如果好萊塢電影告訴我們一件事,那就是黑客很聰明,並有各種技巧來繞過我們的安全。在現實世界中,安全問題通常歸結為機會而不是技能。「DNS 中毒」攻擊符合這種描述,事實上,您需要具備防止域被欺騙的技能。
嘗試免費演示
這個概念很簡單:訪問者看到的看起來像您的網站,但它是欺詐性的和有害的,而這個假網站看起來很相似。因此,您需要採用多種技術來確保用戶安全,並且您的站點不會受到攻擊。
在這篇文章中,我們將深入探討 DNS 中毒和域欺騙的概念。我們還將討論一些周圍的概念,以幫助您了解為什麼您的最終響應是最佳方法。
域名系統 (DNS) 入門
在我們討論 DNS 中毒的細節之前,讓我們先談談域名系統。雖然瀏覽網站似乎是一項簡單的任務,但在伺服器的引擎蓋下正在發生很多事情。
有很多元素可以讓你從「A」到「B」:
- IP地址。這是一串數字,即您的實際網址。將它們視為您房屋的坐標。例如,127.0.0.1:8080 是標準的「本地主機」地址(即您的計算機)。
- 域名。如果 IP 地址代表坐標,則域名就是您在信封上顯示的地址。當然,「kinsta.com」是數以百萬計的例子之一。
- 一個 DNS 請求。這是具有複雜低級流程的高級前端任務的一個很好的例子。現在,考慮一個請求,讓您的瀏覽器向專用伺服器詢問一組坐標的地址。
- DNS 伺服器。這與您網站的伺服器不同,因為它是四台伺服器合二為一。它的工作是處理 DNS 請求。我們將在後面的部分中更詳細地討論這一點。
- 遞歸伺服器。您還將看到這些稱為「解析名稱伺服器」的伺服器。它是 DNS 查找過程的一部分,負責向伺服器查詢與 IP 地址相關的域名。
總的來說,DNS 使最終用戶獲取域名變得簡單。它是網路的核心部分,因此,它有許多活動部件。
我們接下來將研究查找過程本身,儘管您已經可以看到 DNS 如何完成一項重要的工作。
body a.novashare-ctt{display:block;background:#00abf0;margin:30px auto;padding:20px 20px 20px 15px;color:#fff;text-decoration:none!important;box-shadow:none!important;- webkit-box-shadow:none!important;-moz-box-shadow:none!important;border:none;border-left:5px solid #00abf0}body a.novashare-ctt:hover{color:#fff;border- left:5px solid #008cc4}body a.novashare-ctt:visited{color:#fff}body a.novashare-ctt *{pointer-events:none}body a.novashare-ctt .novashare-ctt-tweet{display: block;font-size:18px;line-height:27px;margin-bottom:10px}body a.novashare-ctt .novashare-ctt-cta-container{display:block;overflow:hidden}body a.novashare-ctt。 novashare-ctt-cta{float:right}body a.novashare-ctt.novashare-ctt-cta-left .novashare-ctt-cta{float:left}body a.novashare-ctt .novashare-ctt-cta-text{ font-size:16px;line-height:16px;vertical-align:middle}body a.novashare-ctt 。