創(chuàng)新互聯(lián)專注為客戶提供全方位的互聯(lián)網(wǎng)綜合服務(wù)，包含不限于成都做網(wǎng)站、網(wǎng)站建設(shè)、外貿(mào)營(yíng)銷網(wǎng)站建設(shè)、泉港網(wǎng)絡(luò)推廣、微信小程序定制開(kāi)發(fā)、泉港網(wǎng)絡(luò)營(yíng)銷、泉港企業(yè)策劃、泉港品牌公關(guān)、搜索引擎seo、人物專訪、企業(yè)宣傳片、企業(yè)代運(yùn)營(yíng)等，從售前售中售后，我們都將竭誠(chéng)為您服務(wù)，您的肯定，是我們最大的嘉獎(jiǎng)；創(chuàng)新互聯(lián)為所有大學(xué)生創(chuàng)業(yè)者提供泉港建站搭建服務(wù)，24小時(shí)服務(wù)熱線：13518219792，官方網(wǎng)址：www.cdcxhl.com

如果說(shuō)好萊塢電影教會(huì)我們一件事的話，那就是黑客很聰明，他們有各種各樣的伎倆來(lái)繞過(guò)我們的安全。在現(xiàn)實(shí)世界中，安全問(wèn)題往往歸結(jié)為機(jī)會(huì)，而不是發(fā)展技能?！癉NS中毒”攻擊符合這一描述，事實(shí)上，您需要具備防止域被欺騙的技能。

這個(gè)概念很簡(jiǎn)單：訪問(wèn)者看到的是你的網(wǎng)站，但它是欺詐和有害的，而這個(gè)假網(wǎng)站看起來(lái)很相似。因此，您需要采用多種技術(shù)來(lái)確保用戶的安全，并且您的站點(diǎn)不會(huì)受到攻擊。

在這篇文章中，我們將深入探討DNS污染（英文DNS Poisoning），又或者稱作DNS中毒和域欺騙的概念。我們還將討論一些相關(guān)概念，以幫助您理解為什么您的最終響應(yīng)是最佳方法。

域名系統(tǒng)（DNS）入門

在我們進(jìn)入DNS污染的細(xì)節(jié)之前，讓我們先談?wù)動(dòng)蛎到y(tǒng)。雖然瀏覽一個(gè)網(wǎng)站似乎是一項(xiàng)簡(jiǎn)單的任務(wù)，但在服務(wù)器的引擎蓋下有很多事情在進(jìn)行。

從“A”到“B”涉及很多因素：

• IP地址。這是一個(gè)數(shù)字串，是你的實(shí)際網(wǎng)址。把它們當(dāng)作你房子的坐標(biāo)。例如，127.0.0.1:8080是標(biāo)準(zhǔn)的“本地主機(jī)”地址（即您的計(jì)算機(jī)）。
• 域名。如果IP地址代表坐標(biāo)，則域名就是信封上顯示的地址。當(dāng)然，“wbolt.com”就是其中的一個(gè)例子。
• DNS請(qǐng)求。這是一個(gè)高級(jí)前端任務(wù)和復(fù)雜的低級(jí)流程的極好例子?，F(xiàn)在，考慮一個(gè)請(qǐng)求是瀏覽器請(qǐng)求一個(gè)專用服務(wù)器地址是一組坐標(biāo)。
• DNS服務(wù)器。這與您網(wǎng)站的服務(wù)器不同，它是四臺(tái)服務(wù)器合一的。它的工作是處理DNS請(qǐng)求。我們將在后面的章節(jié)中更詳細(xì)地討論這一點(diǎn)。
• 遞歸服務(wù)器。您還將看到這些名為“解析名稱服務(wù)器”的服務(wù)器。它是DNS查找過(guò)程的一部分，負(fù)責(zé)在服務(wù)器上查詢與IP地址相關(guān)的域名。

