您当前的位置:首页 > 电脑百科 > 安全防护 > 网络安全

常见的DNS攻击类型与应对措施盘点

时间:2023-05-29 13:57:20  来源:  作者:中科三方

DNS解析是互联网中一项非常重要的功能,是用户访问网站的关键环节,我们日常工作生活使用网络都伴随着大量的DNS服务做支撑。DNS将用户容易记忆输入的域名指向可由计算机直接识别的IP地址,是确保用户通过域名访问网站,维持网络空间正常秩序的导航系统。

但DNS在设计之初只注重实用性和便捷性,而忽视了安全性,DNS查询过程通常是基于无连接不可靠的UDP协议,这就导致DNS查询过程中验证机制的缺失,黑客很容易利用该漏洞进行攻击。DNS服务器可能面临如下DNS攻击风险:

(1)黑客伪造客户端源IP地址发送大量的DNS请求报文,造成DNS request flood攻击。

(2)黑客伪造成授权服务器发送大量的DNS回应报文,造成DNS reply flood攻击。

(3)黑客篡改某些网站的域名和IP地址对应关系,导致用户访问被导向至其他网站。

(4)黑客向DNS服务器发送大量错误格式的DNS异常报文,或者发送大量超长DNS报文,导致DNS服务器处理这些报文时出现异常,拒绝正常服务。

接下来我们重点介绍常见的一些DNS攻击以及相应的防御措施。

DNS Request Flood 攻击与防御

DNS request flood攻击原理非常简单,就是黑客通过控制僵尸网络向DNS服务器发送大量域名的解析请求,导致DNS服务器因大量解析请求而过载,无法响应正常用户的DNS请求。

在DNS request flood攻击过程中,攻击目标可能是权威服务器,也可能是递归服务器,攻击目标不同,所采用的防御手段也不同。对于递归服务器,向它发送DNS请求的是终端用户,所以防御过程中,需要判定这个DNS请求是否是由真实的浏览器客户端发出;而对于权威服务器,向它发送DNS请求的可能就是递归服务器,所以认证方式也应有所不同。

1.针对虚假源攻击

授权服务器源认证(即ns重定向方式),可以有效防御DNS Request Flood虚假源攻击。重定向只针对访问受攻击域名的源IP地址实施,以减少误判和避免对正常业务的访问延时。

基于目的地址对DNS Request报文的速率进行统计,当DNS request报文的速率超过阈值时,启动重定向。

(1)返回给请求源一个别名地址,如果请求源是虚假源,则不会回应重定向报文,认证不通过报文丢弃。

(2)如果请求源是真实源,则重新请求发送的重定向地址。认证通过将此真实源加入白名单。

(3)再次重定向正确的地址,请求源重新请求正确地址,报文命中白名单,直接放行到达授权服务器,完成报文交互。

2.针对真实源攻击

如果是真实源攻击,经过上述防御过程后,通过的DNS报文还很大,则可以继续采用以下方式进行防御。

(1)DNS请求报文限速:对于大流量的DNS request flood攻击是一种非常有效的防御方式。

(2)DNS request报文限速源IP行为控制,丢弃超出阈值的DNS request报文。

(3)另外还需要对异常DNS报文进行检查,将非标准格式的DNS报文直接丢弃。

DNS Reply Flood 攻击与防御

DNS服务器收到DNS回应报文时,不管自己有没有发过解析请求,都会处理这些DNS回应报文。DNS reply flood攻击是黑客发送大量的DNS回应报文到DNS缓存服务器,导致缓存服务器因为处理这些DNS回应报文而耗尽资源,影响正常业务的过程。

DNS reply flood大多都是虚假源攻击,黑客控制僵尸主机发出的DNS reply报文的源IP地址通常都是伪造的,是不存在的,所以在防御的时候,就可以从回应源IP地址的真假性入手,判定这个源IP是否是真实源。

针对DNS reply flood攻击的应对方式主要有:

1.DNS reply报文限速

DNS reply报文限速对于大流量的DNS Reply flood攻击是一种非常有效的防御手段,主要分为对指定域名限速和对指定IP限速两种,分别将匹配了指定域名和指定IP的DNS reply报文进行限速,将超过阈值的DNS reply报文直接丢弃处理。

