什么是 DNS 中毒? 你如何远离它?
已发表: 2023-05-05鉴于技术发展的快速步伐,攻击者不断寻找新的方法来操纵和劫持互联网。 域名系统 (DNS) 中毒就是这样一种攻击,而且是一种伪装的攻击。
虽然 DNS 安全解决方案有助于为客户提供计算能力并促进他们基于 Web 的流量,但了解可能影响他们的威胁和风险至关重要。
什么是 DNS 中毒?
DNS 中毒或 DNS 缓存中毒是一种欺骗性的网络策略,黑客将在线流量转移到网络钓鱼网站和虚假 Web 服务器。
这是一种欺骗攻击,黑客会冒用另一台设备、客户端或用户的身份。 这种伪装随后使拦截受保护信息或破坏常规网络流量变得更加容易。
在 DNS 缓存中毒攻击中,黑客将 DNS 记录更改为“欺骗性”DNS,以便当合法用户访问网站时,他们最终会到达预定目的地以外的其他地方。 人们通常需要意识到这一点,因为模仿网站通常被设计成看起来就像真实网站一样。
这就像如果你告诉某人你住在一个特定的位置,然后更改所有的街道名称和门牌号,这样他们就会在错误的地址或整个社区中结束。
黑客经常使用下面讨论的一种或多种恶意方法。
- 直接劫持 DNS 服务器并将用户重定向到欺诈站点
- 中间机器攻击,例如窃取银行网站的安全登录凭据)
- 通过类似垃圾邮件的网络钓鱼电子邮件使 DNS 缓存中毒
- 在访客的电脑或路由器上安装病毒,直接造成损害
- 放置蠕虫以将损坏传播到其他设备。
DNS 中毒是如何工作的
要完全理解 DNS 中毒的工作原理,必须了解有关互联网如何将访问者传送到各个域的一些概念和上下文。
DNS 中毒与 DNS 欺骗
尽管术语 DNS 中毒和 DNS 欺骗有时会互换使用,但两者之间存在区别。
DNS 投毒是攻击者用来破坏 DNS 数据并用恶意重定向替换它的技术。 DNS 中毒的最终结果是 DNS 欺骗,其中中毒的缓存将用户引导至恶意网站。
总而言之, DNS 投毒是 DNS 欺骗的途径:黑客对 DNS 缓存投毒以欺骗 DNS。
什么是 DNS 解析器?
每个设备和服务器都有一个独特的互联网协议 (IP) 地址,这是一串用作通信标识符的数字。 用户可以通过DNS解析器获取域名对应的IP地址。 换句话说,它们将人类可读的网站 URL(如 https://www.g2.com/)转换为计算机可以理解的 IP 地址。 每当用户尝试访问网站时,DNS 解析器都会收到来自操作系统的请求。 DNS 解析器返回 IP 地址后,Web 浏览器使用它开始加载请求的页面。
DNS 缓存如何工作?
DNS 解析器跟踪特定时期内 IP 地址请求的答复。 通过消除与标准 DNS 解析过程中涉及的多个服务器交互的需要,解析器可以更快地回复后续查询。 只要与该 IP 地址关联的规定生存时间 (TTL) 允许,DNS 解析器就会在其缓存中保留回复。
黑客如何毒化 DNS 缓存?
黑客专门获取对 DNS 服务器的访问权限,以更改其目录,将用户输入的域名路由到不同的、不准确的 IP 地址。 黑客可以通过以下方式做到这一点:
- 模仿服务器。 您的 DNS 服务器请求转换,而黑客在实际服务器响应之前就以错误的答案快速响应。
- 捆绑服务器。 研究人员在 2008 年观察到,黑客可以向缓存服务器发送数千个请求。 黑客随后会发送数百个误导性答案,随着时间的推移获得对根域和整个站点的控制权。
- 利用开放端口。 研究人员在 2020 年发现,黑客可以向解析器端口发送数百个 DNS 请求。 通过这种方法,他们最终了解哪个端口是开放的。 以后的攻击只会针对这个端口。
允许这种攻击的最重要的漏洞是用于路由 Web 流量的整个系统是为可扩展性而不是安全性而设计的。 目前的方法基于用户数据报协议 (UDP),不需要发送者或接收者来验证他们的身份。 该漏洞允许黑客冒充用户(不需要额外的身份验证)并进入系统以重定向 DNS 服务器。
DNS 中毒的危害
DNS 中毒危及个人和公司。 这种网络攻击最可能带来的危害之一是,一旦设备遭到破坏,纠正该问题可能具有挑战性,因为设备默认返回非法站点。
此外,DNS 欺骗攻击对于消费者来说极难识别,尤其是当黑客让虚假网站看起来与真实网站一样逼真时。 在这种情况下,访问者不太可能意识到该网站是伪造的,并且会像往常一样输入重要信息,而没有意识到他们将自己和他们的企业置于相当大的风险之下。
下面讨论这种攻击的一些最严重的风险。
恶意软件和病毒
消费者被引导至虚假网站后,黑客可能会获得对他们设备的访问权限并安装大量病毒和恶意软件。 范围从旨在感染其设备的病毒到允许黑客持续访问设备及其信息的恶意软件。
数据窃取
DNS 中毒使黑客能够快速获取信息,例如安全站点的登录信息或社会安全号码等个人身份信息。
安全拦截器
通过重新路由来自安全提供商的流量以防止设备获得关键的安全更新和补丁,恶意行为者利用 DNS 欺骗来造成严重的长期损害。 随着时间的推移,这种方法可能会使设备更容易受到其他几种攻击,包括恶意软件和特洛伊木马。
审查制度
各国政府使用 DNS 中毒来干扰来自其国家/地区的网络流量,以限制或审查数据。 通过以这种方式进行干预,这些政府已经能够阻止公民访问包含他们不希望他们查看的信息的网站。
