??????? 美國服務器的DNS緩存欺騙是指因為DNS記錄更改而導致惡意重定向流量的結果。美國服務器DNS緩存欺騙可以通過直接攻擊DNS主機,或通過任何形式的專門針對DNS流量的中間人攻擊來執行,本文小編就來介紹一下美美國服務器DNS緩存欺騙的內容。
??????? DNS緩存欺騙以一種利用DNS通信結構的方式明確地工作,當美國服務器DNS嘗試在域上執行查找時,它會將請求轉發到更權威DNS主機,并沿著美國服務器DNS鏈向下查詢,直到它到達域上的權威DNS主機。
??????? 由于本地美國服務器DNS不知道具體哪個服務器負責對應哪個域,并且不知道到每個權威服務器的完整路由,因此只要回復與查詢匹配并且格式正確,它就會從任何地方接受對其查詢的回復。
??????? 因此攻擊者利用在回復本地美國服務器DNS時,擊敗實際的權威DNS主機,這樣做本地美國服務器DNS將會使用攻擊者的DNS記錄,而不是實際的權威答案,由于DNS的性質,所以本地美國服務器DNS無法確定回復的真實性。
??????? 由于美國服務器DNS將在內部緩存查詢,因此每次請求域時不必花費時間查詢權威DNS主機,從而加劇了這種攻擊。而這同時帶來了另一個問題,因為如果攻擊者可以擊敗權威DNS主機進行回復,那么攻擊者記錄將被本美國服務器DNS緩存,這意味著任何使用本地美國服務器DNS的用戶都將獲得攻擊者記錄,可能會重定向所有使用該本地美國服務器DNS的用戶都可以訪問攻擊者的網站。
??????? 美國服務器DNS緩存欺騙攻擊的案例:
??????? 案例一:生日攻擊的盲目響應偽造
??????? 美國服務器DNS協議交換不驗證對遞歸迭代查詢的響應,驗證查詢只會檢查 16 位事務 ID 以及響應數據包的源 IP 地址和目標端口。在 2008 年之前所有DNS使用固定端口53 解析,因此除了事務 ID 之外,欺騙DNS回復所需的所有信息都是可預測的。用這種弱點攻擊美國服務器DNS被稱為生日悖論,平均需要 256 次來猜測事務 ID。
??????? 為了使攻擊成功,偽造的DNS回復必須在合法權威響應之前到達目標解析器。如果合法響應首先到達,它將由解析器緩存,并且直到其生存時間TTL到期,解析器將不會要求權威美國服務器解析相同的域名,從而防止攻擊者中毒映射該域。
??????? 案例二:竊聽
??????? 許多增強美國服務器DNS安全性的新提議包括源端口隨機化,0x20 XOR 編碼,WSEC-DNS,這些都取決于用于身份驗證的組件的不對稱可訪問性。 換句話說,它們通過隱匿而不是通過身份驗證和加密的機密性來提供安全性,唯一目標是如上所述,防止盲目攻擊使用這些安全方法,仍然使DNS容易受損和遭受網絡竊聽者的輕微攻擊,以打破并執行如上所述的相同攻擊,而這次沒有盲目猜測。
??????? 即使在交換環境中,也可以使用ARP中毒和類似技術強制所有美國服務器數據包進入惡意計算機,并且可以擊破這種混淆技術。
??????? 以上內容就是關于美國服務器DNS緩存欺騙的介紹,希望能幫助到有需要的美國服務器用戶們。
??????? 現在夢飛科技合作的美國VM機房的美國服務器所有配置都免費贈送防御值 ,可以有效防護網站的安全,以下是部分配置介紹:
| CPU | 內存 | 硬盤 | 帶寬 | IP | 價格 |
| Xeon E3-1231v3 | 16GB | 500GB?SSD | 100Mbps或1Gbps限20TB | 1個IP | 799/月 |
| Dual Xeon E5-2630 | 16GB | 500GB?SSD | 10Gbps限20TB | 1個IP | 859/月 |
| Dual Xeon E5-2690 | 16GB | 500GB?SSD | 40Gbps限20TB | 1個IP | 1059/月 |
| Dual Xeon silver 4116 | 64GB | 500GB?SSD | 100Gbps限20TB | 1個IP | 3559/月 |
??????? 夢飛科技已與全球多個國家的頂級數據中心達成戰略合作關系,為互聯網外貿行業、金融行業、IOT行業、游戲行業、直播行業、電商行業等企業客戶等提供一站式安全解決方案。持續關注夢飛科技官網,獲取更多IDC資訊!
文章鏈接: http://www.qzkangyuan.com/19743.html
文章標題:美國服務器DNS緩存欺騙介紹
文章版權:夢飛科技所發布的內容,部分為原創文章,轉載請注明來源,網絡轉載文章如有侵權請聯系我們!