novashare-ctt-cta-icon{margin-left:10px;display:inline-block;vertical-align:middle}body a.novashare-ctt .novashare-ctt-cta-icon svg{vertical-align:middle;height: 18px}body a.novashare-ctt.novashare-ctt-simple{background:0 0;padding:10px 0 10px 20px;color:inherit}body a.novashare-ctt.novashare-ctt-simple-alt{background:#f9f9f9 ;padding:20px;color:#404040}body a.novashare-ctt.novashare-ctt-simple-alt:hover,body a.novashare-ctt.novashare-ctt-simple:hover{border-left:5px solid #008cc4 }body a.novashare-ctt.novashare-ctt-simple .novashare-ctt-cta,body a.novashare-ctt.novashare-ctt-simple-alt .novashare-ctt-cta{color:#00abf0}body a.novashare -ctt.novashare-ctt-simple-alt:hover .novashare-ctt-cta,body a.novashare-ctt.novashare-ctt-simple:hover .novashare-ctt-cta{color:#008cc4}Don’不要讓您的網站成為 DNS 中毒攻擊的犧牲品 ☠️ 在這裡學習防止您的域被欺騙所需的基本技能 ⬇️點擊推文
DNS 查詢的過程
在我們提供看似抽象的類比時,請耐心等待。
將人們帶到偏遠地區的活動,例如登山或航海,都有一個特定的危險:迷路和未被及時找到。定位滯留人員的傳統方法是使用坐標。它們是明確的,並提供精確的準確性。
然而,這個過程有缺點。首先,您需要知道如何計算任何位置的坐標——如果在世界的偏遠地區就很棘手。其次,您必須將這些坐標傳達給救援隊。一個錯誤的數字,後果是可怕的。
三詞地址應用程序採用複雜的計算和傳遞坐標過程,並將其轉換為您大致位置的三字摘要。以 Automattic 的總部為例:
Apple Maps 中的 Automattic 辦公室。
該位置的坐標為 37.744159,-122.421555。但是,除非您是專業導航員,否則您不太可能知道這一點。即使你這樣做了,把它交到可以幫助你的人手中也是一個渺茫的提議。
簡而言之,三詞地址採用一組抽象的坐標並將它們翻譯成三個令人難忘的詞。就 Automattic 的辦公室而言,它是體面的.transfers.sleeps:
三詞地址網站,展示了 Automattic 的辦公室。
這將複雜的全球定位置於幾乎任何有權訪問該應用程序的人手中。它已經挽救了許多平民的生命。
這與 DNS 查找有關,因為過程是相似的。在三詞地址的情況下,救援人員嚮應用程序詢問字串的坐標。請求跨伺服器發送以查找坐標並在找到坐標時返回給最終用戶。
DNS 查找具有類似的流程:
- 您的瀏覽器請求域名的 IP 地址。
- 您的操作系統 (OS) 要求遞歸伺服器查找域名並開始運行其伺服器集合。
- 當它找到域名時,它會返回給瀏覽器。
