常见的DNS攻击类型与应对措施盘点(中科三方)

news2024/12/23 10:36:13

DNS解析是互联网中一项非常重要的功能,是用户访问网站的关键环节,我们日常工作生活使用网络都伴随着大量的DNS服务做支撑。DNS将用户容易记忆输入的域名指向可由计算机直接识别的IP地址,是确保用户通过域名访问网站,维持网络空间正常秩序的导航系统。

但DNS在设计之初只注重实用性和便捷性,而忽视了安全性,DNS查询过程通常是基于无连接不可靠的UDP协议,这就导致DNS查询过程中验证机制的缺失,黑客很容易利用该漏洞进行攻击。DNS服务器可能面临如下DNS攻击风险:

(1)黑客伪造客户端源IP地址发送大量的DNS请求报文,造成DNS request flood攻击。

(2)黑客伪造成授权服务器发送大量的DNS回应报文,造成DNS reply flood攻击。

(3)黑客篡改某些网站的域名和IP地址对应关系,导致用户访问被导向至其他网站。

(4)黑客向DNS服务器发送大量错误格式的DNS异常报文,或者发送大量超长DNS报文,导致DNS服务器处理这些报文时出现异常,拒绝正常服务。

接下来我们重点介绍常见的一些DNS攻击以及相应的防御措施。

DNS Request Flood 攻击与防御

DNS request flood攻击原理非常简单,就是黑客通过控制僵尸网络向DNS服务器发送大量域名的解析请求,导致DNS服务器因大量解析请求而过载,无法响应正常用户的DNS请求。

在DNS request flood攻击过程中,攻击目标可能是权威服务器,也可能是递归服务器,攻击目标不同,所采用的防御手段也不同。对于递归服务器,向它发送DNS请求的是终端用户,所以防御过程中,需要判定这个DNS请求是否是由真实的浏览器客户端发出;而对于权威服务器,向它发送DNS请求的可能就是递归服务器,所以认证方式也应有所不同。
在这里插入图片描述
1.针对虚假源攻击

授权服务器源认证(即ns重定向方式),可以有效防御DNS Request Flood虚假源攻击。重定向只针对访问受攻击域名的源IP地址实施,以减少误判和避免对正常业务的访问延时。

基于目的地址对DNS Request报文的速率进行统计,当DNS request报文的速率超过阈值时,启动重定向。

(1)返回给请求源一个别名地址,如果请求源是虚假源,则不会回应重定向报文,认证不通过报文丢弃。

(2)如果请求源是真实源,则重新请求发送的重定向地址。认证通过将此真实源加入白名单。

(3)再次重定向正确的地址,请求源重新请求正确地址,报文命中白名单,直接放行到达授权服务器,完成报文交互。

2.针对真实源攻击

如果是真实源攻击,经过上述防御过程后,通过的DNS报文还很大,则可以继续采用以下方式进行防御。

(1)DNS请求报文限速:对于大流量的DNS request flood攻击是一种非常有效的防御方式。

(2)DNS request报文限速源IP行为控制,丢弃超出阈值的DNS request报文。

(3)另外还需要对异常DNS报文进行检查,将非标准格式的DNS报文直接丢弃。

DNS Reply Flood 攻击与防御

DNS服务器收到DNS回应报文时,不管自己有没有发过解析请求,都会处理这些DNS回应报文。DNS reply flood攻击是黑客发送大量的DNS回应报文到DNS缓存服务器,导致缓存服务器因为处理这些DNS回应报文而耗尽资源,影响正常业务的过程。

DNS reply flood大多都是虚假源攻击,黑客控制僵尸主机发出的DNS reply报文的源IP地址通常都是伪造的,是不存在的,所以在防御的时候,就可以从回应源IP地址的真假性入手,判定这个源IP是否是真实源。
在这里插入图片描述
针对DNS reply flood攻击的应对方式主要有:

1.DNS reply报文限速

DNS reply报文限速对于大流量的DNS Reply flood攻击是一种非常有效的防御手段,主要分为对指定域名限速和对指定IP限速两种,分别将匹配了指定域名和指定IP的DNS reply报文进行限速,将超过阈值的DNS reply报文直接丢弃处理。

2.异常DNS报文的检查

除DNS reply报文限速外,还可以针对异常DNS报文进行检查,从而过滤掉恶意的DNS请求数据。

(1)DNS报文格式:对DNS报文格式进行检查,将非标准的DNS报文直接丢弃。

(2)DNS报文长度:通常情况下,基于UDP协议的DNS协议长度都不大于512字节,而很多DNS flood经常采用超大DNS报文以造成链路堵塞,因此可以将报文长度作为检测DNS报文是否正常的一个标准,当DNS报文长度超过阈值时,直接将DNS报文丢弃处理 。

