常见的DNS***包括:
1) 域名劫持
通过采用***手段控制了域名管理密码和域名管理邮箱,然后将该域名的DNS纪录指向到***可以控制的DNS服务器,然后通过在该DNS服务器上添加相应域名纪录,从而使网民访问该域名时,进入了***所指向的内容。
这显然是DNS服务提供商的责任,用户束手无策。
2) 缓存投毒
利用控制DNS缓存服务器,把原本准备访问某网站的用户在不知不觉中带到***指向的其他网站上。其实现方式有多种,比如可以通过利用网民ISP端的DNS缓存服务器的漏洞进行***或控制,从而改变该ISP内的用户访问域名的响应结果;或者,***通过利用用户权威域名服务器上的漏洞,如当用户权威域名服务器同时可以被当作缓存服务器使用,***可以实现缓存投毒,将错误的域名纪录存入缓存中,从而使所有使用该缓存服务器的用户得到错误的DNS解析结果。
最近发现的DNS重大缺陷,就是这种方式的。只所以说是“重大”缺陷,据报道是因为是协议自身的设计实现问题造成的,几乎所有的DNS软件都存在这样的问题。
3)DDOS***
一种***针对DNS服务器软件本身,通常利用BIND软件程序中的漏洞,导致DNS服务器崩溃或拒绝服务;另一种***的目标不是DNS服务器,而是利用DNS服务器作为中间的“***放大器”,去***其它互联网上的主机,导致被***主机拒绝服务。
4) DNS欺骗
DNS欺骗就是***者冒充域名服务器的一种欺骗行为。
原理:如果可以冒充域名服务器,然后把查询的IP地址设为***者的IP地址,这样的话,用户上网就只能看到***者的主页,而不是用户想要取得的网站的主页了,这就是DNS欺骗的基本原理。DNS欺骗其实并不是真的“黑掉”了对方的网站,而是冒名顶替、招摇撞骗罢了。
现在的Internet上存在的DNS服务器有绝大多数都是用bind来架设的,使用的bind版本主要为bind 4.9.5+P1以前版本和bind 8.2.2-P5以前版本.这些bind有个共同的特点,就是BIND会缓存(Cache)所有已经查询过的结果,这个问题就引起了下面的几个问题的存在.
DNS欺骗
在DNS的缓存还没有过期之前,如果在DNS的缓存中已经存在的记录,一旦有客户查询,DNS服务器将会直接返回缓存中的记录.
防止DNS被***的若干防范性措施
互联网上的DNS放大***(DNS amplification attacks)急剧增长。这种***是一种数据包的大量变体能够产生针对一个目标的大量的虚假的通讯。这种虚假通讯的数量有多大?每秒钟达数GB,足以阻止任何人进入互联网。
与老式的“smurf attacks”***非常相似,DNS放大***使用针对无辜的第三方的欺骗性的数据包来放大通讯量,其目的是耗尽受害者的全部带宽。但是,“smurf attacks”***是向一个网络广播地址发送数据包以达到放大通讯的目的。DNS放大***不包括广播地址。相反,这种***向互联网上的一系列无辜的第三方DNS服务器发送小的和欺骗性的询问信息。这些DNS服务器随后将向表面上是提出查询的那台服务器发回大量的回复,导致通讯量的放大并且最终把***目标淹没。因为DNS是以无状态的UDP数据包为基础的,采取这种欺骗方式是司空见惯的。
这种***主要依靠对DNS实施60个字节左右的查询,回复最多可达512个字节,从而使通讯量放大8.5倍。这对于***者来说是不错的,但是,仍没有达到***者希望得到了淹没的水平。最近,***者采用了一些更新的技术把目前的DNS放大***提高了好几倍。
当前许多DNS服务器支持EDNS。EDNS是DNS的一套扩大机制,RFC 2671对次有介绍。一些选择能够让DNS回复超过512字节并且仍然使用UDP,如果要求者指出它能够处理这样大的DNS查询的话。***者已经利用这种方法产生了大量的通讯。通过发送一个60个字节的查询来获取一个大约4000个字节的记录,***者能够把通讯量放大66倍。一些这种性质的***已经产生了每秒钟许多GB的通讯量,对于某些目标的***甚至超过了每秒钟10GB的通讯量。
要实现这种***,***者首先要找到几台代表互联网上的某个人实施循环查询工作的第三方DNS服务器(大多数DNS服务器都有这种设置)。由于支持循环查询,***者可以向一台DNS服务器发送一个查询,这台DNS服务器随后把这个查询(以循环的方式)发送给***者选择的一台DNS服务器。接下来,***者向这些服务器发送一个DNS记录查询,这个记录是***者在自己的DNS服务器上控制的。由于这些服务器被设置为循环查询,这些第三方服务器就向***者发回这些请求。***者在DNS服务器上存储了一个4000个字节的文本用于进行这种DNS放大***。
现在,由于***者已经向第三方DNS服务器的缓存中加入了大量的记录,***者接下来向这些服务器发送DNS查询信息(带有启用大量回复的EDNS选项),并采取欺骗手段让那些DNS服务器认为这个查询信息是从***者希望***的那个IP地址发出来的。这些第三方DNS服务器于是就用这个4000个字节的文本记录进行回复,用大量的UDP数据包淹没受害者。***者向第三方DNS服务器发出数百万小的和欺骗性的查询信息,这些DNS服务器将用大量的DNS回复数据包淹没那个受害者。
如何防御这种大规模***呢?首先,保证你拥有足够的带宽承受小规模的洪水般的***。一个单一的T1线路对于重要的互联网连接是不够的,因为任何恶意的脚本少年都可以消耗掉你的带宽。如果你的连接不是执行重要任务的,一条T1线路就够了。否则,你就需要更多的带宽以便承受小规模的洪水般的***。不过,几乎任何人都无法承受每秒钟数GB的DNS放大***。
因此,你要保证手边有能够与你的ISP随时取得联系的应急电话号码。这样,一旦发生这种***,你可以马上与ISP联系,让他们在上游过滤掉这种***。要识别这种***,你要查看包含DNS回复的大量通讯(源UDP端口53),特别是要查看那些拥有大量DNS记录的端口。一些ISP已经在其整个网络上部署了传感器以便检测各种类型的早期大量通讯。这样,你的ISP很可能在你发现这种***之前就发现和避免了这种***。你要问一下你的ISP是否拥有这个能力。
最后,为了帮助阻止恶意人员使用你的DNS服务器作为一个实施这种DNS放大***的代理,你要保证你的可以从外部访问的DNS服务器仅为你自己的网络执行循环查询,不为任何互联网上的地址进行这种查询。大多数主要DNS服务器拥有限制循环查询的能力,因此,它们仅接受某些网络的查询,比如你自己的网络。通过阻止利用循环查询装载大型有害的DNS记录,你就可以防止你的DNS服务器成为这个问题的一部分.
结束语:网络***越来越猖獗,对网络安全造成了很大的威胁。对于任何***的恶意***,都有办法来防御,只要了解了他们的***手段,具有丰富的网络知识,就可以抵御***们的疯狂***。一些初学网络的朋友也不必担心,因为目前市场上也已推出许多网络安全方案,以及各式防火墙,相信在不久的将来,网络一定会是一个安全的信息传输媒体。特别需要强调的是,在任何时候都应将网络安全教育放在整个安全体系的首位,努力提高所有网络用户的安全意识和基本防范技术。这对提高整个网络的安全性有着十分重要的意义。