DNS劫持攻击的类型,重定向与DNS欺骗攻击

什么是DNS劫持/重定向攻击?域名服务器 (DNS) 劫持,也称为 DNS 重定向,是一种 DNS 攻击,其中 DNS 查询被错误地解析,以便意外地将用户重定向到恶意站点。为了执行攻击,犯罪者要么在用户计算机上安装恶意软件,接管路由器,要么拦截或破解 DNS 通信。

DNS劫持攻击的类型,重定向与DNS欺骗攻击-南华中天

DNS劫持可用于 域名欺骗 (在这种情况下,攻击者通常会展示不需要的广告以产生收入)或 网络钓鱼 (显示用户访问的网站的虚假版本并窃取数据或凭据)。许多 Internet 服务提供商 (ISP) 还使用一种 DNS 劫持来接管用户的 DNS 请求、收集统计信息并在用户访问未知域时返回广告。一些政府使用 DNS 劫持进行审查,将用户重定向到政府授权的站点。

DNS劫持攻击类型

DNS 重定向有四种基本类型:

  • 本地 DNS 劫持——攻击者在用户的计算机上安装特洛伊木马恶意软件,并更改本地 DNS 设置以将用户重定向到恶意站点。
  • 路由器 DNS 劫持——许多路由器有默认密码或固件漏洞。攻击者可以接管路由器并覆盖 DNS 设置,从而影响连接到该路由器的所有用户。
  • 中间人 DNS 攻击——攻击者拦截用户与 DNS 服务器之间的通信,并提供指向恶意站点的不同目标 IP 地址。
  • 流氓 DNS 服务器——攻击者可以入侵 DNS 服务器,并更改 DNS 记录以将 DNS 请求重定向到恶意站点。

重定向与 DNS 欺骗攻击

DNS 欺骗是一种将流量从合法网站(例如 www.google.com)重定向到恶意网站(例如 google.attacker.com)的攻击。 DNS 欺骗 可以通过 DNS 重定向来实现。例如,攻击者可以破坏 DNS 服务器,并以这种方式“欺骗”合法网站并将用户重定向到恶意网站。

DNS劫持攻击的类型,重定向与DNS欺骗攻击-南华中天

缓存投毒是实现 DNS 欺骗的另一种方式,不依赖于 DNS 劫持(物理接管 DNS 设置)。DNS 服务器、路由器和计算机缓存 DNS 记录。攻击者可以通过插入伪造的 DNS 条目来“毒化”DNS 缓存,其中包含同一域名的替代 IP 目的地。DNS 服务器将域解析为欺骗网站,直到缓存被刷新。

缓解方法

名称服务器和解析器的缓解措施

DNS 名称服务器是高度敏感的基础设施,需要强大的安全措施,因为它可能被劫持并被黑客用来 对其他人发起 DDoS 攻击:

  • 注意网络上的解析器——不需要的 DNS 解析器应该关闭。合法的解析器应该放在防火墙后面,不能从组织外部访问。
  • 严格限制对名称服务器的访问——应使用物理安全、多因素访问、防火墙和网络安全措施。
  • 采取措施防止缓存中毒——使用随机源端口、随机查询ID、随机大小写域名。
  • 立即修补已知漏洞——黑客主动搜索易受攻击的 DNS 服务器。
  • 将权威名称服务器与解析器分开——不要在同一台服务器上运行两者,因此对任何一个组件的 DDoS 攻击都不会摧毁另一个组件。
  • 限制区域传输——从名称服务器可以请求区域传输,这是您的 DNS 记录的部分副本。区域记录包含对攻击者有价值的信息。

最终用户的缓解措施

最终用户可以通过更改路由器密码、安装防病毒软件和使用加密的 VPN 通道来保护自己免受 DNS 劫持。如果用户的 ISP 劫持了他们的 DNS,他们可以使用免费的替代 DNS 服务,例如 Google Public DNS、Google DNS over HTTPS 和 Cisco OpenDNS。

DNS劫持攻击的类型,重定向与DNS欺骗攻击-南华中天

网站所有者的缓解措施

使用域名注册商的网站所有者可以采取措施避免 DNS 重定向其 DNS 记录:

  • 安全访问——访问 DNS 注册商时使用双因素身份验证,以避免妥协。如果可能,定义允许访问 DNS 设置的 IP 地址白名单。
  • 客户端锁定——检查您的 DNS 注册商是否支持客户端锁定(也称为更改锁定),这可以防止在未经指定个人批准的情况下更改您的 DNS 记录。
  • DNSSEC——使用支持 DNSSEC 的 DNS 注册商,并启用它。DNSSEC 对 DNS 通信进行数字签名,使黑客更难(但并非不可能)拦截和欺骗。
  • 使用 Imperva 的 名称服务器保护 — 一种基于 Imperva 的全球 CDN 提供安全 DNS 代理网络的服务。每个 DNS 区域接收备用名称服务器主机名,以便所有 DNS 查询都重定向到 Imperva 网络。该服务不仅可以防止 DNS 劫持和中毒,还可以防止针对您的 DNS 基础设施的分布式拒绝服务攻击(DDoS 攻击)。