(3)DNS报文的TTL值

将DNS报文的跳数限制在DNS报文允许跳数范围内,当DNS报文的跳数超出阈值时,直接丢弃该DNS请求报文。

此外,还有一种升级版的DNS reply flood攻击,它的破坏性更强,这就是DNS反射攻击。

黑客将自己的源IP地址伪造成被攻击目标的IP地址,然后向网络中开放的DNS服务器发送大量的查询请求。

由于DNS回应报文通常是请求报文的几倍甚至几十倍,这些放大后的DNS回应报文被引导至被攻击目标,导致网络拥塞,拒绝正常服务器,从而达到放大攻击的效果。

DNS反射攻击和前面介绍的传统DNS reply flood攻击有两点本质的不同。

(1)传统DNS reply flood攻击的攻击目标一般是DNS缓存服务器;而DNS反射攻击的攻击目标一般是客户端。

(2)传统DNS reply flood攻击大多是虚假源攻击,而在DNS反射攻击中,DNS请求报文都是真实的,DNS回应报文也都是真实的。

DNS 缓存投毒攻击

在实际的DNS解析过程中,当用户对某个域名发起请求时,递归服务器首先会查看自身的DNS缓存,如果缓存中恰好有该域名的记录,就会直接将结果返回给用户,用户对所得的IP地址发起访问。如果缓存中没有记录,才会发起全球解析查询。

这种查询机制,缩短了解析查询的时间,可以让用户获得更快的访问体验,但也存在一定的安全风险。如果攻击者通过控制用户的主机或者使用恶意软件攻击用户的DNS缓存,就可以对DNS缓存中的域名映射关系进行篡改,将域名解析结果指向一个虚假IP。
在这里插入图片描述
在这种情况下,用户对该网站发起请求时,通过DNS系统的解析会直接将虚假的映射关系返给用户,将用户引导至虚假站点之上,从而造成信息泄露,财产安全受到影响。

针对DNS缓存投毒,主要有以下几种应对措施:

1.使用可信的ISP或DNS服务器

由于用户的计算机通常会直接使用ISP所提供的DNS服务器。因此,尽量选择信誉良好且配备了全面安全措施的ISP,才能有效预防缓存投毒。如果不放心ISP提供的默认DNS服务器的话,也可以自行改用其他可信的DNS服务器,以减少受攻击的可能性。

2.刷新DNS缓存

为了获取最新的DNS解析记录,预防遭受DNS缓存投毒攻击,用户可以定期对自己的系统进行DNS缓存清理工作,操作方法:Win+R快捷键→输入:cmd→输入:ipconfig/flushdns→回车。

3.复查访问过的目标网站

虽然计算机会机械地认为,只要你输入的网站URL没错的话,它访问到的就是真实的IP地址。但是我们可以更谨慎地检查访问的网站是否是目标网站,检查网页的地址栏上是否有HTTPS加密,以及它的界面是否看起来可疑。一旦发现自己访问的是虚假网站,立即退出该网站,并执行病毒扫描和DNS缓存刷新。

4.重新启动路由器以清除其DNS缓存

我们常用的路由器也可能带有自己的DNS缓存功能,它们和上面提到的用户计算机以及DNS服务器一样,容易受到DNS投毒的攻击。因此,定期重启路由器,将有利于清除已有的DNS缓存,并重新获取新的映射记录。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/584392.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

电脑一直自检无法开机怎么办?

电脑一直自检无法开机是指电脑自检程序一直处于检查中无法进入系统,从而导致电脑无法开机。在了解电脑一直自检无法开机之前,我们需要明白电脑自检程序检测的是什么。 电脑自检也称加电自检(POST,Power On Self Test),电脑在接通电…

DVWA靶场的安装-超详细

一、安装phpstudy环境 phpstudy下载地址;小皮面板(phpstudy) - 让天下没有难配的服务器环境! 二、下载DVWA包 VWA官网 http://www.dvwa.co.uk/ 下载DWVA压缩包DVWA-master.zip,很小只有1M多 三、安装DVWA 1、解压DVWA压缩到phpstudy/www&…

国产IC芯片自动化测试系统ATECLOUD,助力芯片测试自动化

IC芯片测试成本是影响制造和加工成本的重要因素。在某些情况下,测试成本可能占到器件总成本的40%左右。为了降低测试成本,可以优化测试程序并研发多工位测试。同时,必须平衡良品率和测试时间,以实现最佳的成本控制。本篇文章纳米软…

【JavaSE】Java基础语法(三十):HashMap与TreeMap

文章目录 1. HashMap1.1 HashMap集合概述和特点1.2 HashMap集合应用案例 2. TreeMap2.1 TreeMap集合概述和特点2.2 TreeMap集合应用案例一2.3 TreeMap集合应用案例二 3. 总结 1. HashMap 1.1 HashMap集合概述和特点 HashMap底层是哈希表结构的依赖hashCode方法和equals方法保…

Xline 持久化存储设计与实现

01、引言 在 Xline 早期的原型阶段,我们采用了基于内存的存储来实现数据的持久化。这虽然简化了 Xline 原型设计的复杂度,提高了项目的开发和迭代速度,但带来的影响也是显著的:由于数据都存储在内存当中,因此一旦当进…

TOOM舆情监控黑科技:AI破解人心,预测社会未来!

