互聯(lián)網(wǎng)上每一臺(tái)設(shè)備都會(huì)有一個(gè) IP 地址,我們?cè)谠L問網(wǎng)站或發(fā)送信息時(shí)瘾婿,其實(shí)都是通過 IP 地址達(dá)成準(zhǔn)確請(qǐng)求的蜻牢。但是這個(gè) IP 地址由很長(zhǎng)一串?dāng)?shù)字組成,記憶起來相當(dāng)困難偏陪,所以我們創(chuàng)造了更實(shí)用的域名來代替 IP 地址抢呆。而如何將域名和 IP 地址聯(lián)系起來,就是域名系統(tǒng)(DNS)發(fā)揮作用的地方笛谦。它由各種名稱服務(wù)器(即 DNS 服務(wù)器)組成抱虐,負(fù)責(zé)域名解析,幫助客戶端建立聯(lián)系饥脑,是網(wǎng)絡(luò)中最重要的服務(wù)之一恳邀。
名稱服務(wù)器和客戶端之間的通信存在一定的安全風(fēng)險(xiǎn),部分心懷不軌的人可以通過很多方法篡改 Internet 上的名稱解析好啰。本文要講的 DNS 欺騙轩娶,就是通過虛假的 IP 地址發(fā)起欺騙攻擊。
什么是 DNS 欺騙框往?
DNS 欺騙是指 DNS 名稱解析被篡改鳄抒,特別容易出現(xiàn)的 DNS 欺騙是偽造域名的 IP 地址。這是因?yàn)?DNS 解析主要在內(nèi)部系統(tǒng)進(jìn)行,而瀏覽器中顯示的是正確的域名许溅,所以用戶通常不會(huì)注意到被篡改瓤鼻。具體操作為,惡意者讓 DNS 請(qǐng)求會(huì)返回一個(gè)虛假的 IP 地址贤重,當(dāng)客戶端與假 IP 地址建立連接時(shí)茬祷,用戶就會(huì)被重定向到假的服務(wù)器。簡(jiǎn)單舉個(gè)例子:
下圖是客戶端在連接到網(wǎng)站 example.com 過程中被欺騙的案例示意圖:
(圖片來源于互聯(lián)網(wǎng)并蝗,如有侵權(quán)請(qǐng)聯(lián)系我們刪除)
d1:客戶端首先從 DNS 服務(wù)器請(qǐng)求主機(jī)名 example.com 的 IP 地址祭犯。
d2:客戶端收到了請(qǐng)求的響應(yīng),但它返回了一個(gè)虛假的 IP 地址滚停。未與 example.com 真正的服務(wù)器建立連接沃粗。
h1:客戶端將請(qǐng)求發(fā)送到偽造 IP 地址后面的惡意主機(jī)。
h2:惡意主機(jī)將看似合法的網(wǎng)站頁面返回給客戶端键畴。但是最盅,惡意主機(jī)上缺少該域名的安全證書。
A起惕、B涡贱、C:這些是 DNS 欺騙的不同攻擊點(diǎn):在客戶端或本地路由器上、在網(wǎng)絡(luò)連接上以及在 DNS 服務(wù)器上惹想。
DNS 欺騙會(huì)帶來哪些威脅问词?
攻擊者使用 DNS 欺騙進(jìn)行網(wǎng)絡(luò)釣魚和域名欺騙攻擊,目的是攔截互聯(lián)網(wǎng)上的用戶數(shù)據(jù)嘀粱。因?yàn)?DNS 欺騙會(huì)影響客戶端建立的每一個(gè)連接戏售。無論是訪問網(wǎng)站還是發(fā)送電子郵件,若相關(guān)服務(wù)器的 IP 地址被篡改草穆,目的都是讓受害者相信他們最終訪問了一個(gè)合法的地址,并利用受害者的信任引誘下載惡意軟件并感染系統(tǒng)搓译,進(jìn)而竊取敏感的用戶數(shù)據(jù)悲柱。
DNS 欺騙會(huì)帶來以下風(fēng)險(xiǎn):
機(jī)密數(shù)據(jù)盜竊:網(wǎng)絡(luò)釣魚用于竊取密碼等敏感數(shù)據(jù)。這些方法通常用于入侵計(jì)算機(jī)系統(tǒng)或進(jìn)行各種詐騙些己。
系統(tǒng)惡意軟件感染:受害者被誘騙在自己的系統(tǒng)上安裝惡意軟件豌鸡,為進(jìn)一步的攻擊打開了大門。
收集用戶資料:在此過程中收集個(gè)人數(shù)據(jù)段标,進(jìn)行出售或用于其他有針對(duì)性的網(wǎng)絡(luò)釣魚攻擊涯冠。
