什麼是 DNS 中毒? 你如何遠離它?
已發表: 2023-05-05鑑於技術發展的快速步伐,攻擊者不斷尋找新的方法來操縱和劫持互聯網。 域名系統 (DNS) 中毒就是這樣一種攻擊,而且是一種偽裝的攻擊。
雖然 DNS 安全解決方案有助於為客戶提供計算能力並促進他們基於 Web 的流量,但了解可能影響他們的威脅和風險至關重要。
什麼是 DNS 中毒?
DNS 中毒或 DNS 緩存中毒是一種欺騙性的網絡策略,黑客將在線流量轉移到網絡釣魚網站和虛假 Web 服務器。
這是一種欺騙攻擊,黑客會冒用另一台設備、客戶端或用戶的身份。 這種偽裝隨後使攔截受保護信息或破壞常規網絡流量變得更加容易。
在 DNS 緩存中毒攻擊中,黑客將 DNS 記錄更改為“欺騙性”DNS,以便當合法用戶訪問網站時,他們最終會到達預定目的地以外的其他地方。 人們通常需要意識到這一點,因為模仿網站通常被設計成看起來就像真實網站一樣。
這就像如果你告訴某人你住在一個特定的位置,然後更改所有的街道名稱和門牌號,這樣他們就會在錯誤的地址或整個社區中結束。
黑客經常使用下面討論的一種或多種惡意方法。
- 直接劫持 DNS 服務器並將用戶重定向到欺詐站點
- 中間機器攻擊,例如竊取銀行網站的安全登錄憑據)
- 通過類似垃圾郵件的網絡釣魚電子郵件使 DNS 緩存中毒
- 在訪客的電腦或路由器上安裝病毒,直接造成損害
- 放置蠕蟲以將損壞傳播到其他設備。
DNS 中毒是如何工作的
要完全理解 DNS 中毒的工作原理,必須了解有關互聯網如何將訪問者傳送到各個域的一些概念和上下文。
DNS 中毒與 DNS 欺騙
儘管術語 DNS 中毒和 DNS 欺騙有時會互換使用,但兩者之間存在區別。
DNS 投毒是攻擊者用來破壞 DNS 數據並用惡意重定向替換它的技術。 DNS 中毒的最終結果是 DNS 欺騙,其中中毒的緩存將用戶引導至惡意網站。
總而言之, DNS 投毒是 DNS 欺騙的途徑:黑客對 DNS 緩存投毒以欺騙 DNS。
什麼是 DNS 解析器?
每個設備和服務器都有一個獨特的互聯網協議 (IP) 地址,這是一串用作通信標識符的數字。 用戶可以通過DNS解析器獲取域名對應的IP地址。 換句話說,它們將人類可讀的網站 URL(如 https://www.g2.com/)轉換為計算機可以理解的 IP 地址。 每當用戶嘗試訪問網站時,DNS 解析器都會收到來自操作系統的請求。 DNS 解析器返回 IP 地址後,Web 瀏覽器使用它開始加載請求的頁面。
DNS 緩存如何工作?
DNS 解析器跟踪特定時期內 IP 地址請求的答复。 通過消除與標準 DNS 解析過程中涉及的多個服務器交互的需要,解析器可以更快地回復後續查詢。 只要與該 IP 地址關聯的規定生存時間 (TTL) 允許,DNS 解析器就會在其緩存中保留回复。
黑客如何毒化 DNS 緩存?
