Dragon
  • 注册、登陆后即可全站无广告畅快浏览本博客了!
  • 本博客已开启支持百度AI智能内容自动审核机制!
明月登楼明月登楼  2019-02-17 18:51 明月登楼的博客 隐藏边栏 |   6 条评论  2,142 
文章评分 0 次,平均分 0.0
导语: HTTPS 是现行架构下最安全的解决方案,SSL 证书可以很直观的辨别出钓鱼网站,避免网站受到 DNS 缓存中毒攻击,保护信息安全。部署 SSL 证书一定要选择一个具有公信力的 CA 机构,选择 CA 机构最好是通过国际 Webtrust 标准的认证,具备了国际电子认证服务能力的 CA 机构,通过国际 Webtrust 标准的认证意味着 CA 机构的运营管理和服务水平符合国际标准,并且有能力、有资质提供全球化认证服务,是可靠电子认证服务的有效证明。

近来,网络上出现互联网漏洞——DNS 缓存漏洞,此漏洞直指我们应用中互联网脆弱的安全系统,而安全性差的根源在于设计缺陷。利用该漏洞轻则可以让用户无法打开网页,重则是网络钓鱼和金融诈骗,给受害者造成巨大损失。

DNS 缓存中毒也称为 DNS 欺骗,是一种攻击,旨在查找并利用 DNS 或域名系统中存在的漏洞,以便将有机流量从合法服务器吸引到虚假服务器上。这种攻击往往被归类为域欺骗攻击(pharming attack),由此它会导致出现很多严重问题。首先,用户往往会以为登陆的是自己熟悉的网站,而它们却并不是。与钓鱼攻击采用非法 URL 不同的是,这种攻击使用的是合法的 URL 地址。

DNS 缓存中毒如何工作?

当一个 DNS 缓存服务器从用户处获得域名请求时,服务器会在缓存中寻找是否有这个地址。如果没有,它就会上级 DNS 服务器发出请求。

在出现这种漏洞之前,攻击者很难攻击 DNS 服务器:他们必须通过发送伪造查询响应、获得正确的查询参数以进入缓存服务器,进而控制合法 DNS 服务器。这个过程通常持续不到一秒钟,因此黑客攻击很难获得成功。

但是,现在有安全人员找到该漏洞,使得这一过程朝向有利于攻击者转变。这是因为攻击者获悉,对缓存服务器进行持续不断的查询请求,服务器不能给与回应。比如,一个黑客可能会发出类似请求:1q2w3e.google.com,而且他也知道缓存服务器中不可能有这个域名。这就会引起缓存服务器发出更多查询请求,并且会出现很多欺骗应答的机会。

当然,这并不是说攻击者拥有很多机会来猜测查询参数的正确值。事实上,是这种开放源 DNS 服务器漏洞的公布,会让它在 10 秒钟内受到危险攻击。

要知道,即使 1q2w3e.google.com 受到缓存 DNS 中毒攻击危害也不大,因为没有人会发出这样的域名请求,但是,这正是攻击者发挥威力的地方所在。通过欺骗应答,黑客也可以给缓存服务器指向一个非法的服务器域名地址,该地址一般为黑客所控制。而且通常来说,这两方面的信息缓存服务器都会存储。

由于攻击者现在可以控制域名服务器,每个查询请求都会被重定向到黑客指定的服务器上。这也就意味着,黑客可以控制所有域名下的子域网址:www.bigbank.com,mail.bigbank.com,ftp.bigbank.com 等等。这非常强大,任何涉及到子域网址的查询,都可以引导至由黑客指定的任何服务器上。

DNS 缓存中毒有何风险?

DNS 缓存中毒的主要风险是窃取数据。DNS 缓存中毒攻击的最喜欢的目标是医院,金融机构网站和在线零售商。这些目标容易被欺骗,这意味着任何密码,信用卡或其他个人信息都可能受到损害。此外,在用户设备上安装密钥记录器的风险,可能会导致用户访问其他站点时暴露其用户名和密码。

另一个重大风险是,如果互联网安全提供商的网站被欺骗,那么用户的计算机可能会受到其他威胁(如:病毒或特洛伊木马)的影响,因为一旦被攻击用户则不会执行合法的安全更新。

据称,DNS 攻击的年平均成本为 223.6 万美元,其中 23%的攻击来自 DNS 缓存中毒。

如何防止 DNS 缓存中毒

那么,企业究竟该如何防止 DNS 缓存中毒攻击?要从以下几点出发:

  • 第一,DNS 服务器应该配置为尽可能少地依赖与其他 DNS 服务器的信任关系。以这种方式配置将使攻击者更难以使用他们自己的 DNS 服务器来破坏目标服务器。
  • 第二,企业应该设置 DNS 服务器,只允许所需的服务运行。因为在 DNS 服务器上运行不需要的其他服务,只会增加攻击向量大小。
  • 第三,安全人员还应确保使用最新版本的 DNS。较新版本的 BIND 具有加密安全事务 ID 和端口随机化等功能,可以帮助防止缓存中毒攻击。
  • 第四,用户的安全教育对于防止这些攻击也非常重要。用户应接受有关识别可疑网站的培训,用户要学会只访问 HTTPS 网站,这有助于防止人们成为中毒攻击的受害者,因为他们会确保不将他们的个人信息输入黑客的网站。如果他们在连接到网站之前收到 SSL 警告,则不会单击“忽略”按钮。这样就不会受到 DNS 缓存中毒攻击。

结论

HTTPS 是现行架构下最安全的解决方案,SSL 证书可以很直观的辨别出钓鱼网站,避免网站受到 DNS 缓存中毒攻击,保护信息安全。部署 SSL 证书一定要选择一个具有公信力的 CA 机构,选择 CA 机构最好是通过国际 Webtrust 标准的认证,具备了国际电子认证服务能力的 CA 机构,通过国际 Webtrust 标准的认证意味着 CA 机构的运营管理和服务水平符合国际标准,并且有能力、有资质提供全球化认证服务,是可靠电子认证服务的有效证明。

「点点赞赏,手留余香」

还没有人赞赏,快来当第一个赞赏的人吧!

明月登楼给明月登楼打赏
×
予人玫瑰,手有余香
  • 2
  • 5
  • 10
  • 20
  • 50
2
支付

本文来自投稿,不代表明月登楼的博客立场,版权归原作者所有,欢迎分享本文,转载请保留出处!

明月登楼
明月登楼 关注:1    粉丝:0 最后编辑于:2019-07-06
玉满斋(www.ymanz.com)网站创始人,☑玉器爱好者 ☑微博控 ☑手机控 ☑历史控 ☑宅 ☑网络控 ☑Wordpress控

发表评论

表情 链接 私密 格式 签到
  1. 这是一个视频解析接口

    漏洞与补丁齐飞,推动了互联网的折腾不止,生生不息!

    地板 2019-02-21 13:46
    0 0 回复
  2. 王杰
    王杰 来自天朝的朋友 

    .com

    板凳 2019-02-20 21:28
    0 0 回复
  3. 泪雪博客
    泪雪博客 评论达人 LV.3 来自天朝的朋友 谷歌浏览器 69.0.3497.100 Windows 10

    我只想说 HTTPS 确实是个好东西

    沙发 2019-02-18 16:16
    0 0 回复
扫一扫二维码分享