2.异常DNS报文的检查

除DNS reply报文限速外,还可以针对异常DNS报文进行检查,从而过滤掉恶意的DNS请求数据。

(1)DNS报文格式:对DNS报文格式进行检查,将非标准的DNS报文直接丢弃。

(2)DNS报文长度:通常情况下,基于UDP协议的DNS协议长度都不大于512字节,而很多DNS flood经常采用超大DNS报文以造成链路堵塞,因此可以将报文长度作为检测DNS报文是否正常的一个标准,当DNS报文长度超过阈值时,直接将DNS报文丢弃处理 。

(3)DNS报文的TTL值

将DNS报文的跳数限制在DNS报文允许跳数范围内,当DNS报文的跳数超出阈值时,直接丢弃该DNS请求报文。

此外,还有一种升级版的DNS reply flood攻击,它的破坏性更强,这就是DNS反射攻击。

黑客将自己的源IP地址伪造成被攻击目标的IP地址,然后向网络中开放的DNS服务器发送大量的查询请求。

由于DNS回应报文通常是请求报文的几倍甚至几十倍,这些放大后的DNS回应报文被引导至被攻击目标,导致网络拥塞,拒绝正常服务器,从而达到放大攻击的效果。

DNS反射攻击和前面介绍的传统DNS reply flood攻击有两点本质的不同。

(1)传统DNS reply flood攻击的攻击目标一般是DNS缓存服务器;而DNS反射攻击的攻击目标一般是客户端。

(2)传统DNS reply flood攻击大多是虚假源攻击,而在DNS反射攻击中,DNS请求报文都是真实的,DNS回应报文也都是真实的。

DNS 缓存投毒攻击

在实际的DNS解析过程中,当用户对某个域名发起请求时,递归服务器首先会查看自身的DNS缓存,如果缓存中恰好有该域名的记录,就会直接将结果返回给用户,用户对所得的IP地址发起访问。如果缓存中没有记录,才会发起全球解析查询。

这种查询机制,缩短了解析查询的时间,可以让用户获得更快的访问体验,但也存在一定的安全风险。如果攻击者通过控制用户的主机或者使用恶意软件攻击用户的DNS缓存,就可以对DNS缓存中的域名映射关系进行篡改,将域名解析结果指向一个虚假IP。

在这种情况下,用户对该网站发起请求时,通过DNS系统的解析会直接将虚假的映射关系返给用户,将用户引导至虚假站点之上,从而造成信息泄露,财产安全受到影响。

针对DNS缓存投毒,主要有以下几种应对措施:

1.使用可信的ISP或DNS服务器

由于用户的计算机通常会直接使用ISP所提供的DNS服务器。因此,尽量选择信誉良好且配备了全面安全措施的ISP,才能有效预防缓存投毒。如果不放心ISP提供的默认DNS服务器的话,也可以自行改用其他可信的DNS服务器,以减少受攻击的可能性。

2.刷新DNS缓存

为了获取最新的DNS解析记录,预防遭受DNS缓存投毒攻击,用户可以定期对自己的系统进行DNS缓存清理工作,操作方法:Win+R快捷键→输入:cmd→输入:ipconfig/flushdns→回车。

3.复查访问过的目标网站

虽然计算机会机械地认为,只要你输入的网站URL没错的话,它访问到的就是真实的IP地址。但是我们可以更谨慎地检查访问的网站是否是目标网站,检查网页的地址栏上是否有HTTPS加密,以及它的界面是否看起来可疑。一旦发现自己访问的是虚假网站,立即退出该网站,并执行病毒扫描和DNS缓存刷新。

4.重新启动路由器以清除其DNS缓存

我们常用的路由器也可能带有自己的DNS缓存功能,它们和上面提到的用户计算机以及DNS服务器一样,容易受到DNS投毒的攻击。因此,定期重启路由器,将有利于清除已有的DNS缓存,并重新获取新的映射记录。



