欢迎来到云网时代数据中心! 业务咨询热线:0755-88868179增值电信业务经营许可证:B1-20170628
行业新闻
当前位置:首页>文章中心>行业新闻

什么是邮件服务器托管DNS欺骗?

发布时间:2019-12-02 点击数:85

服务器托管用户经常使用DNS加速来解决对服务器数据流量的压力。通常,DNS还可以为用户提供某些保护功能。但是,也存在DNS欺骗攻击。

什么是邮件服务器托管DNS欺骗

DNS欺骗是DNS服务器记录中的更改导致恶意重定向流量的结果。可以通过直接攻击DNS服务器(我们将在此处讨论)或通过任何针对DNS流量的中间人攻击来执行DNS欺骗。


DNS缓存欺骗以一种利用DNS通信结构的方式显式工作。当DNS服务器尝试在域上执行查找时,它将请求转发到根权威DNS并迭代查询DNS服务器链,直到到达域上的权威DNS服务器为止。因为本地DNS服务器不知道哪个服务器负责哪个域,也不知道到每个权威服务器的完整路由,所以只要响应与查询匹配且格式正确,它就会从任何地方接受对其查询的响应。 。攻击者可以通过在回复本地DNS服务器时击败实际的权威DNS服务器来利用此设计。如果这样做,则本地DNS服务器将使用攻击者的DNS记录代替实际的权威性答案。由于DNS的性质,本地DNS服务器无法确定哪个答复是正确的,哪个是错误的。


由于DNS服务器在内部缓存查询,因此不必在每次请求域时都浪费时间查询权威服务器,从而加剧了这种攻击。这带来了另一个问题,因为如果攻击者可以击败权威DNS服务器进行答复,则攻击者的记录将被本地DNS服务器缓存,这意味着使用本地DNS服务器的任何用户都将获得攻击者的记录,这可能会重定向使用此本地DNS服务器访问攻击者网站的所有用户。
DNS缓存中毒的示例

对生日袭击伪造的盲目回应

DNS协议交换不会验证对递归迭代查询的响应。验证查询仅检查16位事务ID以及响应数据包的源IP地址和目标端口。在2008年之前,所有DNS解析都使用固定端口53。因此,除了交易ID外,欺骗DNS答复所需的所有信息都是可以预测的。利用此漏洞攻击DNS称为“生日悖论”,平均需要256次才能猜测到事务ID。为了使攻击成功,假的DNS回复必须在合法的权威响应之前到达目标解析器。如果一个合法的响应首先到达,它将被解析器缓存,直到其生存时间(TTL)到期,解析器将不再需要权威服务器来解析相同的域名,从而防止了攻击者毒化该映射直到TTL过期。


卡明斯基漏洞

Black Hat在2008年透露了生日袭击的扩展,其中基本的盲目猜测技术保持不变。这种攻击利用了DNS响应的基本特征,因为DNS响应可以是直接响应(请求的直接IP地址)或引用(对于给定区域具有权威性的服务器)。生日攻击伪造了一个答案,该答案为给定的域记录注入了错误的条目。 Kaminsky漏洞使用引用绕过先前条目的TTL,并在整个域中输入不正确的条目。基本思想是,攻击者选择他们要攻击的域,然后在目标解析器中查询尚未由解析器缓存的子域(查找不存在的子域是一个不错的选择,并且DNS不会缓存记录解析器)。因为子域不在缓存中,所以目标解析器向该域的权威服务器发送查询。正是在这一点上,攻击者向解析器注入了大量伪造的响应,每个伪造的响应具有不同的伪造事务ID号。如果攻击者成功注入了虚假响应,则解析器将为权威服务器缓存错误映射。将来对受感染域的目标解析器的DNS查询将导致所有请求都转发到攻击者控制器权威解析器,从而使攻击者能够提供恶意响应,而不会为每个新的DNS记录注入虚假条目。


窃听

许多提高DNS安全性的新提议包括源端口随机化,0x20 XOR编码和WSEC-DNS,所有这些都取决于用于身份验证的组件的不对称可访问性。换句话说,它们通过隐藏而不是通过身份验证和加密的机密性来提供安全性。他们的唯一目标是如上所述防止盲目袭击。使用这些安全方法仍然会使DNS容易受到来自受感染服务器和网络窃听者的轻微攻击,从而打破模糊性并执行与上述相同的攻击,这次无需盲目猜测。即使在交换环境中,也可以使用ARP中毒和类似技术将所有数据包强制进入恶意计算机,并且这种混淆技术可能会被破坏。


DNS缓存中毒缓解

域名系统

防止DNS缓存中毒的最佳方法是实施安全的加密和身份验证方法。 DNS是一种过时的协议,是整个Internet的骨干。令人惊讶的是,它仍然是未加密的协议,没有对接收到的条目和响应进行任何形式的验证。


解决方案当然是提供一种称为DNS Secure或DNSSEC的身份验证和身份验证方法。该协议创建与DNS记录一起存储的唯一加密签名。然后,DNS解析器使用签名来验证DNS响应,以确保记录未被篡改。此外,它提供了从TLD到域授权区域的信任链,从而确保DNS解析的整个过程是安全的。


尽管有这些明显的好处,但是DNSSEC的采用速度很慢,并且许多不那么受欢迎的TLD仍然不使用DNSSEC来确保安全。主要问题是DNSSEC的设置很复杂,需要升级设备以处理新协议。另外,由于历史上大多数DNS欺骗攻击的稀有性和无知性,DNSSEC的实施不被视为优先事项,通常只执行一次应用程序即可到达其生命周期末期。


以上就是DNS欺骗攻击,所以大家在安全方面需要多加注意,建议大家可以选择云网时代这些有实力的服务商,云网时代多年IDC经验,专业提供深圳服务器租用,深圳服务器托管,深圳主机租用,云服务器租用,邮件服务器租用等国内外服务器产品,详情可咨询客服了解。

在线客服