總的來(lái)說(shuō)，DNS使最終用戶獲取域名變得簡(jiǎn)單。它是Web的核心部分，因此，它有許多活動(dòng)部分。

接下來(lái)我們將介紹查找過(guò)程本身，盡管您已經(jīng)看到DNS如何完成一項(xiàng)重要任務(wù)。

DNS查找的過(guò)程

請(qǐng)容忍我們，我們提供的是一個(gè)抽象的類比。

把人們帶到偏遠(yuǎn)地區(qū)的活動(dòng)，如登山或航海，都有一個(gè)共同的危險(xiǎn)：迷路和不能及時(shí)找到。定位被困人員的傳統(tǒng)方法是使用坐標(biāo)。它們是明確的，并提供精確的準(zhǔn)確性。

然而，這個(gè)過(guò)程也有缺點(diǎn)。首先，你需要知道如何計(jì)算你在任何地點(diǎn)的坐標(biāo)——如果你在世界的偏遠(yuǎn)地區(qū)，那就很棘手了。第二，你必須向救援隊(duì)清楚說(shuō)明這些坐標(biāo)。一個(gè)錯(cuò)誤的數(shù)字和后果是可怕的。

what3words應(yīng)用程序需要計(jì)算和傳遞坐標(biāo)的復(fù)雜過(guò)程，并將其轉(zhuǎn)換為一個(gè)三個(gè)單詞的大致位置摘要。例如，以Automatic的總部為例：

Apple地圖中的自動(dòng)化辦公室

該位置的坐標(biāo)為37.744159, -122.421555。不過(guò)，除非你是一名專業(yè)的航海家，否則你不太可能知道這一點(diǎn)。即使你這樣做了，把它交給能幫助你的人也是一個(gè)渺茫的提議。

簡(jiǎn)言之，What3單詞需要一組抽象的坐標(biāo)，并將它們翻譯成三個(gè)值得記憶的單詞。就Automatic的辦公室而言，就是decent.transfers.sleeps：

what3words網(wǎng)站，展示Automatic的辦公室

這使得幾乎所有能夠訪問(wèn)該應(yīng)用程序的人都能掌握復(fù)雜的全球定位。它已經(jīng)拯救了很多平民的生命。

這與DNS查找相關(guān)聯(lián)，因?yàn)檫^(guò)程類似。在what3words的情況下，救援者向應(yīng)用程序詢問(wèn)字串的坐標(biāo)。請(qǐng)求通過(guò)服務(wù)器發(fā)送，以查找坐標(biāo)，并在找到坐標(biāo)后返回給最終用戶。

DNS查找具有類似的流程：

• 您的瀏覽器請(qǐng)求域名的IP地址。
• 您的操作系統(tǒng)（OS）要求遞歸服務(wù)器查找域名，并開(kāi)始運(yùn)行其服務(wù)器集合。
• 當(dāng)它找到域名時(shí)，它將返回到瀏覽器。

what3words的缺點(diǎn)之一是一個(gè)單詞字符串不如一組坐標(biāo)精確。這意味著您可以快速確定一個(gè)大致位置，但可能需要花費(fèi)更長(zhǎng)的時(shí)間才能找到被困人員。

DNS查找也有缺點(diǎn)，惡意攻擊者可以利用這些缺點(diǎn)進(jìn)行攻擊。不過(guò)，在我們看這個(gè)之前，讓我們先簡(jiǎn)單地繞道討論一下緩存，以及它如何加快查找速度。

DNS緩存

與Web緩存非常相似，DNS緩存可以幫助您向服務(wù)器調(diào)用常規(guī)查詢。這將使每次新訪問(wèn)獲取IP地址的過(guò)程更快。

簡(jiǎn)而言之，緩存位于DNS服務(wù)器系統(tǒng)內(nèi)，并減少了到遞歸服務(wù)器的額外行程。這意味著瀏覽器可以直接從DNS服務(wù)器獲取IP地址，并更快地完成GET請(qǐng)求。

您將在整個(gè)系統(tǒng)中找到DNS緩存。例如，您的計(jì)算機(jī)將具有DNS緩存，路由器和internet服務(wù)提供商（ISP）也將具有DNS緩存。你通常不會(huì)意識(shí)到你的瀏覽體驗(yàn)有多依賴DNS緩存，直到你成為DNS中毒的受害者。

