什么是 DNS 中毒?

已发表: 2022-11-12

您想知道什么是 DNS 中毒吗? DNS 中毒方法,也称为 DNS 缓存中毒和 DNS 欺骗,是一种高度复杂的网络攻击,可在虚假服务器和网络钓鱼网站之间重定向 Web 流量。

黑客可以使用虚假网站来诱骗访问者分享敏感信息,因为它们通常看起来与用户的预期目的地相似。

本文将解释 DNS 中毒,它是如何工作的,为什么它如此危险,以及如何防止 DNS 欺骗和 DNS 中毒与 DNS 欺骗。

什么是 DNS 中毒?

将虚假信息注入 DNS 缓存的做法称为 DNS 缓存中毒,因为错误的响应返回给 DNS 查询,导致用户被引导到错误的网站。

还有一个称为 DNS Spoofing 的术语是指 DNS 中毒。 IP 地址是互联网的“房间号”,可以将网络流量引导到正确的位置。

DNS 解析器缓存通常被称为“校园目录”,当它们不正确时,流量会被重定向到错误的位置,直到缓存的信息得到更正。

如果 DNS 解析器无法验证其缓存中的数据,则不正确的 DNS 信息会保留在缓存中,直到生存时间 (TTL) 到期或被解析器手动删除。

由于几个漏洞,DNS 中毒是可能的,但主要问题是 DNS 是为基于信任的相对较小的 Internet 设计的,类似于 BGP。

为了解决其中一些问题,已经提出了更安全的 DNS 协议 DNSSEC,但尚未得到广泛接受。

DNS 中毒是如何工作的?

DNS 解析器将在特定时间段内存储对 IP 地址查询的响应。

这允许解析器更快地响应未来的查询,而无需与传统 DNS 解析过程中涉及的许多服务器进行通信。

DNS 解析器在与 IP 地址关联的指定生存时间 (TTL) 期间将响应保存在其缓存中。

DNS 未缓存响应:

DNS 未缓存响应

DNS缓存响应:

DNS 缓存响应

为什么 DNS 中毒如此危险?

对于个人和组织而言,DNS 中毒存在多种风险。

由于 DNS 中毒,一旦设备受到攻击,尤其是 DNS 缓存中毒,设备解决问题​​可能会变得具有挑战性,因为它会默认访问非法网站。

用户难以检测到 DNS 中毒问题,特别是如果黑客建立虚假网站以引导访问者访问看起来与真实网站几乎相同的网站,则进一步加剧了 DNS 中毒问题。

当网站是假的时,用户不太可能意识到他们正在输入敏感信息,却没有意识到他们将自己和/或他们的组织暴露于严重的安全威胁之下。

通常,这些类型的攻击会带来以下风险:

病毒和恶意软件

定向到欺诈性网站的用户一旦访问这些网站,就可能感染病毒和恶意软件。

许多类型的恶意软件可用于访问设备及其数据,从感染其设备的病毒到为黑客提供对其设备和数据的持续访问的恶意软件。

盗窃

通过使用 DNS 投毒,黑客可以窃取信息,包括安全站点的登录信息、个人身份信息(如社会安全号码)以及敏感信息(如支付详情)。

安全拦截器

恶意行为者可以使用 DNS 中毒作为对设备造成严重长期损害的一种手段,方法是阻止设备接收可增强其安全性的关键补丁和更新。

这种方法可能会使设备随着时间的推移变得越来越脆弱,从而使它们受到木马和病毒以及许多其他类型的攻击的攻击。

审查制度

过去,政府通过 DNS 中毒来干扰其国家的网络流量,以审查 Internet 上的某些信息。

这些政府通过这种干预方法有效地阻止了公民访问包含他们不希望接触到的信息的网站。

DNS 欺骗攻击示例

有各种 DNS 欺骗攻击示例。 网络攻击者在历史上一直使用越来越复杂的策略来欺骗 DNS 地址。

无法保证每次 DNS 欺骗攻击看起来都一样; 但是,典型的 DNS 欺骗场景可能如下所示:

  1. 攻击者可以拦截客户端计算机和目标网站的服务器计算机之间的通信。
  2. 攻击者可以使用诸如arpspoof之类的工具来欺骗客户端和服务器,从而通过欺骗双方来跟踪指向攻击者服务器的恶意 IP 地址。
  3. 作为攻击的一部分,攻击者创建了一个虚假网站,恶意 IP 地址在其中路由用户以获取有关他们的敏感信息。

如何防止 DNS 欺骗

DNS 欺骗和缓存中毒都很难检测到,因为它们会同时影响消费者设备和 DNS 服务器。

尽管如此,个人和企业仍可以采取措施降低成为网络攻击受害者的风险。

以下是一些防止 DNS 欺骗攻击的方法:

