是網(wǎng)絡(luò)連接中的重要一環(huán)

DNS是網(wǎng)絡(luò)連接中的重要一環(huán)-1.本地DNS劫持12.DNS解析路徑劫持23.篡改DNS權(quán)威記錄3DNS是網(wǎng)絡(luò)連接中的重要一環(huán)DNS是網(wǎng)絡(luò)連接中的重要一環(huán)，它與路由系統(tǒng)共同組成互聯(lián)網(wǎng)上的尋址系統(tǒng)，如果DNS遭遇故障，"導(dǎo)航系統(tǒng)"失效，網(wǎng)絡(luò)連接就會出現(xiàn)無法觸達或到達錯誤地址的情況接下來，本文針對DNS劫持原理和應(yīng)對方式做下簡單介紹DNS劫持就是通過各種技術(shù)手段取得域名的解析控制權(quán)，進而修改域名的解析記錄，將域名指向的服務(wù)器IP修改為受控制的IP地址，從而將用戶引導(dǎo)至虛假網(wǎng)站，實現(xiàn)竊取用戶信息，破壞正常服務(wù)的目的由于的DNS重要作用及天生脆弱性，導(dǎo)致DNS自誕生之日起，就成為網(wǎng)絡(luò)攻擊的重點目標(biāo)，其中DNS劫持是最常見危害最大的攻擊方式什么是DNS劫持？DNS劫持的危害DNS是網(wǎng)絡(luò)連接中的重要一環(huán)DNS劫持的危害是雙向多面的對于用戶而言，它通過將用戶引導(dǎo)至與原網(wǎng)站十分相似的網(wǎng)站，并誘導(dǎo)用戶輸入賬號、密碼、身份證等敏感信息，從而造成個人信息泄露、財產(chǎn)損失等風(fēng)險對于企業(yè)機構(gòu)而言，它會讓企業(yè)機構(gòu)失去對域名的控制權(quán)，導(dǎo)致站點不能訪問，正常流量流失，業(yè)務(wù)無法正常運行，進而對企業(yè)形象和經(jīng)濟利益造成影響DNS是網(wǎng)絡(luò)連接中的重要一環(huán)DNS劫持示意圖DNS劫持案例(1)2009年巴西最大銀行Bandesco巴西銀行遭遇DNS劫持，1%的用戶被釣魚受影響的用戶被重定向到另一個虛假銀行網(wǎng)站，該網(wǎng)站試圖竊取用戶密碼并安裝惡意軟件(2)2010年1月12日，發(fā)生著名的"百度域名被劫持"事件，很多網(wǎng)民發(fā)現(xiàn)百度首頁無法登錄的異常情況DNS是網(wǎng)絡(luò)連接中的重要一環(huán)而根據(jù)百度域名的whois查詢結(jié)果發(fā)現(xiàn)，該網(wǎng)站域名被劫持到雅虎下面的兩個域名服務(wù)器，另有部分網(wǎng)民發(fā)現(xiàn)網(wǎng)站頁面被篡改成黑色背景和伊朗國旗，對百度的安全形象和業(yè)務(wù)運行造成非常惡劣的影響(3)2012年，日本三井住友銀行、三菱東京日聯(lián)銀行和日本郵儲銀行提供的網(wǎng)上銀行服務(wù)都被釣魚網(wǎng)站劫持，出現(xiàn)試圖獲取用戶信息的虛假頁面，當(dāng)用戶登錄官網(wǎng)網(wǎng)站后，會彈出要求用戶輸入賬號密碼的頁面，頁面上還顯示銀行的標(biāo)志，如果不仔細(xì)分辨，很難分清真假(4)2013年5月，發(fā)生史上最大規(guī)模的DNS釣魚攻擊事件，造成800用戶被感染(5)2014年1月21日，全國出現(xiàn)大范圍DNS故障，中國頂級域名根服務(wù)器發(fā)生故障，造成大部分網(wǎng)站受影響DNS是網(wǎng)絡(luò)連接中的重要一環(huán)01DNS劫持原理05除了這種典型解析流程外，由于DNS緩存的存在，當(dāng)客戶端發(fā)起請求時，瀏覽器緩存、hosts文件、本地遞歸服務(wù)器DNS緩存會先將本地儲存的解析記錄直接