什么是DNS缓存中毒
DNS缓存中毒是一种网络攻击,它使您的计算机误以为它会到达正确的地址,但事实并非如此。攻击者使用DNS缓存中毒来劫持互联网流量并窃取用户凭据或个人数据。DNS缓存中毒攻击也称为DNS欺骗,它试图诱骗用户将其私人数据输入不安全的网站。
什么是DNS缓存
在讨论攻击之前,我们需要重新了解DNS和DNS缓存。DNS是IP地址和域名的全球目录。DNS缓存是将这些地址存储在世界各地的DNS服务器中的系统。
为了保持您的DNS请求快速,原始开发人员创建了一个分布式DNS系统。每个服务器都存储一个它知道的DNS记录列表–这称为缓存。如果离您最近的DNS服务器不知道您需要的IP地址,它将询问其他DNS服务器,直到找到您要访问的网站的IP地址。然后,您的DNS服务器将该新条目保存到缓存中。
DNS缓存中毒攻击如何工作
DNS缓存中毒通过欺骗DNS服务器保存伪造的DNS条目来起作用。伪造的DNS条目的流量流向选择窃取数据的攻击者的服务器。
攻击者植入假的地址到DNS;
服务器缓存假地址;
流量被牵引到攻击者服务器。
常用技术手段如下:
(1) Birthday Attack
DNS不会验证对递归查询的响应,因此第一个响应存储在缓存中。攻击者使用“Birthday Attack”来尝试预测伪造的响应并将其发送给请求者。BirthdayAttack使用数学和概率论进行猜测。在这种情况下,攻击者试图猜测您的DNS请求的事务ID,因此带有伪造的DNS条目的伪造响应会在真正响应之前到达您。
Birthday Attack不一定能成功,但最终,攻击者会将伪造的响应偷偷溜进缓存。一旦攻击确实成功,攻击者将看到来自伪造的DNS条目的流量,直到生存时间(TTL)到期为止。
(2) Kaminsky漏洞
Kaminsky漏洞利用是BlackHat 2008上提出的Birthday Attack的一种变体。首先,攻击者向目标解析器发送不存在域的DNS查询,例如“fake.dingxinsec.com.cn”。然后,解析程序将查询转发到权威名称服务器,以获取错误子域的IP地址。此时,攻击者向解析器注入了大量伪造的响应,希望这些伪造之一与原始查询的事务ID相匹配。
如果攻击成功,则攻击者已使用dingxinsec.com.cn的伪造IP地址毒害了目标解析器的DNS缓存。直到TTL为止,请求dingxinsec.com.cn的人都将获得伪造的IP地址。
(3) 窃听
攻击者如果有足够的网络访问权限,就可以监视本地DNS流量并使用多种技术手段破坏缓存。
如何检测DNS缓存中毒
那么,如何检测DNS缓存中毒攻击?监视DNS服务器以获取可能的攻击指示,将数据安全分析应用于您的DNS监视,以识别正常的DNS行为免受攻击。
来自单个来源的有关单个域的DNS活动突然增加表示潜在的Birthday Attack。
从单一来源查询DNS服务器以获取多个域名而不进行递归的DNS活动的增加表示尝试查找用于中毒的条目。
除了监视DNS之外,还监视Active Directory事件和文件系统行为是否存在异常活动。甚至更好的是,使用分析来关联所有三个媒介之间的活动,从而为您的网络安全策略添加有价值的环境。
如何防止
除了监视和分析之外,您还可以在DNS服务器上进行配置更改。
限制递归查询以防止潜在的有针对性的中毒攻击
仅存储与请求域相关的数据
限制响应以仅提供有关请求域的响应
强制客户端使用HTTPS
请确保您使用的是BIND和DNS软件的最新版本,以便您具有最新的安全修复程序。
最后,DNSSEC是一种新的DNS协议,可对DNS请求进行加密以防止伪造。该协议尚未得到广泛采用,因为它确实会减慢DNS进程。HTTPS上的DNS(DoH)是下一版本DNS的竞争规范,可以在不牺牲DNSSEC之类的速度的情况下确保DNS请求的安全。
