。因此,您需要采用多種技術(shù)來確保用戶的安全,并且您的站點不會受到攻擊。

在這篇文章中,我們將深入探討DNS污染(英文DNS Poisoning),又或者稱作DNS中毒和域欺騙的概念。我們還將討論一些相關(guān)概念,以幫助您理解為什么您的最終響應是最佳方法。

域名系統(tǒng)(DNS)入門

在我們進入DNS污染的細節(jié)之前,讓我們先談談域名系統(tǒng)。雖然瀏覽一個網(wǎng)站似乎是一項簡單的任務,但在服務器的引擎蓋下有很多事情在進行。

從“A”到“B”涉及很多因素:

  • IP地址。這是一個數(shù)字串,是你的實際網(wǎng)址。把它們當作你房子的坐標。例如,127.0.0.1:8080是標準的“本地主機”地址(即您的計算機)。
  • 域名。如果IP地址代表坐標,則域名就是信封上顯示的地址。當然,“wbolt.com”就是其中的一個例子。
  • DNS請求。這是一個高級前端任務和復雜的低級流程的極好例子?,F(xiàn)在,考慮一個請求是瀏覽器請求一個專用服務器地址是一組坐標。
  • DNS服務器。這與您網(wǎng)站的服務器不同,它是四臺服務器合一的。它的工作是處理DNS請求。我們將在后面的章節(jié)中更詳細地討論這一點。
  • 遞歸服務器。您還將看到這些名為“解析名稱服務器”的服務器。它是DNS查找過程的一部分,負責在服務器上查詢與IP地址相關(guān)的域名。

總的來說,DNS使最終用戶獲取域名變得簡單。它是Web的核心部分,因此,它有許多活動部分。

接下來我們將介紹查找過程本身,盡管您已經(jīng)看到DNS如何完成一項重要任務。

DNS查找的過程

請容忍我們,我們提供的是一個抽象的類比。

把人們帶到偏遠地區(qū)的活動,如登山或航海,都有一個共同的危險:迷路和不能及時找到。定位被困人員的傳統(tǒng)方法是使用坐標。它們是明確的,并提供精確的準確性。

然而,這個過程也有缺點。首先,你需要知道如何計算你在任何地點的坐標——如果你在世界的偏遠地區(qū),那就很棘手了。第二,你必須向救援隊清楚說明這些坐標。一個錯誤的數(shù)字和后果是可怕的。

what3words應用程序需要計算和傳遞坐標的復雜過程,并將其轉(zhuǎn)換為一個三個單詞的大致位置摘要。例如,以Automatic的總部為例:

Apple地圖中的自動化辦公室

該位置的坐標為37.744159, -122.421555。不過,除非你是一名專業(yè)的航海家,否則你不太可能知道這一點。即使你這樣做了,把它交給能幫助你的人也是一個渺茫的提議。

簡言之,What3單詞需要一組抽象的坐標,并將它們翻譯成三個值得記憶的單詞。就Automatic的辦公室而言,就是decent.transfers.sleeps

what3words網(wǎng)站,展示Automatic的辦公室

這使得幾乎所有能夠訪問該應用程序的人都能掌握復雜的全球定位。它已經(jīng)拯救了很多平民的生命。

這與DNS查找相關(guān)聯(lián),因為過程類似。在what3words的情況下,救援者向應用程序詢問字串的坐標。請求通過服務器發(fā)送,以查找坐標,并在找到坐標后返回給最終用戶。

DNS查找具有類似的流程:

  • 您的瀏覽器請求域名的IP地址。
  • 您的操作系統(tǒng)(OS)要求遞歸服務器查找域名,并開始運行其服務器集合。
  • 當它找到域名時,它將返回到瀏覽器。

what3words的缺點之一是一個單詞字符串不如一組坐標精確。這意味著您可以快速確定一個大致位置,但可能需要花費更長的時間才能找到被困人員。

DNS查找也有缺點,惡意攻擊者可以利用這些缺點進行攻擊。不過,在我們看這個之前,讓我們先簡單地繞道討論一下緩存,以及它如何加快查找速度。

DNS緩存

與Web緩存非常相似,DNS緩存可以幫助您向服務器調(diào)用常規(guī)查詢。這將使每次新訪問獲取IP地址的過程更快。

簡而言之,緩存位于DNS服務器系統(tǒng)內(nèi),并減少了到遞歸服務器的額外行程。這意味著瀏覽器可以直接從DNS服務器獲取IP地址,并更快地完成GET請求。

