小白笔记--------------DNS攻击

   最近看了一些DNS的攻击与安全，做一些总结。

   由于最初DNS完全没有考虑安全问题，出名的如“First  Answer Wins”原则，导致了如今涌现出的各种攻击：

   1、DNS欺骗攻击
    由于First Anwser Wins原理，只要能保证欺骗包先于合法包到达就可以达到欺骗的目的。DNS欺骗攻击

可能存在于客户端和DNS服务器间，也可能存在于各DNS服务器之间其工作原理是一致的。DNS欺骗攻击

通过监听客户端的递归解析要求，发送虚拟应答包，返回错误的IP，客户端先收到虚假包，将正确的

包丢弃，被重定向到错误网站。

    2、DNS拒绝服务式攻击

      拒绝服务攻击分两种(就是臭名昭著的DDOS)：

       A:欺骗式攻击
       攻击者先执行利用型攻击（如缓冲区溢出、特洛伊木马等）侵入DNS服务器的高速缓存并诱导其存贮虚假

信息或获得root权限改变服务器的转换表是不同的域名映射到被攻击目标的IP。此时用户发出一个域名

解析请求，得到的是被攻击者的IP，被攻击目标会收到大量的网页连接报文，导致其资源耗尽甚至系统

崩溃而无法响应正常的请求。

      B:反弹式攻击
      攻击者发送源IP为被攻击目标IP的查询报文到大量开放的DNS服务器，DNS服务器把相应的应答报文发送

到被攻击目标，导致被攻击目标的带宽被完全消耗无法对外提供服务。

原理：为了支持DNSSEC、IPv6、NAPTR等其他DNS扩展系统，域名服务器对特定的查询报文返回应答报文

可超过512字节，此时，一个64字节的DNS查询报文就可产生一个大于4000字节的响应报文，由于以太网

MTU限制，被分为3个IP包在网络中传输，流量的放大比率近1:73。

      其中反弹式攻击比较普遍。

   3、DNS流量攻击

     A、PING一个非IP地址的域名要比一个存在的域名小号的时间更长，产生更多的DNS流量，不断变换并不存在
的恶意的DNS请求，增大了服务器的负担，达到破坏互联网的目标。
     B、通过浏览器不断输入随机生成的URL，就会引发DNS流量，千万台计算机都这么做，后果严重。

   4、KAMINSKY缓存投毒攻击
     该攻击上升了一个层次，污染的目标是应答数据包中Authority Records部分（授权资源记录）

攻击者向被攻击的目标服务器发送一个DNS查询请求，该查询请求中的域名主机使用随机序列和目标域名

的组合，显然这个查询的域名主机是不存在的。这使得在目标DNS Cache中一般不存在各个构造域名主机

的记录，因此若攻击不成功，则可以更换随机序列不断攻击，不存在有效攻击时间问题，这将极大地

节省攻击所需时间。
      和传统投毒一样，伪造应答包，回答资源记录部分和正确应答包一样，但是授权资源记录部分是ns1.ict

.ac.cn伪造的IP地址1.1.1.1，一旦攻击成功，该资源记录信息将被写入目标服务器的Cache中。在Cache

保持时间内，对名字服务器ns1.ict.ac.cn管辖的所有域名的查询都将被发送到攻击者自己控制的IP（1.

1.1.1）中。