DNS劫持又稱域名劫持,是指在劫持的網絡范圍內攔截域名解析的請求,分析請求的域名,把審查范圍以外的請求放行,否則返回假的IP地址或者什么都不做使請求失去響應,其效果就是對特定的網絡不能訪問或訪問的是假網址,隱藏IP讓你的服務器不再“裸奔”。
防劫持方案:http://www.bxgb88.com/solutions/web.html
DNS域名劫持的幾種方式及解決方法
DNS劫持癥狀
在某些地區的用戶在成功連接寬帶后,首次打開任何頁面都指向ISP提供的“電信互聯星空”、“網通黃頁廣告”等內容頁面。這些都屬于DNS劫持。
DNS劫持原理
DNS(域名系統)的作用是把網絡地址(域名,以一個字符串的形式)對應到真實的計算機能夠識別的網絡地址(IP地址),以便計算機能夠進一步通信,傳遞網址和內容等。由于域名劫持往往只能在特定的被劫持的網絡范圍內進行,所以在此范圍外的域名服務器(DNS)能夠返回正常的IP地址,高級用戶可以在網絡設置把DNS指向這些正常的域名服務器以實現對網址的正常訪問。所以域名劫持通常相伴的措施——封鎖正常DNS的IP。
DNS域名解析過程
1.輸入網址
2.電腦發出一個DNS請求到本地DNS服務器(本地DNS服務器一般由網絡接入商提供,中國移動、電信等)
3.本地服務器查詢緩存記錄,有則直接返回結果。沒有則向DNS根服務器進行查詢。(根服務器沒有記錄具體的域名和IP地址對應的關系)
4.告訴本地DNS服務器域服務器地址(此處為.com)
5.本地服務器向域服務器發出請求
6.域服務器告訴本地DNS服務器域名的解析服務器的地址
7.本地服務器向解析服務器發出請求
8.收到域名和IP地址的對應關系
9.本地服務器把IP地址發給用戶電腦,并保存對應關系,以備下次查詢
DNS,域名系統,是互聯網上作為域名和IP地址相互映射的一個分布式數據庫。
DNS劫持后果
大規模的DNS劫持,其結果往往是斷網,因為大網站的訪問量實在太大了,釣魚網站的服務器可能會扛不住大流量的訪問,瞬間就會癱瘓掉,網民看到的結果就是網頁打不開。網上購物,網上支付有可能會被惡意指向別的網站,更加加大了個人賬戶泄密的風險。網站內出現惡意廣告。輕則影響網速,重則不能上網。
遞歸DNS獲得了某域名的IP地址后,把所有信息都回復給源地址,而此時的源地址就是被攻擊者的IP地址了。如果攻擊者擁有著足夠多的肉雞群,那么就可以使被攻擊者的網絡被拖垮至發生中斷。
利用DNS服務器攻擊的重要挑戰是,攻擊者由于沒直接與被攻擊主機進行通訊,隱匿了自己行蹤,讓受害者難以追查原始的攻擊來源。相對比較好的解決辦法就是可取消DNS服務器中允許人人查詢網址的遞回(recursive)功能。
1、DNS緩存感染
攻擊者使用DNS請求,將數據放入一個具有漏洞的DNS服務器的緩存當中。這些緩存信息會在客戶進行DNS訪問時返回給用戶,從而把用戶客戶對正常域名的訪問引導到入侵者所設置掛馬、釣魚等頁面上,或者通過偽造的郵件和其他的server服務獲取用戶口令信息,導致客戶遭遇進一步的侵害。
2、DNS信息劫持
原則上TCP/IP體系通過序列號等多種方式避免仿冒數據的插入,但入侵者如果通過監聽客戶端和DNS服務器的對話,就可以猜測服務器響應給客戶端的DNS查詢ID。
每個DNS報文包括一個相關聯的16位ID號,DNS服務器根據這個ID號獲取請求源位置。
攻擊者在DNS服務器之前將虛假的響應交給用戶,從而欺騙客戶端去訪問惡意的網站。假設當提交給某個域名服務器的域名解析請求的數據包被截獲,然后按截獲者的意圖將一個虛假的IP地址作為應答信息返回給請求者。這時,原始請求者就會把這個虛假的IP地址作為它所要請求的域名而進行連接,顯然它被欺騙到了別處而根本連接不上自己想要連接的那個域名。
3、DNS重定向
攻擊者如果將DNS名稱查詢重定向到惡意DNS服務器。那么被劫持域名的解析就完全置于攻擊者的控制之下。
4、ARP欺騙
ARP攻擊就是通過偽造IP地址和MAC地址實現ARP欺騙,能夠在網絡中產生大量的ARP通信量使網絡阻塞,攻擊者只要持續不斷的發出偽造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目,造成網絡中斷或中間人攻擊。
ARP攻擊主要是存在于局域網網絡中,局域網中若有一臺計算機感染ARP木馬,則感染該ARP木馬的系統將會試圖通過"ARP欺騙”手段截獲所在網絡內其它計算機的通信信息,并因此造成網內其它計算機的通信故障。ARP欺騙通常是在用戶局網中,造成用戶訪問域名的錯誤指向,但在IDC機房被入侵后,則也可能出現攻擊者采用ARP包壓制正常主機、或者壓制DNS服務器,而李代桃僵,以使訪問導向錯誤指向的情況。
上一篇:
服務器租用中,遭遇ip攻擊的原因和預防方式
下一篇:
什么是ntp服務器?搭建NTP服務器出現的一些問題
