本文总结了DNS攻击的几种常见形式,包括DNS欺骗、DNS拒绝服务式攻击(DDoS)、DNS流量攻击以及KAMINSKY缓存投毒攻击。DNS欺骗通过返回错误IP使用户重定向至错误网站;DNS拒绝服务攻击则通过侵入DNS服务器或利用反弹式攻击消耗目标资源;DNS流量攻击通过不断发起不存在域名的查询增加服务器负担;KAMINSKY攻击则针对DNS缓存,通过随机序列污染授权资源记录。了解这些攻击方式有助于提高网络安全性。
最近看了一些DNS的攻击与安全,做一些总结。
由于最初DNS完全没有考虑安全问题,出名的如“First Answer Wins”原则,导致了如今涌现出的各种攻击:
1、DNS欺骗攻击
由于First Anwser Wins原理,只要能保证欺骗包先于合法包到达就可以达到欺骗的目的。DNS欺骗攻击
可能存在于客户端和DNS服务器间,也可能存在于各DNS服务器之间其工作原理是一致的。DNS欺骗攻击
通过监听客户端的递归解析要求,发送虚拟应答包,返回错误的IP,客户端先收到虚假包,将正确的
包丢弃,被重定向到错误网站。
2、DNS拒绝服务式攻击
拒绝服务攻击分两种(就是臭名昭著的DDOS):
A:欺骗式攻击
攻击者先执行利用型攻击(如缓冲区溢出、特洛伊木马等)侵入DNS服务器的高速缓存并诱导其存贮虚假
信息或获得root权限改变服务器的转换表是不同的域名映射到被攻击目标的IP。此时用户发出一个域名
解析请求,得到的是被攻击者的IP,被攻击目标会收到大量的网页连接报文,导致其资源耗尽甚至系统
崩溃而无法响应正常的请求。
B:反弹式攻击
攻击者发送源IP为被攻击目标IP的查询报文到大量开放的DNS服务器,DNS服务器把相应的应答报文发送
到被攻击目标,导致被攻击目标的带宽被完全消耗无法对外提供服务。
原理:为了支持DNSSEC、IPv6、NAPTR等其他DNS扩展系统,域名服务器对特定的查询报文返回应答报文
可超过512字节,此时,一个64字节的DNS查询报文就可产生一个大于4000字节
最低0.47元/天 解锁文章
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