可構(gòu)成持續(xù)威脅:遭遇 DNS 欺騙,被篡改的 DNS 響應(yīng)信息可能會(huì)保留在緩存中逼庞,在較長(zhǎng)時(shí)間內(nèi)進(jìn)行欺騙蛇更。
在 2020 年春季 COVID-19 流行期間,國(guó)外就發(fā)生過 DNS 欺騙攻擊。攻擊者劫持了路由器的 DNS派任,篡改成了惡意的 IP 地址砸逊。受害者的瀏覽器會(huì)自行打開并顯示一條消息,提示他們下載據(jù)稱來自世界衛(wèi)生組織 (WHO) 的“COVID-19 通知應(yīng)用程序”掌逛。但其實(shí)师逸,該軟件是木馬軟件。如果受害者安裝了木馬軟件豆混,它會(huì)搜索本地系統(tǒng)并嘗試訪問敏感數(shù)據(jù)篓像,用于針對(duì)受害者的網(wǎng)絡(luò)釣魚攻擊。
△ 宣傳虛假 COVID-19 信息應(yīng)用程序的 Msftconnecttest 頁面
不過 DNS 欺騙并不都是惡意攻擊皿伺,一些互聯(lián)網(wǎng)服務(wù)提供商(ISP) 偶爾也會(huì)通過 DNS 欺騙的手段來審查或投放廣告员辩。例如,ISP 可以故意操縱其 DNS 表以實(shí)施國(guó)家審查的要求心傀。這樣做可以禁止用戶訪問違規(guī)網(wǎng)站屈暗,當(dāng)用戶訪問被禁止的域名時(shí),將會(huì)被重定向到警告頁面脂男。DNS 欺騙也可以幫助收集用戶數(shù)據(jù)养叛,或通過重定向的方式來投放廣告。比如用戶進(jìn)入不存在或拼寫錯(cuò)誤的域名時(shí)宰翅,ISP 使用 DNS 欺騙將用戶重定向到特定頁面弃甥,此頁面可能會(huì)播放廣告或創(chuàng)建用戶配置文件。
如何免受 DNS 欺騙汁讼?
DNS 作為影響信息安全的一類威脅淆攻,我們需要對(duì) DNS 欺騙保持戒心。我們可以采取加密措施的手段有效地防止 DNS 欺騙嘿架。加密方法通常具有兩個(gè)關(guān)鍵優(yōu)勢(shì):
保護(hù)數(shù)據(jù)免受第三方未經(jīng)授權(quán)的訪問
保證了通信雙方的真實(shí)性
針對(duì)網(wǎng)站管理員的方式來說瓶珊,可用的加密方式有網(wǎng)站域名開啟強(qiáng)制 HTTPS,電子郵件客戶端中配置的連接(例如 IMAP耸彪、POP3 和 SMTP )使用安全協(xié)議TLS 和 SSL伞芹。這類加密可以保護(hù)請(qǐng)求中的數(shù)據(jù)傳輸,如果攻擊者試圖冒充正常的主機(jī)蝉娜,客戶端就會(huì)出現(xiàn)證書錯(cuò)誤的提示唱较,減少受到 DNS 欺騙的可能。
DNS 服務(wù)器間的連接還可以通過DNSCrypt召川、DNS over HTTPS(DoH)和 DNS over TLS(DoT)這些技術(shù)南缓,減少危險(xiǎn)的中間人攻擊。但需要注意的是荧呐,這三種解決方案的應(yīng)用不是很普遍汉形,DNS 服務(wù)器必須支持相應(yīng)的安全技術(shù)纸镊,才能使用這三種方式進(jìn)行加密工作。
上面提到的是管理員可以做的加密方式获雕,對(duì)于用戶來說薄腻,我們可以使用公共 DNS 來避免 DNS 欺騙。設(shè)置非常簡(jiǎn)單届案,直接在系統(tǒng)的 “網(wǎng)絡(luò)設(shè)置” 中更改 DNS 地址即可庵楷。公用的 DNS 除了可以應(yīng)對(duì) DNS 欺騙,還可以加快解析響應(yīng)速度楣颠。同時(shí)大型的公共 DNS 通常會(huì)使用先進(jìn)的安全技術(shù)尽纽,例如 DNSSEC(DNS 安全擴(kuò)展)、DoH童漩、DoT 和 DNSCrypt弄贿。常見的公共 DNS 有 114DNS 的 114.114.114.114,純凈無劫持矫膨;Google 的 8.8.8.8 差凹、Quad9 的 9.9.9.9,均支持 DNSSEC侧馅。
關(guān)于 DNS 欺騙相關(guān)的暫時(shí)就講到這了危尿,看完這篇文章希望能幫助大家更好地保護(hù)自己的信息安全。