三詞地址的一個缺點是字串不如一組坐標準確。這意味著您可以快速確定大致位置,但可能需要更長時間才能找到被困人員。
DNS 查找也有缺點,惡意攻擊者可以利用它們。不過,在我們看這個之前,讓我們繞道一下,談談緩存以及它如何加快查找速度。
DNS緩存
與 Web 緩存非常相似,DNS 緩存可以幫助您回憶對伺服器的常規查詢。這將使每次新訪問獲取 IP 地址的過程更快。
簡而言之,緩存位於 DNS 伺服器系統內,並減少了到遞歸伺服器的額外行程。這意味著瀏覽器可以直接從 DNS 伺服器獲取 IP 地址並在更快的時間內完成 GET 請求。
您會在整個系統中找到 DNS 緩存。例如,您的計算機將有一個 DNS 緩存,您的路由器和互聯網服務提供商 (ISP) 也將如此。您通常不會意識到您的瀏覽體驗在多大程度上依賴於 DNS 緩存——直到您成為 DNS 中毒的受害者。
什麼是 DNS 中毒
現在您了解了 DNS 查找的概念以及獲取 IP 地址的整個過程,我們可以了解如何利用它。
您經常會看到 DNS 中毒也被稱為「欺騙」,因為在鏈中存在欺詐性「相似」網站是攻擊的一部分。
我們將更詳細地討論所有這些方面,但要知道 DNS 中毒或欺騙是一種有害的攻擊,可能會給用戶和互聯網帶來心理、金錢和資源相關問題。
不過,首先讓我們進入緩存中毒的過程。
DNS 欺騙和緩存中毒的工作原理
鑒於整個欺騙過程很複雜,攻擊者創造了許多不同的方法來實現他們的目標:
- 中間機器。這是攻擊者在瀏覽器和 DNS 伺服器之間進入、毒害兩者並將用戶重定向到他們自己伺服器上的欺詐站點的地方。
- 伺服器劫持。如果攻擊者進入 DNS 伺服器,他們可以重新配置它以將所有請求發送到他們自己的站點。
- 通過垃圾郵件中毒。與伺服器劫持相反,這種方法會毒害客戶端(即瀏覽器)。通常通過垃圾郵件鏈接、電子郵件和欺詐性廣告授予訪問許可權。
- 「生日襲擊。」 這是一種複雜的密碼攻擊,需要進一步解釋。
生日攻擊基於「生日問題」。這是一個概率場景,即(簡而言之)如果一個房間里有 23 個人,那麼有 50% 的機會兩個人生日相同。如果房間里有更多的人,機會就會增加。
顯示生日問題的圖表。(圖片來源:維基百科)
這會轉化為基於將 DNS 查找請求連接到 GET 響應的標識符的 DNS 中毒。如果攻擊者發送一定數量的隨機請求和響應,則匹配成功的概率很高。從大約 450 個請求中,概率約為 75%,在 700 個請求中,攻擊者幾乎可以保證破解伺服器。
簡而言之,對 DNS 伺服器的攻擊在大多數情況下都會發生,因為這為惡意用戶提供了更大的靈活性來操縱您的站點和用戶數據。也沒有對 DNS 數據的驗證,因為請求和響應不使用傳輸控制協議 (TCP)。
鏈中的弱點是 DNS 緩存,因為它充當 DNS 條目的存儲庫。如果攻擊者可以將偽造的條目注入緩存,那麼在緩存過期之前,每個訪問它的用戶都會發現自己處於欺詐站點。
訂閱時事通訊
想知道我們是如何將流量增加超過 1000% 的嗎?
加入 20,000 多名其他人,他們會收到我們的每周時事通訊,其中包含 WordPress 內幕技巧!
現在訂閱
攻擊者通常會尋找一些信號、弱點和數據點作為目標。他們努力發現尚未緩存的 DNS 查詢,因為遞歸伺服器將不得不在某個時候進行查詢。通過擴展,攻擊者還將查找查詢將訪問的名稱伺服器。一旦他們有了這個,解析器使用的埠和請求 ID 號就至關重要。
雖然不需要滿足所有這些要求——畢竟,攻擊者可以通過多種方法訪問伺服器——勾選這些框會使他們的工作更容易。
DNS 中毒的真實示例
多年來,DNS 中毒出現了一些引人注目的例子。在某些情況下,這是一種故意行為。例如,中國大規模運行防火牆(所謂的「中國防火牆」)來控制互聯網用戶接收的信息。
