什么是DNS污染，如何预防？

如果说好莱坞电影教会了我们一件事，那就是黑客很聪明，他们有各种各样的伎俩来绕过我们的安全。在现实世界中，安全问题往往归结于机会，而不是发展技能。“DNS中毒”攻击符合这一描述。其实你需要有防止域名被骗的技巧。

概念很简单:访问者看到了你的网站，但它是欺诈性的、有害的，和这个假网站看起来很像。所以你需要采用各种技术来保证用户的安全，你的站点不会被攻击。

在本文中，我们将深入讨论DNS中毒，或DNS中毒和域欺骗的概念。我们还将讨论一些相关的概念，以帮助您理解为什么您的最终回应是最佳方法。

域名系统(DNS)简介

DNS查找的过程

什么是DNS污染？

如何防止DNS污染

域名系统(DNS)简介

在进入DNS污染的细节之前，先说一下域名系统。虽然浏览一个网站似乎是一个简单的任务，但在服务器的引擎盖下有许多事情正在进行。

从“A”到“B”涉及许多因素:

IP地址。这是一串数字，它是你的实际网址。用它们作为你房子的坐标。例如，127.0.0.1:8080是标准的“本地主机”地址(即您的计算机)。

域名。如果IP地址代表坐标，域名就是信封上显示的地址。当然，“wbolt.com”就是例子之一。

DNS请求。这是一个高级前端任务和复杂低级流程的极好例子。现在，假设一个请求是一个浏览器请求，一个专用的服务器地址是一组坐标。

DNS服务器。这和你网站的服务器不一样。它是四台服务器的组合。它的工作是处理DNS请求。我们将在后面的章节中更详细地讨论这一点。

递归服务器。您还会看到这些名为“解析名称服务器”的服务器。它是DNS查找过程的一部分，负责查询服务器上与IP地址相关的域名。

一般来说，DNS使最终用户很容易获得域名。它是网络的核心部分，所以它有许多活动的部分。

接下来，我们将介绍查找过程本身，尽管您已经看到了DNS如何完成一项重要的任务。

DNS查找的过程

请原谅我们，我们提供的是一个抽象的类比。

带人们去偏远地区的活动，如爬山或航海，都有一个共同的危险:迷路，不能及时被发现。定位被困人员的传统方法是使用坐标。它们很清晰，并提供精确的准确性。

然而，这种方法也有缺点。首先，你需要知道如何在任何地方计算你的坐标——如果你在世界的偏远地区，这是很棘手的。第二，你必须向救援队解释清楚这些坐标。一个错号，后果很可怕。

What3words应用需要一个复杂的计算和传递坐标的过程，转换成大概位置的三个字的总结。例如，以Automatic的总部为例:

苹果地图中的自动化办公室

这个位置的坐标是37.744159，-122.421555。但是，除非你是专业的航海家，否则你不太可能知道这个。即使你有，把它给能帮助你的人也是一个渺茫的提议。

简而言之，What3单词需要一组抽象坐标，翻译成三个好记的单词。就Automatic的office来说，就是没落。转让。睡眠:

What3words网站，显示自动的办公室

这使得几乎所有能够访问该应用程序的人都能够掌握复杂的全球定位。它拯救了许多平民的生命。

这与DNS查找相关，因为过程是相似的。在what3words的情况下，救援者向应用程序询问字符串的坐标。请求通过服务器发送，以找到坐标，并在找到坐标后返回给最终用户。

DNS查找也有类似的过程:

您的浏览器请求域名的IP地址。

您的操作系统(OS)要求递归服务器查找域名并开始运行其服务器集合。

当它找到域名时，它将返回到浏览器。

what3words的一个缺点是一个单词串不如一组坐标准确。这意味着你可以很快确定一个大概的位置，但是找到被困者可能需要更长的时间。

DNS也有缺点，可能被恶意攻击者利用。然而，在我们看这个之前，让我们绕一小段路来讨论缓存以及它如何加速查找。

DNS缓存

与Web缓存非常相似，DNS缓存可以帮助您对服务器进行常规查询。这将使每次新的访问获得IP地址的过程更快。

简而言之，缓存位于DNS服务器系统中，减少了到递归服务器的额外旅程。这意味着浏览器可以直接从DNS服务器获取IP地址，更快地完成GET请求。

你会发现DNS缓存在整个系统中。例如，你的计算机会有DNS缓存，路由器和互联网服务提供商(ISP)也会有。你通常不会意识到你的浏览体验有多依赖DNS缓存，直到你成为DNS中毒的受害者。