什么是DNS污染

現(xiàn)在，您已經(jīng)了解了DNS查找的概念和獲取IP地址的整個(gè)過(guò)程，我們可以了解如何利用它。

你經(jīng)常會(huì)看到DNS污染（DNS Poisoning）也被稱為“欺騙”或者“中毒”，因?yàn)殒溨杏幸粋€(gè)欺詐性的“相似”網(wǎng)站是攻擊的一部分。

我們將更詳細(xì)地討論所有這些方面，但要知道DNS中毒或欺騙是一種有害的攻擊，可能會(huì)給用戶和互聯(lián)網(wǎng)帶來(lái)精神、金錢和資源方面的問(wèn)題。

首先，讓我們進(jìn)入緩存中毒的過(guò)程。

DNS污染的工作原理

鑒于整個(gè)污染過(guò)程非常復(fù)雜，攻擊者創(chuàng)造了許多不同的方法來(lái)實(shí)現(xiàn)其目標(biāo)：

• 機(jī)器在中間。這是攻擊者在瀏覽器和DNS服務(wù)器之間進(jìn)行攻擊、毒害兩者并將用戶重定向到其自己服務(wù)器上的欺詐站點(diǎn)的地方。
• 服務(wù)器劫持。如果攻擊者進(jìn)入DNS服務(wù)器，他們可以重新配置該服務(wù)器，將所有請(qǐng)求發(fā)送到自己的站點(diǎn)。
• 通過(guò)垃圾郵件中毒。與服務(wù)器劫持不同，這種方法會(huì)毒害客戶端（即瀏覽器）。訪問(wèn)權(quán)限通常通過(guò)垃圾郵件鏈接、電子郵件和欺詐性廣告授予。
• “Birthday attacks.”。這是一種復(fù)雜的加密攻擊，需要進(jìn)一步解釋。

Birthday attacks基于“生日問(wèn)題”。這是一個(gè)概率場(chǎng)景，即（簡(jiǎn)而言之）如果一個(gè)房間里有23個(gè)人，兩個(gè)人共享同一個(gè)生日的概率為50%。如果房間里有更多的人，機(jī)會(huì)就會(huì)增加。

顯示生日問(wèn)題的圖表（圖片來(lái)源：維基百科）

這將轉(zhuǎn)換為基于將DNS查找請(qǐng)求連接到GET響應(yīng)的標(biāo)識(shí)符的DNS中毒。如果攻擊者發(fā)送一定數(shù)量的隨機(jī)請(qǐng)求和響應(yīng)，則很有可能匹配導(dǎo)致中毒嘗試成功。從大約450個(gè)請(qǐng)求中，概率約為75%，在700個(gè)請(qǐng)求中，攻擊者幾乎可以保證破解服務(wù)器。

簡(jiǎn)而言之，在大多數(shù)情況下都會(huì)發(fā)生對(duì)DNS服務(wù)器的攻擊，因?yàn)檫@使惡意用戶能夠更靈活地操縱您的站點(diǎn)和用戶數(shù)據(jù)。DNS數(shù)據(jù)也沒(méi)有驗(yàn)證，因?yàn)檎?qǐng)求和響應(yīng)不使用傳輸控制協(xié)議（TCP）。

鏈中的弱點(diǎn)是DNS緩存，因?yàn)樗洚?dāng)DNS條目的存儲(chǔ)庫(kù)。如果攻擊者可以將偽造條目注入緩存，則訪問(wèn)該緩存的每個(gè)用戶都會(huì)發(fā)現(xiàn)自己處于欺詐站點(diǎn)，直到緩存過(guò)期。

攻擊者通常會(huì)尋找一些信號(hào)、弱點(diǎn)和數(shù)據(jù)點(diǎn)來(lái)攻擊目標(biāo)。它們用于發(fā)現(xiàn)尚未緩存的DNS查詢，因?yàn)檫f歸服務(wù)器必須在某個(gè)時(shí)候執(zhí)行查詢。通過(guò)擴(kuò)展，攻擊者還將查找查詢將轉(zhuǎn)到的名稱服務(wù)器。一旦他們有了這個(gè)，解析程序使用的端口和請(qǐng)求ID號(hào)是至關(guān)重要的。

