目录
如果错过互联网,与你擦肩而过的不仅仅是机会,而是整整一个时代。
域名(Domain Name)是面向用户提供域名解析服务的。
域名和IP地址保存在一个叫Hosts的文件中。早期计算机的IP发生变化需要到互联网管理中心申请变更,主机数量少的时候还可以手动维护,随着主机数量的增加,DNS应运而生。
DNS攻击方式
DNS劫持
域名劫持是通过恶意软件覆盖计算机的DNS配置,攻击或伪造DNS服务器,篡改域名解析结果,将其指向恶意DNS服务器。
要执行域名劫持,攻击者可以在用户系统上安装恶意软件或者攻击DNS通信接管路由器。域名劫持只能发生在特定范围,所以域名劫持通常会封锁正常DNS的IP。
DNS劫持攻击类型
- MITM攻击 :拦截用户和DNS服务器间的通信并提供非目标的IP,将用户重定向至恶意站点。
- 流氓DNS服务器 : 通过攻击DNS服务器,更改DNS记录,用户访问时直接重定向。
- 路由器劫持 : 攻击后接管路由器,篡改DNS设置,影响所有连接此路由器的所有用户。
- 本地DNS服务器 : 通过在用户主机上安装木马,更改本地DNS设置来重定向至恶意网站。
可以通过手动修改DNS,路由器密码等预防DNS劫持。
DNS缓存中毒
攻击者通过DNS服务器中的漏洞接管DNS服务器,将恶意数据写入系统,在用户请求时直接重定向至恶意网站。
检测措施:
- 保持杀毒软件激活且在线;
- 不要点击可以文件,链接等;
- 使用可靠的ISP,DNS服务器;
- 刷新DNS缓存;
- 检查网址;
- 重启路由器以清除其DNS缓存。
DNS放大(Dos)攻击
放大攻击是DDos攻击的一种,攻击者假冒主机地址作为源地址,向公共DNS服务器发送大量解析请求,导致主机(80或25端口)因为接受服务器返回结果而资源耗尽甚至崩溃。
DNS洪水攻击,也称为分布式拒绝服务攻击。攻击者向DNS服务器发送大量请求,泛洪期间,由于流量过载,连接到Internet的主机会中断,此时不会向任何用户提供服务。
DNS隧道攻击
通过将其他协议封装在DNS协议中,在攻击请求发送相关数据时,将敏感信息封装在DNS中向外发送。由于边界防火墙对DNS数据全部放行,所以该DNS数据会发送出去并被攻击者截获。
检测措施:
- DNS数据包检查:过大的话很可能封装了别的协议;
- DNS域名检查:恶意域名一般很长且存在数字字母相互结合的情况;
- DNS记录检查:检查内部DNS数量及种类,寻找异常DNS记录。
可通过内部建设私有DNS服务器,监视内部数据流量,建立DNS防火墙等预防隧道攻击。
DNS拼写仿冒
这是一种受DNS劫持启发的社会工程攻击技术,它利用域名中的错别字和拼写错误仿冒一个相似的网站,旨在说服用户提供个人敏感信息。
可以通过关闭不需要的DNS解析器,在合法的DNS解析器出布置防火墙,将名称服务器与DNS服务器分开,及时检查修复漏洞等方法防护。
GitHub是最大的代码托管平台之一,研究人员用它来发布PoC漏洞,以帮助安全社区验证漏洞的修复或确定一个漏洞的影响和范围。据莱顿高级计算机科学研究所的研究人员称,如果不包括被证实的恶作剧软件,以虚假PoC进行掩饰,实际上恶意软件的可能性约高达10.3%。提高警惕!有人在GitHub上利用虚假 PoC 漏洞钓鱼 - FreeBuf网络安全行业门户
目前,研究人员已经将他们发现的所有恶意软件库报告给GitHub,但在所有这些软件库被审查和删除之前,还需要一些时间,所以许多软件库仍然对公众开放。
本文外链文章作者Zhuolin,文章来自FreeBuf.COM