DNS知识大放送

 

1) 劫持

 

通过采用黑客手段控制了域名管理密码和域名管理邮箱，然后将该域名的NS纪录指向到黑客可以控制的DNS服务器，然后通过在该DNS服务器上添加相应域名纪录，从而使网民访问该域名时，进入了黑客所指向的内容。

 

这显然是DNS服务提供商的责任，用户束手无策。遇到dns被劫持，让dns服务提供者解决这个问题，是比较矛盾的;因为，劫持者，最有可能的就是他们;另外一种最直接的解决办法就是换用其他dns。更换dns服务器的方法非常简单，打开网络连接属性，选择Interner 协议(TCP/IP)的属性页里，不要选择自动获取DNS，而要选择“使用下面的DNS服务器地址”，推荐大家使用OpenDNS提供的DNS服务器，OpenDNS是一个提供免费DNS服务的网站，口号是更安全、更快速、更智能。

 

2) 缓存投毒

 

DNS缓存投毒攻击是指攻击者欺骗DNS服务器相信伪造的DNS响应的真实性。这种类型攻击的目的是将依赖于此DNS服务器的受害者重定向到其他的地址。随着恶意软件传播的增多，缓存投毒的方法也层出不穷。典型的一种是发送标题吸引人的垃圾邮件并诱导你去打开。点击邮件中的图片和广告条幅也会将用户指向被投毒的网站。一旦用户的电脑被恶意代码感染，他今后所有的URL请求都将被自动指向恶意IP地址-哪怕被指向的“受害”服务器已经在其网页上清除了恶意代码。

 

防止投毒

 

目前还没有更好办法阻止黑客的这种行为，只有使DNS缓存服务器发出的查询请求使用动态的UDP端口，UDP的端口号也是16位2进制，这样与DNS的ID号相结合，号码的命中率就是1/4294967296(2的32次方)。

 

3)DDOS攻击

 

一种攻击针对DNS服务器软件本身，通常利用BIND软件程序中的漏洞，导致DNS服务器崩溃或拒绝服务;另一种攻击的目标不是DNS服务器，而是利用DNS服务器作为中间的“攻击放大器”，去攻击其它互联网上的主机，导致被攻击主机拒绝服务。

 

为了让DNS拒绝服务，恶意攻击者向允许递归的开放DNS解析器发送大量伪造的查询请求。目前互联网中存在着上百万开放的DNS解析器，包括很多的家庭网关。开放的DNS解析器会认为这些伪造的查询请求是真实有效的，并且会对这些请求进行处理，在处理完成之后，便会向伪造的请求者(即，受害人)返回DNS响应信息。如果查询请求的数量巨大，DNS服上海宣传片拍摄务器很有可能会发送大量的DNS响应信息。这也就是我们常说的放大攻击，这种方法利用的是DNS解析器中的错误配置。由于DNS服务器配置错误，那么DNS解析器很可能会在接收到一个非常小的DNS查询请求之后，向目标主机返回大量的攻击流量。在另一种类型的攻击中，是向DNS服务器发送或不符合规则的查询请求来进行攻击。

 

防御DDOS攻击

 

不允许未经过请求的DNS响应

 

丢弃快速重传数据包

 

丢弃异常来源的DNS请求和响应

 

创建白名单，添加允许服务器处理的合法请求信息

 

启动DNS客户端验证

 

使用ACL的权限

 

上面所说的攻击，其实并不在我们的可控范围之内，内网的入侵，大家首先都会想到中间人攻击，中间人攻击，也就会想到DNS欺骗和ARP欺骗了。

 

4) DNS欺骗

 

DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。

 

原理：如果可以冒充域名服务器，然后把查询的IP地址设为攻击者的IP地址，这样的话，用户上网就只能看到攻击者的主页，而不是用户想要取得的网站的主页了，这就是DNS欺骗的基本原理。DNS欺骗其实并不是真的“黑掉”了对方的网站，而是冒名顶替、招摇撞骗罢了。

 

现在的Internet上存在的DNS服务器有绝大多数都是用bind来架设的,使用的bind版本主要为bind 4.9.5+P1以前版本和bind 8.2.2-P5以前版本.这些bind有个共同的特点,就是BIND会缓存(Cache)所有已经查询过的结果,这个问题就引起了下面的几个问题的存在.

 

DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。 原理：如果可以冒充域名服务器，然后把查询的IP地危机公关举报址设为攻击者的IP地址，这样的话，用户上网就只能看到攻击者的主页，而不是用户想要取得的网站的主页了，这就是DNS欺骗的基本原理。DNS欺骗其实并不是真的“黑掉”了对方的网站，而是冒名顶替、招摇撞骗罢了。