小白笔记--------------DNS攻击

   最近看了一些DNS的攻击与安全,做一些总结。

   由于最初DNS完全没有考虑安全问题,出名的如“First  Answer Wins”原则,导致了如今涌现出的各种攻击:

   1、DNS欺骗攻击
    由于First Anwser Wins原理,只要能保证欺骗包先于合法包到达就可以达到欺骗的目的。DNS欺骗攻击

可能存在于客户端和DNS服务器间,也可能存在于各DNS服务器之间其工作原理是一致的。DNS欺骗攻击

通过监听客户端的递归解析要求,发送虚拟应答包,返回错误的IP,客户端先收到虚假包,将正确的

包丢弃,被重定向到错误网站。

    2、DNS拒绝服务式攻击

      拒绝服务攻击分两种(就是臭名昭著的DDOS):

       A:欺骗式攻击
       攻击者先执行利用型攻击(如缓冲区溢出、特洛伊木马等)侵入DNS服务器的高速缓存并诱导其存贮虚假

信息或获得root权限改变服务器的转换表是不同的域名映射到被攻击目标的IP。此时用户发出一个域名

解析请求,得到的是被攻击者的IP,被攻击目标会收到大量的网页连接报文,导致其资源耗尽甚至系统

崩溃而无法响应正常的请求。

      B:反弹式攻击
      攻击者发送源IP为被攻击目标IP的查询报文到大量开放的DNS服务器,DNS服务器把相应的应答报文发送

到被攻击目标,导致被攻击目标的带宽被完全消耗无法对外提供服务。

原理:为了支持DNSSEC、IPv6、NAPTR等其他DNS扩展系统,域名服务器对特定的查询报文返回应答报文

可超过512字节,此时,一个64字节的DNS查询报文就可产生一个大于4000字节的响应报文,由于以太网

MTU限制,被分为3个IP包在网络中传输,流量的放大比率近1:73。

      其中反弹式攻击比较普遍。

   3、DNS流量攻击

     A、PING一个非IP地址的域名要比一个存在的域名小号的时间更长,产生更多的DNS流量,不断变换并不存在
的恶意的DNS请求,增大了服务器的负担,达到破坏互联网的目标。
     B、通过浏览器不断输入随机生成的URL,就会引发DNS流量,千万台计算机都这么做,后果严重。

   4、KAMINSKY缓存投毒攻击
     该攻击上升了一个层次,污染的目标是应答数据包中Authority Records部分(授权资源记录)

攻击者向被攻击的目标服务器发送一个DNS查询请求,该查询请求中的域名主机使用随机序列和目标域名

的组合,显然这个查询的域名主机是不存在的。这使得在目标DNS Cache中一般不存在各个构造域名主机

的记录,因此若攻击不成功,则可以更换随机序列不断攻击,不存在有效攻击时间问题,这将极大地

节省攻击所需时间。
      和传统投毒一样,伪造应答包,回答资源记录部分和正确应答包一样,但是授权资源记录部分是ns1.ict

.ac.cn伪造的IP地址1.1.1.1,一旦攻击成功,该资源记录信息将被写入目标服务器的Cache中。在Cache

保持时间内,对名字服务器ns1.ict.ac.cn管辖的所有域名的查询都将被发送到攻击者自己控制的IP(1.

1.1.1)中。

       


你可能感兴趣的:(网络安全)