近來,網路上出現網際網路漏洞——dns快取漏洞,此漏洞直指我們應用中網際網路脆弱的安全系統,而安全性差的根源在於設計缺陷。利用該漏洞輕則可以讓使用者無法開啟網頁,重則是網路釣魚和金融詐騙,給受害者造成巨大損失。
dns快取中毒也稱為dns欺騙,是一種攻擊,旨在查詢並利用dns或網域名稱系統中存在的漏洞,以便將有機流量從合法伺服器吸引到虛假伺服器上。這種攻擊往往被歸類為域欺騙攻擊(pharming attack),由此它會導致出現很多嚴重問題。首先,使用者往往會以為登陸的是自己熟悉的**,而它們卻並不是。與釣魚攻擊採用非法url不同的是,這種攻擊使用的是合法的url位址。
dns快取中毒如何工作?
當乙個dns快取伺服器從使用者處獲得網域名稱請求時,伺服器會在快取中尋找是否有這個位址。如果沒有,它就會上級dns伺服器發出請求。
在出現這種漏洞之前,攻擊者很難攻擊dns伺服器:他們必須通過傳送偽造查詢響應、獲得正確的查詢引數以進入快取伺服器,進而控制合法dns伺服器。這個過程通常持續不到一秒鐘,因此黑客攻擊很難獲得成功。
但是,現在有安全人員找到該漏洞,使得這一過程朝向有利於攻擊者轉變。這是因為攻擊者獲悉,對快取伺服器進行持續不斷的查詢請求,伺服器不能給與回應。比如,乙個黑客可能會發出類似請求:1q2w3e.google.com,而且他也知道快取伺服器中不可能有這個網域名稱。這就會引起快取伺服器發出更多查詢請求,並且會出現很多欺騙應答的機會。
當然,這並不是說攻擊者擁有很多機會來猜測查詢引數的正確值。事實上,是這種開放源dns伺服器漏洞的公布,會讓它在10秒鐘內受到危險攻擊。
要知道,即使1q2w3e.google.com受到快取dns中毒攻擊危害也不大,因為沒有人會發出這樣的網域名稱請求,但是,這正是攻擊者發揮威力的地方所在。通過欺騙應答,黑客也可以給快取伺服器指向乙個非法的伺服器網域名稱位址,該位址一般為黑客所控制。而且通常來說,這兩方面的資訊快取伺服器都會儲存。
由於攻擊者現在可以控制網域名稱伺服器,每個查詢請求都會被重定向到黑客指定的伺服器上。這也就意味著,黑客可以控制所有網域名稱下的子域**:www.bigbank.com,mail.bigbank.com,ftp.bigbank.com等等。這非常強大,任何涉及到子域**的查詢,都可以引導至由黑客指定的任何伺服器上。
dns快取中毒有何風險?
如何防止dns快取中毒
那麼,企業究竟該如何防止dns快取中毒攻擊?要從以下幾點出發:
第一,dns伺服器應該配置為盡可能少地依賴與其他dns伺服器的信任關係。以這種方式配置將使攻擊者更難以使用他們自己的dns伺服器來破壞目標伺服器。
第二,企業應該設定dns伺服器,只允許所需的服務執行。因為在dns伺服器上執行不需要的其他服務,只會增加攻擊向量大小。
第三,安全人員還應確保使用最新版本的dns。較新版本的bind具有加密安全事務id和埠隨機化等功能,可以幫助防止快取中毒攻擊。
第四,使用者的安全教育對於防止這些攻擊也非常重要。使用者應接受有關識別可疑**的培訓,使用者要學會只訪問https**,這有助於防止人們成為中毒攻擊的受害者,因為他們會確保不將他們的個人資訊輸入黑客的**。如果他們在連線到**之前收到ssl警告,則不會單擊「忽略」按鈕。 這樣就不會受到dns快取中毒攻擊。
結論
https是現行架構下最安全的解決方案,ssl證書可以很直觀的辨別出釣魚**,避免**受到dns快取中毒攻擊,保護資訊保安。部署ssl證書一定要選擇乙個具有公信力的ca機構,選擇ca機構最好是通過國際webtrust標準的認證,具備了國際電子認證服務能力的ca機構,通過國際webtrust標準的認證意味著ca機構的運營管理和服務水平符合國際標準,並且有能力、有資質提供全球化認證服務,是可靠電子認證服務的有效證明。
Share Memory協議是怎麼回事
細心的朋友會發現,sql server 2005所支援的網路庫協議中多了乙個share memory協議,那麼它是用在什麼場合的呢?下面是官方文件的一些介紹 從執行在同一臺計算機上的客戶端到 microsoft sql server 的連線使用共享記憶體協議。共享記憶體沒有可配置的屬性。始終會先嘗試...
TBox怎麼回事
新公司有一款tbox的產品,但我對於tbox了解甚少,對車聯網也連線甚少。對網路上的一些資料,我也應該做一些整合,加上這段時間在公司接觸到的事情,完成這篇部落格,寫部落格也是一種激勵自己學習的手段。tbox上通雲端tsp telematics service provider,遠端服務提供商 下連汽...
炒股到底是怎麼回事?
到底是怎麼回事?很久就聽說 有人賺死,有人虧死。只是聽別人說,自己沒多大興趣,因為聽說風險太大,並且虧的可能性很大,呵呵,誰願意去做八成可能虧的買賣呢?但昨天在sohu上看到一條新聞,引起我對它的興趣,所以今天了解了一下。其實我覺得道理好像很簡單,就是你拿一部分錢跟你兄弟說 兄弟,咱們合夥搞一莊生意...