Tags:DNS攻击   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
常见的DNS攻击类型与应对措施盘点
DNS解析是互联网中一项非常重要的功能,是用户访问网站的关键环节,我们日常工作生活使用网络都伴随着大量的DNS服务做支撑。DNS将用户容易记忆输入的域名指向可由计算机直接识...【详细内容】
2023-05-29  Search: DNS攻击  点击:(210)  评论:(0)  加入收藏
▌简易百科推荐
2023年最需要注意的九大安全威胁
2023年又是全球网络安全威胁形势持续严峻,在叠加了地缘政治、经济竞争的因素后,具有政府/组织背景的APT组织屡屡在网络功空间之中兴风作浪,而各种新兴技术的应用也催生了大量的...【详细内容】
2023-12-21    FreeBuf.COM  Tags:安全威胁   点击:(98)  评论:(0)  加入收藏
IP地址攻击与防范措施:维护网络安全的关键
IP地址是互联网通信的基本组成部分,然而,它也成为网络攻击的目标。本文将深入探讨IP地址可能面临的攻击方式,以及如何采取有效的防范措施来维护网络的安全。第一部分:IP地址攻击...【详细内容】
2023-12-19  IP数据云    Tags:IP地址   点击:(133)  评论:(0)  加入收藏
CSRF攻击:一种不可忽视的网络威胁
随着网络技术的飞速发展,网络安全问题日益凸显。其中,CSRF(Cross-siteRequestForgery,跨站请求伪造)攻击成为了一种常见的网络威胁,给企业和个人带来了严重的安全隐患。本文将详细...【详细内容】
2023-12-19  小青爱生活    Tags:CSRF攻击   点击:(122)  评论:(0)  加入收藏
2024年影响安全领域的五大技术趋势
即使对于我们这些在科技行业工作了几十年的人来说,过去12个月的变化速度也是惊人的。我们再次确信,技术创新不仅带来了巨大的机遇,也带来了比我们以前面临的更复杂的挑战,而且没...【详细内容】
2023-12-11    千家网  Tags:安全领域   点击:(146)  评论:(0)  加入收藏
网络安全工程师都要了解的勒索威胁新趋势
Zscaler 安全威胁实验室发布《2023 年全球勒索软件报告》中预测了未来将出现的7个勒索威胁新趋势。一、公共服务设施成为勒索软件攻击的目标增加。市政服务部门、执法部门、...【详细内容】
2023-11-16  网盾网络安全培训中心    Tags:网络安全   点击:(210)  评论:(0)  加入收藏
威胁情报趋势
威胁情报是指对各种威胁的收集、分析和推测,以便提前预防和应对威胁。随着技术的不断发展,威胁情报的趋势也在不断变化。本文将对当前的威胁情报趋势进行深入解析,并展望未来可...【详细内容】
2023-11-08  信安天途    Tags:威胁情报   点击:(209)  评论:(0)  加入收藏
如何防范生成式AI的钓鱼邮件攻击
今年ChatGPT火爆全网,近年来AI人工智能取得了长足的进步,给各行各业带来了革命性的变化。然而,与任何技术一样,总是有人试图利用它来达到恶意目的。如今,黑客正在使用一种名为Wor...【详细内容】
2023-10-26  区块软件开发  今日头条  Tags:钓鱼邮件   点击:(231)  评论:(0)  加入收藏
杭州亚运会大火背后,是网安和黑产的疯狂对抗
10月8日晚,第十九届亚运会在杭州圆满落幕,中国代表团以201枚金牌的佳绩耀居榜首,成为历届亚运会以来金牌数量首次突破200枚的国家。根据亚运会主新闻发言人毛根洪10月7日在杭州...【详细内容】
2023-10-12  互盟数据中心    Tags:网安   点击:(344)  评论:(0)  加入收藏
Web 安全之 HSTS 详解和使用
HSTS(HTTP Strict Transport Security) 是一种网络安全机制,可用于防范网络攻击,例如中间人攻击和 CSRF(Cross-Site Request Forgery)等攻击。本文将详细介绍 HSTS 的工作原理、应...【详细内容】
2023-09-27  路多辛  今日头条  Tags:HSTS   点击:(249)  评论:(0)  加入收藏
如何使用Noir从源代码检测攻击面
关于NoirNoir是一款功能强大的代码安全检测工具,在该工具的帮助下,广大研究人员能够轻松从源代码层面检测目标应用程序的潜在攻击面。功能介绍1、从源代码自动识别编程语言和...【详细内容】
2023-09-27    FreeBuf.COM  Tags:Noir   点击:(373)  评论:(0)  加入收藏
相关文章
    无相关信息
站内最新
站内热门
站内头条