雖然滿足所有這些要求并不是必需的——畢竟，攻擊者可以通過(guò)多種方法訪問(wèn)服務(wù)器——但勾選這些框可以使他們的工作更輕松。

DNS污染的真實(shí)世界示例

在過(guò)去的幾年里，DNS中毒已經(jīng)有了一些引人注目的例子。在某些情況下，這是一種故意的行為。例如，一些國(guó)家或者地區(qū)大規(guī)模運(yùn)行防火墻，以控制互聯(lián)網(wǎng)用戶接收的信息。

簡(jiǎn)言之，他們通過(guò)將訪問(wèn)者重定向到Twitter和Facebook等未經(jīng)批準(zhǔn)的網(wǎng)站，污染自己的服務(wù)器。

瑞典ISP從這些國(guó)家或者地區(qū)服務(wù)器提供根DNS信息時(shí)出現(xiàn)網(wǎng)絡(luò)錯(cuò)誤。這意味著智利和美國(guó)的用戶在訪問(wèn)某些社交媒體網(wǎng)站時(shí)會(huì)被重定向到其他地方。

在另一個(gè)例子中，抗議馬來(lái)西亞虐待的孟加拉國(guó)黑客毒害了許多與微軟、谷歌、YouTube和其他知名網(wǎng)站相關(guān)的域名。這似乎是服務(wù)器劫持事件，而不是客戶端問(wèn)題或垃圾郵件。

即使是維基解密也不能免疫DNS中毒攻擊。幾年前，一次潛在的服務(wù)器劫持導(dǎo)致該網(wǎng)站的訪問(wèn)者被重定向到一個(gè)專門針對(duì)黑客的頁(yè)面。

DNS污染不一定是一個(gè)復(fù)雜的過(guò)程。所謂的“道德黑客”——即那些希望暴露安全缺陷而不是造成損害的人——有在自己的計(jì)算機(jī)上測(cè)試欺騙的簡(jiǎn)單方法。

不過(guò)，除了被重定向之外，DNS中毒表面上似乎沒(méi)有任何長(zhǎng)期影響。事實(shí)上，有——我們將在下一步討論它們。

為什么DNS污染有害

攻擊者希望在服務(wù)器上執(zhí)行DNS中毒有三個(gè)主要目標(biāo)：

• 傳播惡意軟件。
• 將你轉(zhuǎn)到另一個(gè)網(wǎng)站，這將在某種程度上使他們受益。
• 從您或其他實(shí)體竊取信息。

當(dāng)然，要理解為什么DNS中毒或欺騙對(duì)ISP、服務(wù)器運(yùn)營(yíng)商和最終用戶來(lái)說(shuō)是一個(gè)問(wèn)題并沒(méi)有超出想象。

正如我們所指出的，欺騙對(duì)ISP來(lái)說(shuō)是一個(gè)巨大的問(wèn)題，以至于有像CAIDA Spoofer這樣的工具可以提供幫助。

CAIDA網(wǎng)站

幾年前，統(tǒng)計(jì)數(shù)字顯示每天大約有30000起襲擊。自報(bào)告發(fā)表以來(lái)，這一數(shù)字幾乎肯定會(huì)增加。更重要的是，正如前一節(jié)中的示例一樣，通過(guò)網(wǎng)絡(luò)交付偽造的站點(diǎn)會(huì)帶來(lái)用戶信任問(wèn)題以及隱私問(wèn)題。

無(wú)論你是誰(shuí)，當(dāng)你成為中毒和欺騙的受害者時(shí)，都有一些風(fēng)險(xiǎn)：

• 就像某些國(guó)家防火墻一樣，你可能會(huì)受到審查。這意味著你得到的信息將不準(zhǔn)確，這會(huì)對(duì)許多社會(huì)和政治領(lǐng)域產(chǎn)生連鎖反應(yīng)。
• 數(shù)據(jù)盜竊是人們最關(guān)心的問(wèn)題，對(duì)于那些想要獲取用戶銀行信息和其他敏感數(shù)據(jù)的人來(lái)說(shuō)，這是一項(xiàng)有利可圖的冒險(xiǎn)。
• 您可能容易感染系統(tǒng)上的惡意軟件和其他特洛伊木馬病毒。例如，攻擊者可以通過(guò)偽造的站點(diǎn)在您的系統(tǒng)上注入鍵盤(pán)記錄器或其他形式的間諜軟件。

