先决条件—— 域名服务器 , DNS欺骗或DNS缓存中毒 域名服务器 是互联网的重要组成部分。它是一个将字母名称转换为IP地址的系统,允许用户访问网站和交换电子邮件。DNS被组织成一个树状的基础设施,其中第一级包含最顶层的域,例如 网站 和 .org .第二级节点包含通用的传统域名。此树上的“叶”节点称为主机。
null
DNS的工作原理类似于数百万计算机系统访问的数据库,试图确定哪个地址最有可能解决用户的查询。
在DNS攻击中,黑客有时会以包含域名的服务器为目标。在其他情况下,这些攻击者会试图确定系统本身的漏洞,并利用这些漏洞为自己谋利。
攻击类型:
- 拒绝服务(DoS)—— 一种攻击,攻击者通过使资源不可用或使系统充满流量,使用户无法使用(无法访问)计算机。
- 分布式拒绝服务(DDoS)—— 攻击者控制大量计算机(数百台或数千台),以传播恶意软件,并用不必要且超载的流量淹没受害者的计算机。最终,由于无法利用处理密集处理所需的电源,系统将过载并崩溃。
- DNS欺骗(也称为DNS缓存中毒)—— 攻击者会将流量从真正的DNS服务器上赶走,并将其重定向到用户不知道的“盗版”服务器上。这可能会导致用户个人数据的损坏/被盗。
- 快速流量- 攻击者通常会在执行攻击时欺骗其IP地址。Fast flux是一种不断更改基于位置的数据以隐藏攻击确切来源的技术。这将掩盖攻击者的真实位置,给他利用攻击所需的时间。流量可以是单流量、双流量或任何其他变量。单流量更改web服务器的地址,而双流量同时更改web服务器的地址和DNS服务的名称。
- 反射式攻击- 攻击者在欺骗自己的IP地址并使用受害者的源地址时,会发送数千个查询。当这些问题得到回答时,它们都将被重定向到受害者本人。
- 反射放大DoS- 当答案的大小远远大于查询本身时,就会触发流量,从而产生放大效应。这通常使用与反射攻击相同的方法,但这种攻击将进一步压倒用户系统的基础设施。
针对DNS攻击的措施:
- 使用数字签名和证书对会话进行身份验证,以保护私有数据。
- 定期更新并使用最新的软件版本,如BIND。BIND是为用户解析DNS查询的开源软件。它被互联网上绝大多数DNS服务器广泛使用。
- 安装适当的补丁并定期修复错误。
- 在其他几台服务器中复制数据,以便在一台服务器中的数据损坏/丢失时,可以从其他服务器中恢复数据。这也可以防止单点故障。
- 阻止冗余查询以防止欺骗。
- 限制可能的查询数量。
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
![关于”PostgreSQL错误:关系[表]不存在“问题的原因和解决方案-yiteyi-C++库](https://www.yiteyi.com/wp-content/themes/zibll/img/thumbnail.svg)
