服務(wù)器托管用戶經(jīng)常使用DNS加速來解決對(duì)服務(wù)器數(shù)據(jù)流量的壓力。通常，DNS還可以為用戶提供某些保護(hù)功能。但是，也存在DNS欺騙攻擊。

DNS欺騙是DNS服務(wù)器記錄中的更改導(dǎo)致惡意重定向流量的結(jié)果?？梢酝ㄟ^直接攻擊DNS服務(wù)器（我們將在此處討論）或通過任何針對(duì)DNS流量的中間人攻擊來執(zhí)行DNS欺騙。

DNS緩存欺騙以一種利用DNS通信結(jié)構(gòu)的方式顯式工作。當(dāng)DNS服務(wù)器嘗試在域上執(zhí)行查找時(shí)，它將請求轉(zhuǎn)發(fā)到根權(quán)威DNS并迭代查詢DNS服務(wù)器鏈，直到到達(dá)域上的權(quán)威DNS服務(wù)器為止。因?yàn)楸镜谼NS服務(wù)器不知道哪個(gè)服務(wù)器負(fù)責(zé)哪個(gè)域，也不知道到每個(gè)權(quán)威服務(wù)器的完整路由，所以只要響應(yīng)與查詢匹配且格式正確，它就會(huì)從任何地方接受對(duì)其查詢的響應(yīng)。 。攻擊者可以通過在回復(fù)本地DNS服務(wù)器時(shí)擊敗實(shí)際的權(quán)威DNS服務(wù)器來利用此設(shè)計(jì)。如果這樣做，則本地DNS服務(wù)器將使用攻擊者的DNS記錄代替實(shí)際的權(quán)威性答案。由于DNS的性質(zhì)，本地DNS服務(wù)器無法確定哪個(gè)答復(fù)是正確的，哪個(gè)是錯(cuò)誤的。

對(duì)生日襲擊偽造的盲目回應(yīng)

DNS協(xié)議交換不會(huì)驗(yàn)證對(duì)遞歸迭代查詢的響應(yīng)。驗(yàn)證查詢僅檢查16位事務(wù)ID以及響應(yīng)數(shù)據(jù)包的源IP地址和目標(biāo)端口。在2008年之前，所有DNS解析都使用固定端口53。因此，除了交易ID外，欺騙DNS答復(fù)所需的所有信息都是可以預(yù)測的。利用此漏洞攻擊DNS稱為“生日悖論”，平均需要256次才能猜測到事務(wù)ID。為了使攻擊成功，假的DNS回復(fù)必須在合法的權(quán)威響應(yīng)之前到達(dá)目標(biāo)解析器。如果一個(gè)合法的響應(yīng)首先到達(dá)，它將被解析器緩存，直到其生存時(shí)間（TTL）到期，解析器將不再需要權(quán)威服務(wù)器來解析相同的域名，從而防止了攻擊者毒化該映射直到TTL過期。

卡明斯基漏洞

Black Hat在2008年透露了生日襲擊的擴(kuò)展，其中基本的盲目猜測技術(shù)保持不變。這種攻擊利用了DNS響應(yīng)的基本特征，因?yàn)镈NS響應(yīng)可以是直接響應(yīng)（請求的直接IP地址）或引用（對(duì)于給定區(qū)域具有權(quán)威性的服務(wù)器）。生日攻擊偽造了一個(gè)答案，該答案為給定的域記錄注入了錯(cuò)誤的條目。 Kaminsky漏洞使用引用繞過先前條目的TTL，并在整個(gè)域中輸入不正確的條目。基本思想是，攻擊者選擇他們要攻擊的域，然后在目標(biāo)解析器中查詢尚未由解析器緩存的子域（查找不存在的子域是一個(gè)不錯(cuò)的選擇，并且DNS不會(huì)緩存記錄解析器）。因?yàn)樽佑虿辉诰彺嬷?，所以目?biāo)解析器向該域的權(quán)威服務(wù)器發(fā)送查詢。正是在這一點(diǎn)上，攻擊者向解析器注入了大量偽造的響應(yīng)，每個(gè)偽造的響應(yīng)具有不同的偽造事務(wù)ID號(hào)。如果攻擊者成功注入了虛假響應(yīng)，則解析器將為權(quán)威服務(wù)器緩存錯(cuò)誤映射。將來對(duì)受感染域的目標(biāo)解析器的DNS查詢將導(dǎo)致所有請求都轉(zhuǎn)發(fā)到攻擊者控制器權(quán)威解析器，從而使攻擊者能夠提供惡意響應(yīng)，而不會(huì)為每個(gè)新的DNS記錄注入虛假條目。

竊聽

許多提高DNS安全性的新提議包括源端口隨機(jī)化，0x20 XOR編碼和WSEC-DNS，所有這些都取決于用于身份驗(yàn)證的組件的不對(duì)稱可訪問性。換句話說，它們通過隱藏而不是通過身份驗(yàn)證和加密的機(jī)密性來提供安全性。他們的唯一目標(biāo)是如上所述防止盲目襲擊。使用這些安全方法仍然會(huì)使DNS容易受到來自受感染服務(wù)器和網(wǎng)絡(luò)竊聽者的輕微攻擊，從而打破模糊性并執(zhí)行與上述相同的攻擊，這次無需盲目猜測。即使在交換環(huán)境中，也可以使用ARP中毒和類似技術(shù)將所有數(shù)據(jù)包強(qiáng)制進(jìn)入惡意計(jì)算機(jī)，并且這種混淆技術(shù)可能會(huì)被破壞。

域名系統(tǒng)

防止DNS緩存中毒的最佳方法是實(shí)施安全的加密和身份驗(yàn)證方法。 DNS是一種過時(shí)的協(xié)議，是整個(gè)Internet的骨干。令人驚訝的是，它仍然是未加密的協(xié)議，沒有對(duì)接收到的條目和響應(yīng)進(jìn)行任何形式的驗(yàn)證。

解決方案當(dāng)然是提供一種稱為DNS Secure或DNSSEC的身份驗(yàn)證和身份驗(yàn)證方法。該協(xié)議創(chuàng)建與DNS記錄一起存儲(chǔ)的唯一加密簽名。然后，DNS解析器使用簽名來驗(yàn)證DNS響應(yīng)，以確保記錄未被篡改。此外，它提供了從TLD到域授權(quán)區(qū)域的信任鏈，從而確保DNS解析的整個(gè)過程是安全的。

盡管有這些明顯的好處，但是DNSSEC的采用速度很慢，并且許多不那么受歡迎的TLD仍然不使用DNSSEC來確保安全。主要問題是DNSSEC的設(shè)置很復(fù)雜，需要升級(jí)設(shè)備以處理新協(xié)議。另外，由于歷史上大多數(shù)DNS欺騙攻擊的稀有性和無知性，DNSSEC的實(shí)施不被視為優(yōu)先事項(xiàng)，通常只執(zhí)行一次應(yīng)用程序即可到達(dá)其生命周期末期。

以上就是DNS欺騙攻擊，所以大家在安全方面需要多加注意，建議大家可以選擇云網(wǎng)時(shí)代這些有實(shí)力的服務(wù)商，云網(wǎng)時(shí)代多年IDC經(jīng)驗(yàn)，專業(yè)提供深圳服務(wù)器租用，深圳服務(wù)器托管，深圳主機(jī)租用，云服務(wù)器租用，郵件服務(wù)器租用等國內(nèi)外服務(wù)器產(chǎn)品，詳情可咨詢客服了解。