DNS污染還有其他相關(guān)影響。例如，在恢復(fù)過(guò)程全面展開(kāi)時(shí)，您可能無(wú)法對(duì)系統(tǒng)應(yīng)用任何安全更新。這會(huì)使您的計(jì)算機(jī)更長(zhǎng)時(shí)間處于易受攻擊狀態(tài)。

此外，考慮這個(gè)清理過(guò)程的成本和復(fù)雜性，因?yàn)樗鼤?huì)影響到每個(gè)人在鏈條上。所有聯(lián)網(wǎng)服務(wù)的更高價(jià)格只是負(fù)面因素之一。

消除DNS污染的努力是巨大的。鑒于欺騙同時(shí)影響客戶端和服務(wù)器端設(shè)置，將其從一個(gè)設(shè)置中刪除并不意味著它從所有設(shè)置中消失。

如何預(yù)防DNS污染

有兩個(gè)區(qū)域受到DNS污染的影響-客戶端和服務(wù)器端。我們將看看你能做些什么來(lái)防止這種對(duì)硬幣兩面的破壞性攻擊。

讓我們從互聯(lián)網(wǎng)作為一個(gè)整體在服務(wù)器端做什么開(kāi)始。

互聯(lián)網(wǎng)如何防止DNS污染和服務(wù)器端欺騙

盡管在本文中我們已經(jīng)討論了很多關(guān)于DNS的內(nèi)容，但我們還沒(méi)有注意到這項(xiàng)技術(shù)有多么過(guò)時(shí)。簡(jiǎn)而言之，由于一些因素，DNS并不是最適合現(xiàn)代網(wǎng)絡(luò)瀏覽體驗(yàn)的。首先，它是未加密的，并且沒(méi)有一些重要的驗(yàn)證考慮，這將阻止許多DNS中毒攻擊的繼續(xù)。

防止攻擊變得更強(qiáng)的一種快速方法是通過(guò)簡(jiǎn)單的日志策略。這將在請(qǐng)求和響應(yīng)之間進(jìn)行簡(jiǎn)單的比較，以查看它們是否匹配。

然而，長(zhǎng)期的答案（根據(jù)專家的說(shuō)法）是使用域名系統(tǒng)安全擴(kuò)展（DNSSEC）。這是一項(xiàng)旨在對(duì)抗DNS中毒的技術(shù)，簡(jiǎn)單來(lái)說(shuō)，它提供了不同級(jí)別的驗(yàn)證。

更深入地說(shuō)，DNSSEC使用“公鑰加密”作為驗(yàn)證。這是一種將數(shù)據(jù)視為真實(shí)可信的方式。它與您的其他DNS信息一起存儲(chǔ)，遞歸服務(wù)器使用它來(lái)檢查它接收到的信息是否未被更改。

與其他互聯(lián)網(wǎng)協(xié)議和技術(shù)相比，DNSSEC是一個(gè)相對(duì)的嬰兒，但它已經(jīng)足夠成熟，可以在互聯(lián)網(wǎng)的根級(jí)別實(shí)現(xiàn)，盡管它還不是主流。谷歌的公共DNS是一項(xiàng)完全支持DNSSEC的服務(wù)，而且隨時(shí)都會(huì)有更多的服務(wù)出現(xiàn)。

即便如此，DNSSEC仍存在一些值得注意的缺點(diǎn)：

• 該協(xié)議不編碼響應(yīng)。這意味著攻擊者仍然可以“監(jiān)聽(tīng)”流量，盡管要繞過(guò)DNSSEC，攻擊必須更加復(fù)雜。
• 由于DNSSEC使用額外的記錄來(lái)收集DNS數(shù)據(jù)，因此存在另一個(gè)稱為“區(qū)域枚舉”的漏洞。該漏洞使用一條記錄來(lái)“遍歷”并收集特定“區(qū)域”內(nèi)的所有DNS記錄。此記錄的某些版本會(huì)加密數(shù)據(jù)，但其他版本尚未加密。
• DNSSEC是一個(gè)復(fù)雜的協(xié)議，因?yàn)樗彩切碌?，所以有時(shí)可能會(huì)配置錯(cuò)誤。當(dāng)然，這會(huì)削弱使用它的好處，并帶來(lái)進(jìn)一步的問(wèn)題。