簡而言之,他們通過將訪問者重定向到未經國家批准的網站(例如 Twitter 和 Facebook)來毒害自己的伺服器。在一個案例中,中國的限制甚至進入了西方世界的生態系統。
來自瑞典 ISP 的網路錯誤從中國伺服器提供根 DNS 信息。這意味著智利和美國的用戶在訪問某些社交媒體網站時會被重定向到其他地方。
在另一個例子中,孟加拉國黑客抗議馬來西亞的虐待行為,毒害了許多與微軟、谷歌、YouTube 和其他知名網站相關的域名。這似乎是伺服器劫持的情況,而不是客戶端問題或垃圾郵件。
甚至 WikiLeaks 也不能免於 DNS 中毒攻擊。幾年前潛在的伺服器劫持導致該網站的訪問者被重定向到黑客專用的頁面。
DNS 中毒不一定是一個複雜的過程。所謂的「道德黑客」——即那些希望暴露安全漏洞而不是造成損害的黑客——擁有在自己的計算機上測試欺騙的簡單方法。
但是,除了被重定向之外,表面上似乎沒有 DNS 中毒的任何長期影響。事實上,有——我們接下來會討論它們。
為什麼 DNS 中毒和欺騙如此有害
希望在伺服器上執行 DNS 中毒的攻擊者有三個主要目標:
- 傳播惡意軟體。
- 將您重新路由到另一個網站,這將以某種方式使他們受益。
- 竊取您或其他實體的信息。
當然,理解為什麼 DNS 中毒或欺騙對 ISP、伺服器運營商和最終用戶來說是一個問題並沒有超出想像。
正如我們所指出的,欺騙對於 ISP 來說是一個大問題,以至於有像 CAIDA Spoofer 這樣的工具可以提供幫助。
CAIDA 網站。
幾年前,統計數據顯示,每天大約有 30,000 次攻擊。自報告發布以來,這個數字幾乎肯定會增加。更重要的是,與上一節中的示例一樣,通過網路提供欺騙性站點會帶來用戶信任問題以及隱私問題。
需要一個為您提供競爭優勢的託管解決方案?Kinsta 為您提供令人難以置信的速度、最先進的安全性和自動縮放功能。查看我們的計劃
無論您是誰,當您成為中毒和欺騙的受害者時,都會涉及一些風險:
- 與中國的防火牆一樣,您可能會受到審查。這意味著您獲得的信息將不準確,這會對許多社會和政治領域產生連鎖反應。
- 數據盜竊是一個首要問題,對於那些想要獲取用戶銀行信息和其他敏感數據的人來說,這是一項有利可圖的冒險。
- 您的系統上可能容易受到惡意軟體和其他特洛伊木馬病毒的攻擊。例如,攻擊者可以通過欺騙站點在您的系統上注入鍵盤記錄器或其他形式的間諜軟體。
DNS中毒還有其他相關影響。例如,在恢復過程全面展開時,您可能無法對系統應用任何安全更新。這會使您的計算機更容易受到攻擊。
此外,請考慮此清理過程的成本和複雜性,因為它會影響整個鏈條上的每個人。所有連接服務的價格上漲只是不利因素之一。
消除 DNS 中毒的努力是巨大的。鑒於欺騙會影響客戶端和伺服器端的設置,從一個中消除它並不意味著它已經消失了。
如何防止 DNS 中毒
DNS 中毒有兩個方面的影響——客戶端和伺服器端。我們將看看你可以做些什麼來防止硬幣兩面的這種破壞性攻擊。
讓我們從整個互聯網在伺服器端所做的事情開始。
Internet 如何嘗試防止 DNS 中毒和欺騙伺服器端
儘管我們在整篇文章中討論了很多關於 DNS 的內容,但我們還沒有注意到該技術是多麼過時。簡而言之,由於一些因素,DNS 並不是現代 Web 瀏覽體驗的最佳選擇。首先,它是未加密的,並且沒有一些重要的驗證注意事項,這將阻止許多 DNS 中毒攻擊繼續進行。
防止攻擊變得更強大的一種快速方法是通過簡單的日誌記錄策略。這會在請求和響應之間進行直接比較,以查看它們是否匹配。
但是,長期的答案(根據專家的說法)是使用域名系統安全擴展 (DNSSEC)。這是一項旨在對抗 DNS 中毒的技術,簡單來說,它設置了不同級別的驗證。