什么是DNS污染？

现在你知道了DNS查找的概念和获取IP地址的整个过程，我们可以学习如何利用它。

您经常看到DNS中毒也被称为“欺骗”或“中毒”，因为链中的欺诈性“类似”网站是攻击的一部分。

我们将更详细地讨论所有这些方面，但要知道DNS中毒或欺骗是一种有害的攻击，可能会给用户和互联网造成精神、财务和资源问题。

首先，让我们进入缓存中毒的过程。

DNS污染的工作原理

鉴于整个污染过程的复杂性，攻击者创造了许多不同的方法来达到他们的目的:

机器在中间。这是攻击者在浏览器和DNS服务器之间进行攻击、毒害两者并将用户重定向到他们自己服务器上的欺诈网站的地方。

服务器劫持。如果攻击者进入DNS服务器，他们可以重新配置服务器，并将所有请求发送到自己的站点。

垃圾邮件的毒害。与服务器劫持不同，这种方式会毒害客户端(即浏览器)。通常通过垃圾邮件链接、电子邮件和欺诈性广告授予访问权限。

“生日袭击”。这是一个复杂的加密攻击，需要进一步解释。

生日袭击是基于“生日问题”。这是一个概率场景，就是，(简而言之)如果一个房间里有23个人，两个人同一天生日的概率是50%。如果房间里的人多了，机会就会增加。

显示生日问题的图表(图片来源:维基百科)

根据将DNS查找请求连接到GET响应的标识符，这将被转换为DNS中毒。如果攻击者发送一定数量的随机请求和响应，很可能匹配将导致成功的中毒尝试。从约450个请求来看，概率约为75%。在700个请求中，攻击者几乎可以保证开心服务器。

简而言之，对DNS服务器的攻击在大多数情况下都会发生，因为它使恶意用户能够更灵活地操纵您的站点和用户数据。也不验证DNS数据，因为请求和响应不使用传输控制协议(TCP)。

链条中的弱点是DNS缓存，因为它充当DNS条目的存储库。如果攻击者可以将伪造的条目注入到缓存中，那么每个访问缓存的用户都会发现自己处于欺诈性站点中，直到缓存过期。

攻击者通常会寻找一些信号、弱点和数据点来攻击目标。它们用于查找尚未缓存的DNS查询，因为递归服务器必须在某个时候执行查询。通过扩展，攻击者还将找到查询将到达的名称服务器。一旦有了这些，解析器使用的端口和请求ID号就变得至关重要了。

尽管没有必要满足所有这些要求——毕竟，攻击者可以通过多种方式访问服务器——但选中这些框可以使他们的工作更容易。

DNS污染的真实例子

在过去的几年里，出现了一些引人注目的DNS中毒的例子。在某些情况下，这是一种故意的行为。例如，一些国家或地区大规模运行防火墙来控制互联网用户接收的信息。

简而言之，他们通过将访问者重定向到未经批准的网站，如Twitter和脸书，来污染他们的服务器。

当瑞典ISP从这些国家或地区的服务器提供根DNS信息时，出现了网络错误。这意味着智利和美国的用户在访问某些社交媒体网站时会被重定向到其他地方。

又如，抗议马来西亚滥用的孟加拉国黑客，毒化了许多与微软、谷歌、YouTube等知名网站相关的域名。看来这是服务器劫持，而不是客户端问题或者垃圾邮件。

即使是维基解密也不能幸免于DNS中毒攻击。几年前，一次潜在的服务器劫持导致该网站的访问者被重定向到一个专门针对黑客的页面。

DNS污染不一定是一个复杂的过程。所谓的“道德黑客”——即那些希望揭露安全漏洞而不是造成损害的人——有一种简单的方法可以在自己的计算机上测试欺骗行为。

然而，除了被重定向，DNS中毒表面上似乎没有任何长期影响。实际上，有——我们将在下一步讨论它们。

DNS污染为什么有害？

想要在服务器上执行DNS中毒的攻击者有三个主要目标:

传播恶意软件。

你会被转到另一个网站，这在一定程度上对他们有利。

从您或其他实体窃取信息。

当然，要理解为什么DNS中毒或欺骗对ISP、服务器运营商和最终用户来说都是一个问题并不是超乎想象的。

正如我们所指出的，欺骗对于ISP来说是一个巨大的问题，有像CAIDA Spoofer这样的工具可以提供帮助。

财大网站

几年前，统计数据显示，每天大约有3万次攻击。自报告发表以来，这一数字几乎肯定会增加。更有甚者，就像上一节的例子，通过网络传递虚假网站，会带来用户信任和隐私的问题。

无论你是谁，当你成为中毒和欺骗的受害者时，都有一些风险:

就像一些国家防火墙一样，你可能会被审查。这意味着你得到的信息会不准确，会在很多社会政治领域产生连锁反应。

数据窃取是人们最关心的问题，对于那些想要获得用户的银行信息和其他敏感数据的人来说，这是一个有利可图的风险投资。

您的系统可能容易受到恶意软件和其他特洛伊木马病毒的攻击。例如，攻击者可以通过伪造的网站将键盘记录器或其他形式的间谍软件注入您的系统。

DNS污染还有其他相关影响。例如，当恢复过程全面展开时，您可能无法对系统应用任何安全更新。这将使您的计算机在更长时间内易受攻击。

此外，还要考虑这个清理过程的成本和复杂性，因为它会影响到链条中的每一个人。所有联网服务的价格上涨只是负面因素之一。

消除DNS污染的努力是巨大的。由于欺骗会影响客户端和服务器设置，因此将其从一个设置中删除并不意味着它会从所有设置中消失。

如何防止DNS污染

受DNS污染影响的有两个方面——客户端和服务器。我们将看看你能做些什么来防止这种破坏性的两面攻击。

让我们从互联网作为一个整体在服务器端做什么开始。

如何防止互联网上的DNS污染和服务器端欺骗

虽然我们在这篇文章中讨论了很多关于DNS的内容，但是我们并没有注意到这项技术有多过时。总之，由于某些因素，DNS并不是最适合现代网页浏览体验的。首先，它是不加密的，没有重要的验证考虑，这将阻止许多DNS中毒攻击的继续。

防止攻击变得更强的快速方法是通过简单的日志策略。这将在请求和响应之间进行简单的比较，看它们是否匹配。

然而，长期的答案(根据专家)是使用DNS安全扩展(DNSSEC)。这是一项旨在对抗DNS中毒的技术。简单地说，它提供不同级别的身份验证。

此外，DNSSEC使用“公钥加密”作为认证。这是一种将数据视为真实的方法。它与您的其他DNS信息存储在一起，递归服务器使用它来检查它接收的信息是否没有被更改。

与其他互联网协议和技术相比，DNSSEC是一个相对的婴儿，但它已经足够成熟，可以在互联网的根级别实现，尽管它还不是主流。谷歌的公共DNS是一项完全支持DNSSEC的服务，更多的服务将随时出现。

尽管如此，DNSSEC仍然有一些明显的缺点:

协议不对响应进行编码。这意味着攻击者仍然可以“监听”流量，尽管要绕过DNSSEC，攻击必须更加复杂。

因为DNSSEC使用附加记录来收集DNS数据，所以存在另一个称为“区域枚举”的漏洞。此漏洞使用一条记录“遍历”并收集特定“区域”中的所有DNS记录。该记录的某些版本会加密数据，但其他版本不会。

DNSSEC是一个复杂的协议，因为它也是新的，所以有时可能会配置错误。当然，这将削弱使用它的好处，并引起进一步的问题。

即便如此，DNSSEC至少在服务器端是未来的趋势。作为最终用户，你也可以采取一些预防措施。

如何防止客户端的DNS污染

有更多的方法可以在客户端防止DNS中毒，尽管没有一种方法像专家实现的服务器端DNSSEC那样强大。但是，作为网站所有者，您可以勾选一些简单的复选框:

对任何请求和回复使用端到端加密。安全套接字层(SSL)证书在这里做得很好。

使用Xarp等欺诈检测工具。这些扫描器在发送数据包之前会对其进行扫描。这可以减少任何恶意数据传输。

增加DNS缓存的生存时间(TTL)值将有助于在恶意条目到达最终用户之前将其清除。

您应该有一个好的DNS、DHCP和IPAM(DDI)策略。这包括DNS策略、动态主机配置协议和IP地址管理。这是一个复杂但必要的过程，由系统管理员和服务器安全专家来处理。

作为最终用户，您也可以做一些事情来帮助防止中毒和欺骗:

使用虚拟专用网络(VPN ),因为您的数据将被端到端加密。您也可以使用私有DNS服务器，同样使用端到端加密。

采取简单的预防措施，例如不要点击未识别的链接，定期进行安全扫描。

定期刷新DNS缓存也会清除系统中的恶意数据。只需要几秒钟，很容易实现。

虽然DNS污染不能完全消除，但可以防止最坏的情况发生。作为最终用户，您无法控制服务器如何处理攻击。同样，系统管理员也无法控制浏览器中发生的事情。因此，团队试图防止这种最有害的攻击影响整个链。

总结

互联网攻击是我们公司常见的空。DNS污染(中毒或欺骗)是一种常见的攻击，如果不加控制，可能会影响数百万用户。这是因为DNS协议非常古老，不适合现代网络浏览——尽管新技术即将问世。

简而言之，DNS污染将最终用户重定向到现有网站的欺诈版本。这是一种窃取数据并用恶意软件感染系统的方法。没有万无一失的方法可以完全预防，但你可以通过一些简单的措施来控制它。

你曾经是DNS污染的受害者吗？如果有，为什么？请在下面的评论区和我们分享你的经验！