近年来,随着人工智能技术的快速发展,舆情监控正逐渐进入一个全新的时代。利用人工智能技术,舆情监控能够洞察人心,预测社会未来的走向,这项黑科技引发了广泛的关注和探讨。 舆情监控是通过对社会舆论的搜集、分析和评…

盛元广通生物样本库管理系统

生物样本库管理系统,作为一种高效、智能化的信息管理工具,在现代生物研究中扮演着重要的角色。随着科学技术的不断进步,生物样本的采集、保存和管理变得越来越重要,而盛元广通生物样本库管理系统正是为了解决这一问题而应运而生的…

无缝对接多语言:参数校验的终极指南(一)!

前言 在此之前,写过在两篇文章,是关于如何在 SpringBoot 内实现统一参数校验和自定义校验注解的。毕竟作为后端来讲,对于前端传来的数据,需要保持高度的警惕。避免出现异常数据,导致系统异常。统一参数校验和自定义校验…

现在的00后,真是卷死了呀,辞职信已经写好准备提交了·····

都说00后躺平了,但是有一说一,该卷的还是卷。这不,四月份春招我们公司来了个00后,工作没两年,跳槽到我们公司起薪22K,都快接近我了。 后来才知道人家是个卷王,从早干到晚就差搬张床到工位睡觉了…

自从用了 EasyExcel,导入导出 Excel 更简单了!

EasyExcel 在做excel导入导出的时候,发现项目中封装的工具类及其难用,于是去gitHub上找了一些相关的框架,最终选定了EasyExcel。之前早有听闻该框架,但是一直没有去了解,这次借此学习一波,提高以后的工作效率。 实际使用中,发现…

服了呀,00后怎么这么卷....

现在的小年轻真的卷得过分了。前段时间我们公司来了个00年的,工作没两年,跳槽到我们公司起薪18K,都快接近我了。后来才知道人家是个卷王,从早干到晚就差搬张床到工位睡觉了。 最近和他聊了一次天,原来这位小老弟家里条…

FDA辅料数据库-在线查询网址

在药物的制剂研发过程中,辅料是不可或缺的。然而,在使用辅料时需要明确其安全使用量,这并非易事。因此,美国FDA 辅料数据库(IID)成为了一个重要的参考标准,对于制剂开发提供了帮助。 如果研发人…

《汇编语言》- 读书笔记 - 第7章- 更灵活的定位内存地址的方法

《汇编语言》- 读书笔记 - 第7章- 更灵活的定位内存地址的方法 7.1 and 和 or 指令7.2 关于 ASCII 码7.3 以字符形式给出的数据程序 7.1 7.4 大小写转换的问题7.5 [bxidata] (变量 固定偏移量)问题 7.1 7.6 用[bxidata]的方式进行数组的处理7.7 SI 和 D…

软件测试测试环境搭建很难?一天学会这份测试环境搭建教程

如何搭建测试环境?这既是一道高频面试题,又是困扰很多小伙伴的难题。因为你在网上找到的大多数教程,乃至在一些培训机构的课程,都不会有详细的说明。 你能找到的大多数项目,是在本机电脑环境搭建环境,或是…

Linux服务器上如何安装OpenCV的库?

Linux上安装OpenCV其实挺简单的。对于Python来说,可以直接使用pip进行安装,如: pip3 install opencv-python 当然,如果你是想在C或者Java内作为外部包使用,你可以考虑编译安装。 安装依赖 首先是依赖安装问题&#…

LED屏控制卡

LED屏控制卡(LED Screen Control Card)是一种用于控制和管理LED显示屏的关键设备。它通常是一个硬件设备,具有处理器、存储器、接口和软件功能,用于接收、解码和显示图像、视频和其他多媒体内容。 以下是LED屏控制卡的一些重要特点…

JVM (基础概念、类加载过程、垃圾回收算法)

目录 一、JVM 是什么 二、JVM 运行流程 三、Java运行时数据区 1、程序计数器(线程私有) 2、栈区(线程私有) 3、堆 4、方法区 四、OOM内存溢出和内存泄漏 1、OOM内存溢出 2、内存泄漏 五、类加载过程 1、加载 2、连接…

PMP课堂模拟题目及解析(第14期)

131. 项目经理正在制定干系人参与计划,并识别到一位权力等级较高但在项目中兴趣较低的干系人,项目经理应该如何对待该干系人? A. 重点管理 B. 随时告知 C. 监督 D. 令其满意 132. 项目经理识别到项目干系人具有明显不同的需求和期望。…

不合格机器人工程专业讲师笔记-230529-

工作八年,最大的遗憾,就是对不起学生,对不起同事,对不起领导,各项工作都没有做好。 但是由于个人水平低,能力差,唯一能做的就是在忏悔中不断总结,避免一次又一次失败。 一万句&…

别让测试岗位的坑太大,10年老鸟亲身经历告诉你如何避开陷阱

测试岗位一直是IT行业中备受争议的一个职业,有人看重其重要性,有人则认为这是个巨坑。如果你也对测试岗位存在疑虑和担忧,那么这篇文章一定能帮到你! 作者是一位在测试领域摸爬滚打了10年的老鸟,他深刻地理解了测试工…