更深入地說,DNSSEC 使用「公鑰加密」作為驗證。這是一種將數據簽署為真實可信的方式。它與您的其他 DNS 信息一起存儲,遞歸伺服器使用它來檢查它收到的信息是否已被更改。
與其他互聯網協議和技術相比,DNSSEC 是一個相對的嬰兒——但它已經足夠成熟,可以在互聯網的根級別實施,儘管它還不是主流。Google 的公共 DNS 是一項完全支持 DNSSEC 的服務,而且一直有更多的服務出現。
即便如此,DNSSEC 仍然存在一些值得注意的缺點:
- 該協議不對響應進行編碼。這意味著攻擊者仍然可以「監聽」流量,儘管攻擊必須更加複雜才能繞過 DNSSEC。
- 由於 DNSSEC 使用額外記錄來收集 DNS 數據,因此存在另一個稱為「區域枚舉」的漏洞。這使用一條記錄「遍歷」並收集特定「區域」內的所有 DNS 記錄。此記錄的某些版本會加密數據,但其他版本尚未加密。
- DNSSEC 是一個複雜的協議,而且由於它也是新協議,因此有時可能會被錯誤配置。當然,這可能會削弱使用它的好處,並會帶來更多的問題。
即便如此,DNSSEC 至少是伺服器端的未來。至於您作為最終用戶,您還可以採取一些預防措施。
如何防止客戶端的 DNS 中毒
有更多的方法可以防止客戶端的 DNS 中毒,但沒有一種方法可以像專家實施的伺服器端 DNSSEC 那樣強大。不過,作為網站所有者,您可以勾選一些簡單的框:
- 對任何請求和回復使用端到端加密。安全套接字層 (SSL) 證書在這裡做得很好。
- 使用欺騙檢測工具,例如 Xarp。這些在發送之前掃描接收到的數據包。這可以減輕任何惡意數據傳輸。
- 增加 DNS 緩存的生存時間 (TTL) 值將有助於在惡意條目到達最終用戶之前將其清除。
- 您應該擁有良好的 DNS、DHCP 和 IPAM (DDI) 策略。這包括您的 DNS 策略、動態主機配置協議和 IP 地址管理。這是一個由系統管理員和伺服器安全專家處理的複雜但必要的過程。
作為最終用戶,您還可以做一些事情來幫助防止中毒和欺騙:
- 使用虛擬專用網路 (VPN),因為您的數據將被端到端加密。您還將再次使用具有端到端加密的私有 DNS 伺服器。
- 採取簡單的預防措施,例如不要點擊無法識別的鏈接並定期進行安全掃描。
- 定期刷新 DNS 緩存也可以清除系統中的惡意數據。這是一件需要幾秒鐘的事情,而且很容易執行。
雖然您無法完全消除 DNS 中毒,但您可以防止最壞的情況發生。作為最終用戶,您無法控制伺服器如何處理攻擊。同樣,系統管理員也無法控制瀏覽器中發生的事情。因此,阻止這種最有害的攻擊影響整個鏈條是團隊的努力。
想像一下:訪問者被發送到看起來像您的網站.. 但這是一個有害的欺詐版本。😱制止DNS中毒這樣的攻擊與幫助,從本指南⬇️Click鳴叫
摘要
Internet 攻擊是司空見慣的。DNS 中毒(或欺騙)是一種常見的攻擊,如果不加以控制,可能會影響數百萬用戶。這是因為 DNS 協議陳舊,不適合現代網路瀏覽——儘管新技術即將出現。
簡而言之,DNS 中毒會將最終用戶重定向到現有網站的欺詐版本。這是一種竊取數據並使用惡意軟體感染系統的方法。沒有萬無一失的方法可以完全防止它,但您可以通過一些簡單的措施來控制它。
您是否曾經成為 DNS 中毒或欺騙的受害者,如果是,原因是什麼?請在下面的評論部分與我們分享您的經驗!
通過以下方式節省時間、成本並最大限度地提高站點性能:
- 來自 WordPress 託管專家的即時幫助,24/7。
- Cloudflare 企業集成。
- 全球受眾覆蓋全球 28 個數據中心。
- 使用我們內置的應用程序性能監控進行優化。
所有這些以及更多,都在一個沒有長期合同、協助遷移和 30 天退款保證的計劃中。查看我們的計劃或與銷售人員交談以找到適合您的計劃。