大規(guī)模的DNS劫持��,其結(jié)果往往是斷網(wǎng),因?yàn)榇缶W(wǎng)站的訪問(wèn)量實(shí)在太大了����,釣魚(yú)網(wǎng)站的服務(wù)器可能會(huì)扛不住大流量的訪問(wèn),瞬間就會(huì)癱瘓掉���,網(wǎng)民看到的結(jié)果就是網(wǎng)頁(yè)打不開(kāi)���。
網(wǎng)上購(gòu)物,網(wǎng)上支付有可能會(huì)被惡意指向別的網(wǎng)站,更加加大了個(gè)人賬戶泄密的風(fēng)險(xiǎn)�。網(wǎng)站內(nèi)出現(xiàn)惡意廣告。輕則影響網(wǎng)速�,重則不能上網(wǎng)。
DNS劫持方法
方式一:利用DNS服務(wù)器進(jìn)行DDOS攻擊
正常的DNS服務(wù)器遞歸詢問(wèn)過(guò)程可能被利用成DDOS攻擊�。
假設(shè)攻擊者已知被攻擊機(jī)器IP地址,然后攻擊者使用該地址作為發(fā)送解析命令的源地址��。這樣當(dāng)使用DNS服務(wù)器遞歸查詢后���,DNS服務(wù)器響應(yīng)給最初用戶����,而這個(gè)用戶正是被攻擊者��。那么如果攻擊者控制了足夠多的肉雞,反復(fù)的進(jìn)行如上操作��,那么被攻擊者就會(huì)受到來(lái)自于DNS服務(wù)器的響應(yīng)信息DDOS攻擊�,下為攻擊原理。
遞歸DNS獲得了某域名的IP地址后���,把所有信息都回復(fù)給源地址���,而此時(shí)的源地址就是被攻擊者的IP地址了。如果攻擊者擁有著足夠多的肉雞群�,那么就可以使被攻擊者的網(wǎng)絡(luò)被拖垮至發(fā)生中斷。
利用DNS服務(wù)器攻擊的重要挑戰(zhàn)是�����,攻擊者由于沒(méi)直接與被攻擊主機(jī)進(jìn)行通訊����,隱匿了自己行蹤�,讓受害者難以追查原始的攻擊來(lái)源。相對(duì)比較好的解決辦法就是可取消DNS服務(wù)器中允許人人查詢網(wǎng)址的遞回(recursive)功能��。
方式二:DNS緩存感染
攻擊者使用DNS請(qǐng)求�,將數(shù)據(jù)放入一個(gè)具有漏洞的DNS服務(wù)器的緩存當(dāng)中���。這些緩存信息會(huì)在客戶進(jìn)行DNS訪問(wèn)時(shí)返回給用戶,從而把用戶客戶對(duì)正常域名的訪問(wèn)引導(dǎo)到入侵者所設(shè)置掛馬����、釣魚(yú)等頁(yè)面上,或者通過(guò)偽造的郵件和其他的server服務(wù)獲取用戶口令信息�,導(dǎo)致客戶遭遇進(jìn)一步的侵害。
方式三:DNS信息劫持
原則上TCP/IP體系通過(guò)序列號(hào)等多種方式避免仿冒數(shù)據(jù)的插入���,但入侵者如果通過(guò)監(jiān)聽(tīng)客戶端和DNS服務(wù)器的對(duì)話��,就可以猜測(cè)服務(wù)器響應(yīng)給客戶端的DNS查詢ID���。
每個(gè)DNS報(bào)文包括一個(gè)相關(guān)聯(lián)的16位ID號(hào),DNS服務(wù)器根據(jù)這個(gè)ID號(hào)獲取請(qǐng)求源位置�。
攻擊者在DNS服務(wù)器之前將虛假的響應(yīng)交給用戶,從而欺騙客戶端去訪問(wèn)惡意的網(wǎng)站���。假設(shè)當(dāng)提交給某個(gè)域名服務(wù)器的域名解析請(qǐng)求的數(shù)據(jù)包被截獲�����,然后按截獲者的意圖將一個(gè)虛假的IP地址作為應(yīng)答信息返回給請(qǐng)求者�。這時(shí),原始請(qǐng)求者就會(huì)把這個(gè)虛假的IP地址作為它所要請(qǐng)求的域名而進(jìn)行連接����,顯然它被欺騙到了別處而根本連接不上自己想要連接的那個(gè)域名。
方式四:DNS重定向
攻擊者如果將DNS名稱查詢重定向到惡意DNS服務(wù)器�����。那么被劫持域名的解析就完全置于攻擊者的控制之下����。
網(wǎng)絡(luò)安全就是這樣子:不出事,說(shuō)你沒(méi)啥用;出事了才慌里慌張……就像橋上的欄桿����,平時(shí)也沒(méi)幾個(gè)人扶,但少了還真的不行�����。網(wǎng)絡(luò)安全也有點(diǎn)像賣保險(xiǎn)����,不出事都好……最后:安全,來(lái)自未雨綢繆����。
DNS域名解析過(guò)程
1.輸入網(wǎng)址
