DNS緩存欺騙是 DNS記錄更改,導致惡意重定向流量的結果。DNS 魂村欺騙可以通過直接攻擊 DNS 主機,或通過任何形式的專門針對 DNS 流量的中間人攻擊來執行。今天夢飛科技小編就來具體介紹下DNS緩存欺騙的內容。
DNS 緩存欺騙以一種利用 DNS 通信結構的方式明確地工作,當 DNS 主機嘗試在域上執行查找時,它會將請求轉發到根權威 DNS,并沿著 DNS 主機鏈向下查詢,直到它到達域上的權威 DNS 主機。
因此攻擊者利用在回復本地 DNS 主機時,擊敗實際的權威 DNS ,這樣做本地 DNS 主機將會使用攻擊者的 DNS 記錄,而不是實際的權威答案。由于 DNS 的性質,本地 DNS 主機無法確定回復的真實性。
由于 DNS 主機將在內部緩存查詢,因此每次請求域時,不必花費時間查詢權威主機,從而加劇了這種攻擊。而這同時帶來了另一個問題,因為如果攻擊者可以擊敗權威DNS 主機進行回復,那么攻擊者記錄將被本地 DNS 主機緩存,這意味著任何使用本地DNS主機的用戶都將獲得攻擊者記錄,可能會重定向所有使用該本地 DNS 主機的用戶,都可以訪問攻擊者的網站。
DNS 緩存欺騙攻擊的案例:
案例一、生日攻擊的盲目響應偽造
DNS 協議交換不驗證對遞歸迭代查詢的響應,驗證查詢只會檢查 16 位事務 ID 以及響應數據包的源 IP 地址和目標端口。在 2008 年之前,所有 DNS 使用固定端口53 解析,因此除了事務 ID 之外,欺騙 DNS 回復所需的所有信息都是可預測的。用這種弱點攻擊 DNS 被稱為【生日悖論】,平均需要 256 次來猜測事務 ID。
為了使攻擊成功,偽造的 DNS 回復必須在合法權威響應之前到達目標解析器。如果合法響應首先到達,它將由解析器緩存,并且直到其生存時間TTL到期,解析器將不會要求權威服務器解析相同的域名,從而防止攻擊者中毒映射該域。
案例二、竊聽
許多增強 DNS 安全性的新提議包括源端口隨機化,0x20 XOR 編碼,WSEC-DNS,這些都取決于用于身份驗證的組件的不對稱可訪問性。 換句話說,它們通過隱匿而不是通過身份驗證和加密的機密性來提供安全性。它們的唯一目標是如上所述,防止盲目攻擊使用這些安全方法,仍然使 DNS 容易遭受受損和網絡竊聽者的輕微攻擊,以打破并執行如上所述的相同攻擊,這次沒有盲目猜測。