告知客戶端，從而省去全球遞歸查詢的步驟0203介紹DNS劫持原理，需要首先了解典型的DNS解析流程04當(dāng)客戶端發(fā)起域名請求時，本地遞歸服務(wù)器(大多數(shù)情況下為運營商DNS)或公共DNS會通過向根域名服務(wù)器、頂級域名服務(wù)器到權(quán)威域名服務(wù)器一級一級查詢，并將最終查詢結(jié)果返回給客戶端DNS劫持原理DNS是網(wǎng)絡(luò)連接中的重要一環(huán)從上面DNS解析流程中可以看出，一次完整的DNS查詢具備以下兩個特點鏈路長，查詢過程包含多次、多級網(wǎng)絡(luò)通信參與角色多，查詢過程涉及客戶端(瀏覽器緩存、hosts文件)、遞歸解析服務(wù)器、權(quán)威解析服務(wù)器等角色在一次完整DNS查詢鏈路的各個環(huán)節(jié)，都可以通過技術(shù)手段將域名解析記錄進行篡改，將域名指向劫持到錯誤的IP地址上下面會逐一介紹各類型的DNS劫持DNS解析流程圖DNS劫持類型9第1部分1.本地DNS劫持1.本地DNS劫持本地DNS劫持是指發(fā)生在客戶端側(cè)的各類DNS劫持，包括(1)通過木馬或者惡意程序入侵客戶端，篡改DNS緩存、hosts文件、DNS服務(wù)器地址等DNS相關(guān)配置(2)利用路由器漏洞入侵路由器，并針對路由器中的DNS緩存進行篡改11第2部分2.DNS解析路徑劫持2.DNS解析路徑劫持DNS解析路徑劫持是指發(fā)生在客戶端和DNS服務(wù)器網(wǎng)絡(luò)通信間的DNS劫持方式通過對DNS劫持報文在查詢階段的路徑進行劃分，又可將DNS劫持分為四類(1)DNS請求轉(zhuǎn)發(fā)通過中間盒子、軟件等技術(shù)手段將用戶發(fā)出的DNS請求重定向到由攻擊者控制的流氓DNS服務(wù)器，從而將其重定向到惡意站點(2)DNS請求復(fù)制將DNS查詢復(fù)制到網(wǎng)絡(luò)設(shè)備，并在用戶發(fā)起請求時先于正常應(yīng)答返回DNS劫持的結(jié)果，這種方式表現(xiàn)為一個DNS查詢抓包返回兩個不同的應(yīng)答(3)DNS請求代答通過利用網(wǎng)絡(luò)設(shè)備或軟件代替DNS服務(wù)器對DNS查詢進行應(yīng)答(4)DNS緩存感染2.DNS解析路徑劫持DNS緩存感染是指攻擊者在遞歸解析服務(wù)器投入錯誤的緩存信息，當(dāng)訪問者發(fā)起解析請求時，遞歸服務(wù)器就會從DNS緩存中將錯誤的解析記錄返回，從而將用戶引導(dǎo)至錯誤的網(wǎng)站DNS緩存污染原理圖14第3部分3.篡改DNS權(quán)威記錄3.篡改DNS權(quán)威記錄篡改DNS權(quán)威記錄是指攻擊者非法入侵DNS權(quán)威記錄管理平臺賬號，控制DNS解析設(shè)置權(quán)限，直接修改DNS解析記錄的行為通過這種方式可以將權(quán)威服務(wù)器下特定域名的解析指向惡意服務(wù)器以實現(xiàn)DNS劫持的目的DNS劫持應(yīng)對方案(1)安裝殺毒軟件，可以有效防御木馬病毒和惡意軟件，并定期修改路由器管理賬號密碼和更新固件(2)企業(yè)端可以設(shè)置更小的TTL值，實現(xiàn)DNS緩存的短時間更新，用戶端可以定期刷新DNS緩存，從而讓用戶發(fā)起請求時盡可能去請求權(quán)威服務(wù)器，降低DNS緩存被污染的可能(3)加強域名賬戶的安全等級，使用強度較高的密碼，并定期更換密碼(4)定期查看域名賬戶信息、域名whois信息以及域名解析生效狀態(tài)，發(fā)現(xiàn)異常及時聯(lián)系域名服務(wù)商3.篡改DNS權(quán)威記錄1(5