您將在整個系統(tǒng)中找到DNS緩存。例如,您的計算機將具有DNS緩存,路由器和internet服務提供商(ISP)也將具有DNS緩存。你通常不會意識到你的瀏覽體驗有多依賴DNS緩存,直到你成為DNS中毒的受害者。

什么是DNS污染

現(xiàn)在,您已經(jīng)了解了DNS查找的概念和獲取IP地址的整個過程,我們可以了解如何利用它。

你經(jīng)常會看到DNS污染(DNS Poisoning)也被稱為“欺騙”或者“中毒”,因為鏈中有一個欺詐性的“相似”網(wǎng)站是攻擊的一部分。

我們將更詳細地討論所有這些方面,但要知道DNS中毒或欺騙是一種有害的攻擊,可能會給用戶和互聯(lián)網(wǎng)帶來精神、金錢和資源方面的問題。

首先,讓我們進入緩存中毒的過程。

DNS污染的工作原理

鑒于整個污染過程非常復雜,攻擊者創(chuàng)造了許多不同的方法來實現(xiàn)其目標:

  • 機器在中間。這是攻擊者在瀏覽器和DNS服務器之間進行攻擊、毒害兩者并將用戶重定向到其自己服務器上的欺詐站點的地方。
  • 服務器劫持。如果攻擊者進入DNS服務器,他們可以重新配置該服務器,將所有請求發(fā)送到自己的站點。
  • 通過垃圾郵件中毒。與服務器劫持不同,這種方法會毒害客戶端(即瀏覽器)。訪問權(quán)限通常通過垃圾郵件鏈接、電子郵件和欺詐性廣告授予。
  • “Birthday attacks.”。這是一種復雜的加密攻擊,需要進一步解釋。

Birthday attacks基于“生日問題”。這是一個概率場景,即(簡而言之)如果一個房間里有23個人,兩個人共享同一個生日的概率為50%。如果房間里有更多的人,機會就會增加。

顯示生日問題的圖表(圖片來源:維基百科)

這將轉(zhuǎn)換為基于將DNS查找請求連接到GET響應的標識符的DNS中毒。如果攻擊者發(fā)送一定數(shù)量的隨機請求和響應,則很有可能匹配導致中毒嘗試成功。從大約450個請求中,概率約為75%,在700個請求中,攻擊者幾乎可以保證破解服務器。

簡而言之,在大多數(shù)情況下都會發(fā)生對DNS服務器的攻擊,因為這使惡意用戶能夠更靈活地操縱您的站點和用戶數(shù)據(jù)。DNS數(shù)據(jù)也沒有驗證,因為請求和響應不使用傳輸控制協(xié)議(TCP)。

鏈中的弱點是DNS緩存,因為它充當DNS條目的存儲庫。如果攻擊者可以將偽造條目注入緩存,則訪問該緩存的每個用戶都會發(fā)現(xiàn)自己處于欺詐站點,直到緩存過期。

攻擊者通常會尋找一些信號、弱點和數(shù)據(jù)點來攻擊目標。它們用于發(fā)現(xiàn)尚未緩存的DNS查詢,因為遞歸服務器必須在某個時候執(zhí)行查詢。通過擴展,攻擊者還將查找查詢將轉(zhuǎn)到的名稱服務器。一旦他們有了這個,解析程序使用的端口和請求ID號是至關(guān)重要的。

雖然滿足所有這些要求并不是必需的——畢竟,攻擊者可以通過多種方法訪問服務器——但勾選這些框可以使他們的工作更輕松。

DNS污染的真實世界示例

在過去的幾年里,DNS中毒已經(jīng)有了一些引人注目的例子。在某些情況下,這是一種故意的行為。例如,一些國家或者地區(qū)大規(guī)模運行防火墻,以控制互聯(lián)網(wǎng)用戶接收的信息。

簡言之,他們通過將訪問者重定向到Twitter和Facebook等未經(jīng)批準的網(wǎng)站,污染自己的服務器。

瑞典ISP從這些國家或者地區(qū)服務器提供根DNS信息時出現(xiàn)網(wǎng)絡(luò)錯誤。這意味著智利和美國的用戶在訪問某些社交媒體網(wǎng)站時會被重定向到其他地方。