永远不要点击不熟悉的链接

恶意网站会显示虚假广告或提示您单击链接的通知。

如果您单击不熟悉的链接,您的设备可能会受到病毒和恶意软件的攻击。 最好避免在您通常使用的网站上点击不熟悉的链接或广告。

设置 DNSSEC

DNSSEC 代表域名系统安全扩展,用于验证 DNS 数据的完整性和 DNS 记录的来源。

在 DNS 的原始设计中没有这样的验证,这就是为什么 DNS 中毒是可能的。

与 TLS/SSL 类似,DNSSEC 使用公钥加密来验证和验证数据。

DNSSEC 扩展于 2005 年发布,但 DNSSEC 尚未成为主流,这使得 DNS 仍然容易受到攻击。

DNSSEC 为 DNS 数据分配数字签名并分析根域的证书以验证每个响应是否真实。 因此,它是修复 DNS 中毒的绝佳方法。

这样,每个 DNS 响应都来自合法网站。

不幸的是,由于 DNSSEC 未被广泛使用,因此大多数域的 DNS 数据仍未加密

扫描并删除恶意软件

由于攻击者经常使用 DNS 欺骗来传播病毒、蠕虫和其他类型的恶意软件,因此您应该确保定期扫描您的设备以查找病毒、蠕虫和其他恶意软件威胁。

安装防病毒软件将使您能够识别威胁并将其删除。 此外,如果您拥有网站或 DNS 服务器,则可以安装工具来检测 DNS 欺骗。 这些系统扫描所有传出数据以确保其合法。

使用 VPN

使用虚拟专用网络 (VPN) 可提供额外一层保护,防止攻击者进行在线跟踪。

与将您的设备连接到互联网提供商的本地服务器不同,VPN 将您连接到世界各地使用端到端加密的私有 DNS 服务器。

这样做的好处是可以防止攻击者拦截您的流量,并且您可以连接到更好地防止 DNS 欺骗的 DNS 服务器。

验证您的连接是否安全

乍一看,通常很难区分恶意网站和合法网站,但有几种方法可以确定您是否连接到真实网站。

使用 Google Chrome,您会在地址栏中的 URL 左侧看到一个灰色的小挂锁符号。

这表明谷歌已经信任了域名托管服务商的安全证书,并且该网站不是另一个网站的复制品。

如果您尝试访问不安全的站点,您的浏览器会提醒您。 如果有消息警告您,您的连接可能不安全。

在这种情况下,您尝试访问的站点可能是欺骗站点或没有有效的 SSL 证书。

要检测的更复杂的网络攻击类型之一是 DNS 欺骗,但您可以采取各种策略来保护您自己和您的数据。

考虑安装可靠的防病毒程序或虚拟专用网络 (VPN),以保护自己免受未来的网络攻击。

DNS 欺骗与 DNS 中毒

DNS 中毒和欺骗的影响是相似的,但在几个方面有所不同。 在这两种情况下,用户都被诱骗泄露敏感信息,从而导致在目标计算机上安装恶意软件。

由于 DNS 欺骗和中毒,用户通过公共无线网络与服务器通信存在身份盗用和数据中毒的风险。

DNS 中毒会更改存储 IP 地址的解析器或 DNS 服务器上的条目。 因此,如果来自 Internet 上任何地方的用户使用受毒 DNS 服务器的条目,他们将被重定向到恶意攻击者的站点。

根据中毒的服务器,中毒可能会影响全球用户。 DNS 欺骗攻击是一个更广泛的术语,指的是对 DNS 记录的操纵。

更改 DNS 记录并强制用户访问攻击者控制的站点被视为欺骗,包括中毒。

欺骗攻击可能导致对本地网络的直接攻击,攻击者可以在其中毒害易受攻击的机器的 DNS 记录,从而窃取商业或个人数据。

经常问的问题

在本节中,我们将为您提供一些常见问题的答案:

什么是 DNS?

域名系统 (DNS) 是将域名(对于用户)转换为 IP 地址(对于机器)的系统。

每个连接到 Internet 的设备都被分配了一个唯一的 IP 地址。 此地址允许其他机器定位该设备。

有了 DNS,用户不再需要记住冗长而复杂的 IP 地址,而可以使用简单的域名。

如何检测 DNS 缓存中毒?

可以使用监控 DNS 活动的数据分析解决方案来检测 DNS 缓存中毒。
DNS中毒有几个指标:

1. 来自向您的 DNS 服务器查询多个域名而不返回响应的来源的 DNS 请求增加。

2. 从单一来源到一个域的 DNS 活动显着增加。

网站所有者有哪些防止 DNS 欺骗攻击的最佳技巧?

1. 不要点击你不熟悉的链接。

2. 清理您的 DNS 缓存以删除任何已被感染的数据。

3. 使用虚拟专用网络 (VPN),您可以通过端到端加密服务器加密所有网络流量。

4. 您应该检查您的 URL 地址栏是否有拼写错误,以确保您被引导到正确的站点。

结论

本文讨论了 DNS 中毒、它是如何工作的、为什么它如此危险、如何防止 DNS 欺骗以及 DNS 中毒与 DNS 欺骗。

我们希望这篇文章能为您提供有用的信息。 如果您有任何问题或意见,请随时在评论部分发表。

我们撰写的最新文章可在 Facebook 和 Twitter 上找到,因此我们鼓励您在那里关注我们。