2.電腦發(fā)出一個(gè)DNS請(qǐng)求到本地DNS服務(wù)器(本地DNS服務(wù)器一般由網(wǎng)絡(luò)接入商提供,中國(guó)移動(dòng)�����、電信等)
3.本地服務(wù)器查詢緩存記錄���,有則直接返回結(jié)果�����。沒(méi)有則向DNS根服務(wù)器進(jìn)行查詢��。(根服務(wù)器沒(méi)有記錄具體的域名和IP地址對(duì)應(yīng)的關(guān)系)
4.告訴本地DNS服務(wù)器域服務(wù)器地址(此處為.com)
5.本地服務(wù)器向域服務(wù)器發(fā)出請(qǐng)求
6.域服務(wù)器告訴本地DNS服務(wù)器域名的解析服務(wù)器的地址
7.本地服務(wù)器向解析服務(wù)器發(fā)出請(qǐng)求
8.收到域名和IP地址的對(duì)應(yīng)關(guān)系
9.本地服務(wù)器把IP地址發(fā)給用戶電腦����,并保存對(duì)應(yīng)關(guān)系�,以備下次查詢
DNS,域名系統(tǒng)�,是互聯(lián)網(wǎng)上作為域名和IP地址相互映射的一個(gè)分布式數(shù)據(jù)庫(kù)。
DNS的記錄類型
域名與IP之間的對(duì)應(yīng)關(guān)系�,稱為"記錄"(record)。根據(jù)使用場(chǎng)景,"記錄"可以分成不同的類型(type)�����,前面已經(jīng)看到了有A記錄和NS記錄����。
常見(jiàn)的DNS記錄類型如下:
A
地址記錄(Address),返回域名指向的IP地址�。
NS
域名服務(wù)器記錄(Name Server),返回保存下一級(jí)域名信息的服務(wù)器地址��。該記錄只能設(shè)置為域名�����,不能設(shè)置為IP地址�。
MX
郵件記錄(Mail eXchange),返回接收電子郵件的服務(wù)器地址���。
CNAME
規(guī)范名稱記錄(Canonical Name)��,返回另一個(gè)域名��,即當(dāng)前查詢的域名是另一個(gè)域名的跳轉(zhuǎn),詳見(jiàn)下文。
PTR
逆向查詢記錄(Pointer Record)�����,只用于從IP地址查詢域名��。
一般來(lái)說(shuō)��,為了服務(wù)的安全可靠���,至少應(yīng)該有兩條NS 記錄���,而A記錄和MX記錄
如何防止DNS劫持
1、互聯(lián)網(wǎng)公司準(zhǔn)備兩個(gè)以上的域名���,一旦黑客進(jìn)行DNS攻擊��,用戶還可以訪問(wèn)另一個(gè)域名�。
2�����、手動(dòng)修改DNS:
在地址欄中輸入:http://192.168.1.1 (如果頁(yè)面不能顯示可嘗試輸入:http://192.168.0.1)�。
填寫(xiě)您路由器的用戶名和密碼���,點(diǎn)擊“確定”。
在“DHCP服務(wù)器—DHCP”服務(wù)中�,填寫(xiě)主DNS服務(wù)器為更可靠的114.114.114.114地址,備用DNS服務(wù)器為8.8.8.8����,點(diǎn)擊保存即可。
3�����、修改路由器密碼:
在地址欄中輸入:http://192.168.1.1 (如果頁(yè)面不能顯示可嘗試輸入:http://192.168.0.1)
填寫(xiě)您路由器的用戶名和密碼��,路由器初始用戶名為admin���,密碼也是admin�,如果您修改過(guò)�,則填寫(xiě)修改后的用戶名和密碼,點(diǎn)擊“確定”
填寫(xiě)正確后����,會(huì)進(jìn)入路由器密碼修改頁(yè)面,在系統(tǒng)工具——修改登錄口令頁(yè)面即可完成修改(原用戶名和口令和2中填寫(xiě)的一致)
歷史著名DNS劫持案例
新浪:DNS服務(wù)器出現(xiàn)域名無(wú)法解析故障
2012年1月30日�,正值春節(jié)之后的工作日��,新浪網(wǎng)卻慘遭訪問(wèn)故障�����,部分地區(qū)出現(xiàn)無(wú)法訪問(wèn)的情況,聯(lián)通用戶影響尤為嚴(yán)重��。根據(jù)新浪官方聲明����,正是因?yàn)镈NS服務(wù)器出現(xiàn)域名無(wú)法解析故障所致。該次故障持續(xù)時(shí)間較短����,但鑒于新浪在國(guó)內(nèi)的影響力,所以本次事件不得不提�����。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
