什么是邮件服务器托管DNS欺骗？

服务器托管用户经常使用DNS加速来解决对服务器数据流量的压力。通常，DNS还可以为用户提供某些保护功能。但是，也存在DNS欺骗攻击。

DNS欺骗是DNS服务器记录中的更改导致恶意重定向流量的结果。可以通过直接攻击DNS服务器（我们将在此处讨论）或通过任何针对DNS流量的中间人攻击来执行DNS欺骗。

DNS缓存欺骗以一种利用DNS通信结构的方式显式工作。当DNS服务器尝试在域上执行查找时，它将请求转发到根权威DNS并迭代查询DNS服务器链，直到到达域上的权威DNS服务器为止。因为本地DNS服务器不知道哪个服务器负责哪个域，也不知道到每个权威服务器的完整路由，所以只要响应与查询匹配且格式正确，它就会从任何地方接受对其查询的响应。 。攻击者可以通过在回复本地DNS服务器时击败实际的权威DNS服务器来利用此设计。如果这样做，则本地DNS服务器将使用攻击者的DNS记录代替实际的权威性答案。由于DNS的性质，本地DNS服务器无法确定哪个答复是正确的，哪个是错误的。

对生日袭击伪造的盲目回应

DNS协议交换不会验证对递归迭代查询的响应。验证查询仅检查16位事务ID以及响应数据包的源IP地址和目标端口。在2008年之前，所有DNS解析都使用固定端口53。因此，除了交易ID外，欺骗DNS答复所需的所有信息都是可以预测的。利用此漏洞攻击DNS称为“生日悖论”，平均需要256次才能猜测到事务ID。为了使攻击成功，假的DNS回复必须在合法的权威响应之前到达目标解析器。如果一个合法的响应首先到达，它将被解析器缓存，直到其生存时间（TTL）到期，解析器将不再需要权威服务器来解析相同的域名，从而防止了攻击者毒化该映射直到TTL过期。

卡明斯基漏洞

Black Hat在2008年透露了生日袭击的扩展，其中基本的盲目猜测技术保持不变。这种攻击利用了DNS响应的基本特征，因为DNS响应可以是直接响应（请求的直接IP地址）或引用（对于给定区域具有权威性的服务器）。生日攻击伪造了一个答案，该答案为给定的域记录注入了错误的条目。 Kaminsky漏洞使用引用绕过先前条目的TTL，并在整个域中输入不正确的条目。基本思想是，攻击者选择他们要攻击的域，然后在目标解析器中查询尚未由解析器缓存的子域（查找不存在的子域是一个不错的选择，并且DNS不会缓存记录解析器）。因为子域不在缓存中，所以目标解析器向该域的权威服务器发送查询。正是在这一点上，攻击者向解析器注入了大量伪造的响应，每个伪造的响应具有不同的伪造事务ID号。如果攻击者成功注入了虚假响应，则解析器将为权威服务器缓存错误映射。将来对受感染域的目标解析器的DNS查询将导致所有请求都转发到攻击者控制器权威解析器，从而使攻击者能够提供恶意响应，而不会为每个新的DNS记录注入虚假条目。

窃听

许多提高DNS安全性的新提议包括源端口随机化，0x20 XOR编码和WSEC-DNS，所有这些都取决于用于身份验证的组件的不对称可访问性。换句话说，它们通过隐藏而不是通过身份验证和加密的机密性来提供安全性。他们的唯一目标是如上所述防止盲目袭击。使用这些安全方法仍然会使DNS容易受到来自受感染服务器和网络窃听者的轻微攻击，从而打破模糊性并执行与上述相同的攻击，这次无需盲目猜测。即使在交换环境中，也可以使用ARP中毒和类似技术将所有数据包强制进入恶意计算机，并且这种混淆技术可能会被破坏。

域名系统

防止DNS缓存中毒的最佳方法是实施安全的加密和身份验证方法。 DNS是一种过时的协议，是整个Internet的骨干。令人惊讶的是，它仍然是未加密的协议，没有对接收到的条目和响应进行任何形式的验证。

解决方案当然是提供一种称为DNS Secure或DNSSEC的身份验证和身份验证方法。该协议创建与DNS记录一起存储的唯一加密签名。然后，DNS解析器使用签名来验证DNS响应，以确保记录未被篡改。此外，它提供了从TLD到域授权区域的信任链，从而确保DNS解析的整个过程是安全的。

尽管有这些明显的好处，但是DNSSEC的采用速度很慢，并且许多不那么受欢迎的TLD仍然不使用DNSSEC来确保安全。主要问题是DNSSEC的设置很复杂，需要升级设备以处理新协议。另外，由于历史上大多数DNS欺骗攻击的稀有性和无知性，DNSSEC的实施不被视为优先事项，通常只执行一次应用程序即可到达其生命周期末期。

以上就是DNS欺骗攻击，所以大家在安全方面需要多加注意，建议大家可以选择云网时代这些有实力的服务商，云网时代多年IDC经验，专业提供深圳服务器租用，深圳服务器托管，深圳主机租用，云服务器租用，邮件服务器租用等国内外服务器产品，详情可咨询客服了解。