黑客專門獲取對 DNS 服務器的訪問權限,以更改其目錄,將用戶輸入的域名路由到不同的、不准確的 IP 地址。 黑客可以通過以下方式做到這一點:
- 模仿服務器。 您的 DNS 服務器請求轉換,而黑客在實際服務器響應之前就以錯誤的答案快速響應。
- 捆綁服務器。 研究人員在 2008 年觀察到,黑客可以向緩存服務器發送數千個請求。 黑客隨後會發送數百個誤導性答案,隨著時間的推移獲得對根域和整個站點的控制權。
- 利用開放端口。 研究人員在 2020 年發現,黑客可以向解析器端口發送數百個 DNS 請求。 通過這種方法,他們最終了解哪個端口是開放的。 以後的攻擊只會針對這個端口。
允許這種攻擊的最重要的漏洞是用於路由 Web 流量的整個系統是為可擴展性而不是安全性而設計的。 目前的方法基於用戶數據報協議 (UDP),不需要發送者或接收者來驗證他們的身份。 該漏洞允許黑客冒充用戶(不需要額外的身份驗證)並進入系統以重定向 DNS 服務器。
DNS 中毒的危害
DNS 中毒危及個人和公司。 這種網絡攻擊最可能帶來的危害之一是,一旦設備遭到破壞,糾正該問題可能具有挑戰性,因為設備默認返回非法站點。
此外,DNS 欺騙攻擊對於消費者來說極難識別,尤其是當黑客讓虛假網站看起來與真實網站一樣逼真時。 在這種情況下,訪問者不太可能意識到該網站是偽造的,並且會像往常一樣輸入重要信息,而沒有意識到他們將自己和他們的企業置於相當大的風險之下。
下面討論這種攻擊的一些最嚴重的風險。
惡意軟件和病毒
消費者被引導至虛假網站後,黑客可能會獲得對他們設備的訪問權限並安裝大量病毒和惡意軟件。 範圍從旨在感染其設備的病毒到允許黑客持續訪問設備及其信息的惡意軟件。
數據竊取
DNS 中毒使黑客能夠快速獲取信息,例如安全站點的登錄信息或社會安全號碼等個人身份信息。
安全攔截器
通過重新路由來自安全提供商的流量以防止設備獲得關鍵的安全更新和補丁,惡意行為者利用 DNS 欺騙來造成嚴重的長期損害。 隨著時間的推移,這種方法可能會使設備更容易受到其他幾種攻擊,包括惡意軟件和特洛伊木馬。
審查制度
各國政府使用 DNS 中毒來干擾來自其國家/地區的網絡流量,以限製或審查數據。 通過以這種方式進行干預,這些政府已經能夠阻止公民訪問包含他們不希望他們查看的信息的網站。
ARP 中毒與 DNS 中毒
地址解析協議 (ARP) 中毒和 DNS 中毒是中間機器攻擊的示例。 這兩者之間的主要區別在於它們的尋址格式和它們出現的程度。
雖然DNS 中毒會欺騙真實站點的 IP 地址,並有可能傳播到各種網絡和服務器,但ARP 中毒會模仿同一網段內的物理地址(MAC 地址)。
通過使 ARP 緩存中毒,攻擊者可以誘使網絡認為他們的 MAC 地址鏈接到 IP 地址。 這會導致發送到該 IP 地址的數據被錯誤地路由到攻擊者。 反過來,攻擊者可以監聽其目標之間的所有網絡通信。
DNS 中毒示例
DNS 中毒攻擊的危害已因近年來全球發生的幾起備受矚目的事件而暴露無遺。
- AWS DNS 網絡劫持:在 2018 年,由於一群犯罪分子的 DNS 緩存中毒攻擊,託管在亞馬遜上的許多域被重定向。 其中一個特別值得注意的攻擊針對的是比特幣網站 MyEtherWallet。 犯罪分子專門將試圖登錄其 MyEtherWallet 賬戶的用戶的流量轉移到一個虛假網站,以竊取登錄信息。 然後,該組織利用該信息訪問這些人的真實賬戶並竊取他們的錢。 該網絡團伙設法竊取了價值約 1700 萬美元的以太坊。
- Lizard squad 黑客攻擊:一個名為 Lizard Squad 的黑客組織在 2015 年攻擊了馬來西亞航空公司,將網站訪問者重定向到一個虛假網站,邀請他們登錄只是為了向他們提供 404 錯誤和蜥蜴圖像。