在另一個例子中,抗議馬來西亞虐待的孟加拉國黑客毒害了許多與微軟、谷歌、YouTube和其他知名網(wǎng)站相關(guān)的域名。這似乎是服務器劫持事件,而不是客戶端問題或垃圾郵件。

即使是維基解密也不能免疫DNS中毒攻擊。幾年前,一次潛在的服務器劫持導致該網(wǎng)站的訪問者被重定向到一個專門針對黑客的頁面。

DNS污染不一定是一個復雜的過程。所謂的“道德黑客”——即那些希望暴露安全缺陷而不是造成損害的人——有在自己的計算機上測試欺騙的簡單方法。

不過,除了被重定向之外,DNS中毒表面上似乎沒有任何長期影響。事實上,有——我們將在下一步討論它們。

為什么DNS污染有害

攻擊者希望在服務器上執(zhí)行DNS中毒有三個主要目標:

  • 傳播惡意軟件。
  • 將你轉(zhuǎn)到另一個網(wǎng)站,這將在某種程度上使他們受益。
  • 從您或其他實體竊取信息。

當然,要理解為什么DNS中毒或欺騙對ISP、服務器運營商和最終用戶來說是一個問題并沒有超出想象。

正如我們所指出的,欺騙對ISP來說是一個巨大的問題,以至于有像CAIDA Spoofer這樣的工具可以提供幫助。

CAIDA網(wǎng)站

幾年前,統(tǒng)計數(shù)字顯示每天大約有30000起襲擊。自報告發(fā)表以來,這一數(shù)字幾乎肯定會增加。更重要的是,正如前一節(jié)中的示例一樣,通過網(wǎng)絡(luò)交付偽造的站點會帶來用戶信任問題以及隱私問題。

無論你是誰,當你成為中毒和欺騙的受害者時,都有一些風險:

  • 就像某些國家防火墻一樣,你可能會受到審查。這意味著你得到的信息將不準確,這會對許多社會和政治領(lǐng)域產(chǎn)生連鎖反應。
  • 數(shù)據(jù)盜竊是人們最關(guān)心的問題,對于那些想要獲取用戶銀行信息和其他敏感數(shù)據(jù)的人來說,這是一項有利可圖的冒險。
  • 您可能容易感染系統(tǒng)上的惡意軟件和其他特洛伊木馬病毒。例如,攻擊者可以通過偽造的站點在您的系統(tǒng)上注入鍵盤記錄器或其他形式的間諜軟件。

DNS污染還有其他相關(guān)影響。例如,在恢復過程全面展開時,您可能無法對系統(tǒng)應用任何安全更新。這會使您的計算機更長時間處于易受攻擊狀態(tài)。

此外,考慮這個清理過程的成本和復雜性,因為它會影響到每個人在鏈條上。所有聯(lián)網(wǎng)服務的更高價格只是負面因素之一。

消除DNS污染的努力是巨大的。鑒于欺騙同時影響客戶端和服務器端設(shè)置,將其從一個設(shè)置中刪除并不意味著它從所有設(shè)置中消失。

如何預防DNS污染

有兩個區(qū)域受到DNS污染的影響-客戶端和服務器端。我們將看看你能做些什么來防止這種對硬幣兩面的破壞性攻擊。

讓我們從互聯(lián)網(wǎng)作為一個整體在服務器端做什么開始。

互聯(lián)網(wǎng)如何防止DNS污染和服務器端欺騙

盡管在本文中我們已經(jīng)討論了很多關(guān)于DNS的內(nèi)容,但我們還沒有注意到這項技術(shù)有多么過時。簡而言之,由于一些因素,DNS并不是最適合現(xiàn)代網(wǎng)絡(luò)瀏覽體驗的。首先,它是未加密的,并且沒有一些重要的驗證考慮,這將阻止許多DNS中毒攻擊的繼續(xù)。

防止攻擊變得更強的一種快速方法是通過簡單的日志策略。這將在請求和響應之間進行簡單的比較,以查看它們是否匹配。

然而,長期的答案(根據(jù)專家的說法)是使用域名系統(tǒng)安全擴展(DNSSEC)。這是一項旨在對抗DNS中毒的技術(shù),簡單來說,它提供了不同級別的驗證。