ARP 中毒与 DNS 中毒
地址解析协议 (ARP) 中毒和 DNS 中毒是中间机器攻击的示例。 这两者之间的主要区别在于它们的寻址格式和它们出现的程度。
虽然DNS 中毒会欺骗真实站点的 IP 地址,并有可能传播到各种网络和服务器,但 ARP 中毒会模仿同一网段内的物理地址(MAC 地址)。
通过使 ARP 缓存中毒,攻击者可以诱使网络认为他们的 MAC 地址链接到 IP 地址。 这会导致发送到该 IP 地址的数据被错误地路由到攻击者。 反过来,攻击者可以监听其目标之间的所有网络通信。
DNS 中毒示例
DNS 中毒攻击的危害已因近年来全球发生的几起备受瞩目的事件而暴露无遗。
- AWS DNS 网络劫持:在 2018 年,由于一群犯罪分子的 DNS 缓存中毒攻击,托管在亚马逊上的许多域被重定向。 其中一个特别值得注意的攻击针对的是比特币网站 MyEtherWallet。 犯罪分子专门将试图登录其 MyEtherWallet 账户的用户的流量转移到一个虚假网站,以窃取登录信息。 然后,该组织利用该信息访问这些人的真实账户并窃取他们的钱。 该网络团伙设法窃取了价值约 1700 万美元的以太坊。
- Lizard squad 黑客攻击:一个名为 Lizard Squad 的黑客组织在 2015 年攻击了马来西亚航空公司,将网站访问者重定向到一个虚假网站,邀请他们登录只是为了向他们提供 404 错误和蜥蜴图像。
- 中国政府审查泄密:由于 2010 年受到中国服务器的控制,智利和美国的互联网用户发现他们的流量被转移到 Facebook、Twitter 和 YouTube 等网站。 中国故意使用 DNS 中毒来控制其服务器作为审查。 在这种情况下,来自中国境外的访问者被发送到中国服务器。 他们因无法访问中国限制其居民访问的网站而遭受了审查的后果。
如何避免 DNS 中毒
DNS 中毒攻击非常危险,因为它们一旦建立就很难检测和修复。 尽管如此,您还是可以采取多种措施来更好地保护您的企业免受 DNS 中毒和网络钓鱼攻击造成的危害。
添加 DNS 安全扩展 (DNSSEC)
通过引入 DNSSEC 抵御 DNS 中毒攻击。 简单地说,DNSSEC 实施了验证 DNS 数据的额外步骤。
DNNSEC 使用公钥密码术进行此验证。 特别是,它使用基于证书的身份验证来确认响应请求的任何 DNS 的根域和合法性。 此外,它还会评估响应的内容是否可信以及它是否在途中被更改。
虽然 DNSSEC 确实可以防止 DNS 欺骗,但它在数据机密性、部署复杂以及区域枚举等其他漏洞方面也存在一些缺点。 在实施之前了解 DNSSEC 的局限性至关重要。
确保数据加密
您可以采取的另一个关键步骤是 DNS 查询和响应中的数据加密。 这通过禁止可以拦截该数据的黑客对其进行任何操作来增加安全性。 即使黑客设法收集了数据,如果数据是加密的,他们也无法读取它来获取他们需要的信息来复制它以用于未来的 DNS 查询。
介绍检测协议
虽然预防技术至关重要,但如果发生 DNS 中毒攻击,您还应该制定稳健的计划。 这是需要有效检测协议的时候。 最有效的检测程序包括定期监测特定警告指示。
重要的预警指标包括:
- 来自单个域的单一来源的 DNS 活动激增可能表明存在恶意攻击。
- 来自单一来源的关于众多域名的 DNS 活动增加可能表明正在努力识别 DNS 中毒的入口点。
定期运行系统更新
与大多数系统一样,您的 DNS 有资格进行例行系统更改。 由于这些更新经常包含针对任何已发现漏洞的新安全协议和补丁,因此您必须始终如一地执行这些更新以确保您使用的是最新版本的 DNS。
领导最终用户培训
一项重要的检测策略是最终用户培训,以告知用户潜在威胁。 即使训练有素的用户也可能会发现识别 DNS 中毒尝试具有挑战性,尽管良好的训练无疑可以阻止某些攻击的传播。
应培训用户检查网站是否使用合法的安全套接字层 (SSL) / 传输层安全 (TLS) 证书,以避免点击来自不熟悉来源的链接。 这将定期清除他们的名称服务器的缓存以防止 DNS 缓存中毒,并使用安全软件扫描他们的设备以查找恶意软件。
DNS安全软件解决方案
尽管一般的最佳实践为域名系统提供了一定的安全性,但一些托管 DNS 提供商可以检测并阻止有风险的流量。 通过过滤恶意 DNS 信息、媒体和网站,组织雇用这些服务提供商来保护其员工和服务器使用的端点。
前 5 名 DNS 安全软件:
- DNS过滤器
- 思科保护伞
- Webroot DNS 保护
- BloxOne DDI
- DNSSense DNSEye
*以上是 G2 2023 年春季网格报告中的五个领先 DNS 安全软件解决方案。
选择你的毒药
域名服务器对于现代互联网的运行至关重要。 尽管如此,它也经常成为黑客寻求利用安全漏洞、未经授权访问网络或窃取敏感信息的目标。 这对企业究竟意味着什么? 他们可能会冒金钱和时间支出损失、品牌声誉受损和法律后果的风险。
除了意识到域名系统的风险外,企业挑选和找到保证 DNS 安全的解决方案也很重要。
详细了解 DNS 安全性以获得强大的网络安全策略!