- 中國政府審查洩密:由於 2010 年受到中國服務器的控制,智利和美國的互聯網用戶發現他們的流量被轉移到 Facebook、Twitter 和 YouTube 等網站。 中國故意使用 DNS 中毒來控制其服務器作為審查。 在這種情況下,來自中國境外的訪問者被發送到中國服務器。 他們因無法訪問中國限制其居民訪問的網站而遭受了審查的後果。
如何避免 DNS 中毒
DNS 中毒攻擊非常危險,因為它們一旦建立就很難檢測和修復。 儘管如此,您還是可以採取多種措施來更好地保護您的企業免受 DNS 中毒和網絡釣魚攻擊造成的危害。
添加 DNS 安全擴展 (DNSSEC)
通過引入 DNSSEC 抵禦 DNS 中毒攻擊。 簡單地說,DNSSEC 實施了驗證 DNS 數據的額外步驟。
DNNSEC 使用公鑰密碼術進行此驗證。 特別是,它使用基於證書的身份驗證來確認響應請求的任何 DNS 的根域和合法性。 此外,它還會評估響應的內容是否可信以及它是否在途中被更改。
雖然 DNSSEC 確實可以防止 DNS 欺騙,但它在數據機密性、部署複雜以及區域枚舉等其他漏洞方面也存在一些缺點。 在實施之前了解 DNSSEC 的局限性至關重要。
確保數據加密
您可以採取的另一個關鍵步驟是 DNS 查詢和響應中的數據加密。 這通過禁止可以攔截該數據的黑客對其進行任何操作來增加安全性。 即使黑客設法收集了數據,如果數據是加密的,他們也無法讀取它來獲取他們需要的信息來複製它以用於未來的 DNS 查詢。
介紹檢測協議
雖然預防技術至關重要,但如果發生 DNS 中毒攻擊,您還應該制定穩健的計劃。 這是需要有效檢測協議的時候。 最有效的檢測程序包括定期監測特定警告指示。
重要的預警指標包括:
- 來自單個域的單一來源的 DNS 活動激增可能表明存在惡意攻擊。
- 來自單一來源的關於眾多域名的 DNS 活動增加可能表明正在努力識別 DNS 中毒的入口點。
定期運行系統更新
與大多數係統一樣,您的 DNS 有資格進行例行系統更改。 由於這些更新經常包含針對任何已發現漏洞的新安全協議和補丁,因此您必須始終如一地執行這些更新以確保您使用的是最新版本的 DNS。
領導最終用戶培訓
一項重要的檢測策略是最終用戶培訓,以告知用戶潛在威脅。 即使訓練有素的用戶也可能會發現識別 DNS 中毒嘗試具有挑戰性,儘管良好的訓練無疑可以阻止某些攻擊的傳播。
應培訓用戶檢查網站是否使用合法的安全套接字層 (SSL) / 傳輸層安全 (TLS) 證書,以避免點擊來自不熟悉來源的鏈接。 這將定期清除他們的名稱服務器的緩存以防止 DNS 緩存中毒,並使用安全軟件掃描他們的設備以查找惡意軟件。
DNS安全軟件解決方案
儘管一般的最佳實踐為域名系統提供了一定的安全性,但一些託管 DNS 提供商可以檢測並阻止有風險的流量。 通過過濾惡意 DNS 信息、媒體和網站,組織僱用這些服務提供商來保護其員工和服務器使用的端點。
前 5 名 DNS 安全軟件:
- DNS過濾器
- 思科保護傘
- Webroot DNS 保護
- BloxOne DDI
- DNSSense DNSEye
*以上是 G2 2023 年春季網格報告中的五個領先 DNS 安全軟件解決方案。
選擇你的毒藥
域名服務器對於現代互聯網的運行至關重要。 儘管如此,它也經常成為黑客尋求利用安全漏洞、未經授權訪問網絡或竊取敏感信息的目標。 這對企業究竟意味著什麼? 他們可能會冒金錢和時間支出損失、品牌聲譽受損和法律後果的風險。
除了意識到域名系統的風險外,企業挑选和找到保證 DNS 安全的解決方案也很重要。
詳細了解 DNS 安全性以獲得強大的網絡安全策略!