即便如此，DNSSEC至少在服務(wù)器端是未來(lái)的趨勢(shì)。作為最終用戶，您還可以采取一些預(yù)防措施。

如何防止客戶端的DNS污染

有更多的方法可以在客戶端防止DNS中毒，盡管沒(méi)有一種方法能夠像專家實(shí)現(xiàn)的服務(wù)器端DNSSEC那樣強(qiáng)大。不過(guò)，作為網(wǎng)站所有者，您可以勾選一些簡(jiǎn)單的框：

• 對(duì)任何請(qǐng)求和回復(fù)使用端到端加密。安全套接字層（SSL）證書(shū)在這里做得很好。
• 使用欺騙檢測(cè)工具，如Xarp。這些掃描程序在發(fā)送數(shù)據(jù)包之前掃描接收到的數(shù)據(jù)包。這可以減輕任何惡意數(shù)據(jù)傳輸。
• 增加DNS緩存的生存時(shí)間（TTL）值將有助于在惡意條目到達(dá)最終用戶之前清除它們。
• 您應(yīng)該有一個(gè)好的DNS、DHCP和IPAM（DDI）策略。這包括DNS策略、動(dòng)態(tài)主機(jī)配置協(xié)議和IP地址管理。這是一個(gè)由系統(tǒng)管理員和服務(wù)器安全專家處理的復(fù)雜但必要的過(guò)程。

作為最終用戶，您還可以做一些事情來(lái)幫助防止中毒和欺騙：

• 使用虛擬專用網(wǎng)絡(luò)（VPN），因?yàn)槟臄?shù)據(jù)將被端到端加密。您還可以使用私有DNS服務(wù)器，同樣使用端到端加密。
• 采取簡(jiǎn)單的預(yù)防措施，例如不要單擊無(wú)法識(shí)別的鏈接并定期進(jìn)行安全掃描。
• 定期刷新DNS緩存也會(huì)清除系統(tǒng)中的惡意數(shù)據(jù)。這需要幾秒鐘，而且很容易實(shí)現(xiàn)。

雖然不能完全消除DNS污染，但可以防止最壞的情況發(fā)生。作為最終用戶，您無(wú)法控制服務(wù)器如何處理攻擊。同樣，系統(tǒng)管理員無(wú)法控制瀏覽器中發(fā)生的事情。因此，團(tuán)隊(duì)努力阻止這種最有害的攻擊影響整個(gè)鏈。

小結(jié)

互聯(lián)網(wǎng)攻擊是司空見(jiàn)慣的。DNS污染（中毒或欺騙）是一種常見(jiàn)的攻擊，如果不加以制止，可能會(huì)影響數(shù)百萬(wàn)用戶。這是因?yàn)镈NS協(xié)議很舊，不適合現(xiàn)代網(wǎng)絡(luò)瀏覽——盡管新技術(shù)即將問(wèn)世。

簡(jiǎn)而言之，DNS污染將最終用戶重定向到現(xiàn)有網(wǎng)站的欺詐版本。這是一種竊取數(shù)據(jù)并用惡意軟件感染系統(tǒng)的方法。沒(méi)有萬(wàn)無(wú)一失的方法可以完全防止它，但是你可以通過(guò)一些簡(jiǎn)單的措施來(lái)控制它。

您是否曾經(jīng)是DNS污染的受害者，如果是，原因是什么？請(qǐng)?jiān)谙旅娴脑u(píng)論部分與我們分享您的經(jīng)驗(yàn)！

分享標(biāo)題：什么是DNS污染及該如何預(yù)防
轉(zhuǎn)載源于：http://uogjgqi.cn/article/djeggdi.html