更深入地說,DNSSEC使用“公鑰加密”作為驗證。這是一種將數(shù)據(jù)視為真實可信的方式。它與您的其他DNS信息一起存儲,遞歸服務器使用它來檢查它接收到的信息是否未被更改。

與其他互聯(lián)網(wǎng)協(xié)議和技術(shù)相比,DNSSEC是一個相對的嬰兒,但它已經(jīng)足夠成熟,可以在互聯(lián)網(wǎng)的根級別實現(xiàn),盡管它還不是主流。谷歌的公共DNS是一項完全支持DNSSEC的服務,而且隨時都會有更多的服務出現(xiàn)。

即便如此,DNSSEC仍存在一些值得注意的缺點:

  • 該協(xié)議不編碼響應。這意味著攻擊者仍然可以“監(jiān)聽”流量,盡管要繞過DNSSEC,攻擊必須更加復雜。
  • 由于DNSSEC使用額外的記錄來收集DNS數(shù)據(jù),因此存在另一個稱為“區(qū)域枚舉”的漏洞。該漏洞使用一條記錄來“遍歷”并收集特定“區(qū)域”內(nèi)的所有DNS記錄。此記錄的某些版本會加密數(shù)據(jù),但其他版本尚未加密。
  • DNSSEC是一個復雜的協(xié)議,因為它也是新的,所以有時可能會配置錯誤。當然,這會削弱使用它的好處,并帶來進一步的問題。

即便如此,DNSSEC至少在服務器端是未來的趨勢。作為最終用戶,您還可以采取一些預防措施。

如何防止客戶端的DNS污染

有更多的方法可以在客戶端防止DNS中毒,盡管沒有一種方法能夠像專家實現(xiàn)的服務器端DNSSEC那樣強大。不過,作為網(wǎng)站所有者,您可以勾選一些簡單的框:

  • 對任何請求和回復使用端到端加密。安全套接字層(SSL)證書在這里做得很好。
  • 使用欺騙檢測工具,如Xarp。這些掃描程序在發(fā)送數(shù)據(jù)包之前掃描接收到的數(shù)據(jù)包。這可以減輕任何惡意數(shù)據(jù)傳輸。
  • 增加DNS緩存的生存時間(TTL)值將有助于在惡意條目到達最終用戶之前清除它們。
  • 您應該有一個好的DNS、DHCP和IPAM(DDI)策略。這包括DNS策略、動態(tài)主機配置協(xié)議和IP地址管理。這是一個由系統(tǒng)管理員和服務器安全專家處理的復雜但必要的過程。

作為最終用戶,您還可以做一些事情來幫助防止中毒和欺騙:

  • 使用虛擬專用網(wǎng)絡(luò)(VPN),因為您的數(shù)據(jù)將被端到端加密。您還可以使用私有DNS服務器,同樣使用端到端加密。
  • 采取簡單的預防措施,例如不要單擊無法識別的鏈接并定期進行安全掃描。
  • 定期刷新DNS緩存也會清除系統(tǒng)中的惡意數(shù)據(jù)。這需要幾秒鐘,而且很容易實現(xiàn)。

雖然不能完全消除DNS污染,但可以防止最壞的情況發(fā)生。作為最終用戶,您無法控制服務器如何處理攻擊。同樣,系統(tǒng)管理員無法控制瀏覽器中發(fā)生的事情。因此,團隊努力阻止這種最有害的攻擊影響整個鏈。

小結(jié)

互聯(lián)網(wǎng)攻擊是司空見慣的。DNS污染(中毒或欺騙)是一種常見的攻擊,如果不加以制止,可能會影響數(shù)百萬用戶。這是因為DNS協(xié)議很舊,不適合現(xiàn)代網(wǎng)絡(luò)瀏覽——盡管新技術(shù)即將問世。

簡而言之,DNS污染將最終用戶重定向到現(xiàn)有網(wǎng)站的欺詐版本。這是一種竊取數(shù)據(jù)并用惡意軟件感染系統(tǒng)的方法。沒有萬無一失的方法可以完全防止它,但是你可以通過一些簡單的措施來控制它。

您是否曾經(jīng)是DNS污染的受害者,如果是,原因是什么?請在下面的評論部分與我們分享您的經(jīng)驗!


分享文章:什么是DNS污染及該如何預防
URL分享:http://m.5511xx.com/article/djeggdi.html