|
DNS欺騙分析與防范
資源天下 2019/8/18 19:13:14
(接上頁)騙的分析
通過DNS欺騙���,客戶將訪問到錯(cuò)誤的網(wǎng)站,若攻擊者在讓客戶訪問的虛假網(wǎng)站上克隆了客戶欲訪問的真實(shí)網(wǎng)站��,則對(duì)于普通計(jì)算機(jī)用戶來說是無法分辨網(wǎng)站的真實(shí)性的�,因此攻擊者可誘騙客戶輸入如賬號(hào)和密碼等信息然后再將客戶端重定向到真實(shí)網(wǎng)站�,而客戶卻對(duì)自己遭到欺騙攻擊的事實(shí)毫無察覺��。
此外,對(duì)于Web 服務(wù)等有鏈接服務(wù)����,客戶每次訪問獲得的數(shù)據(jù)中常常包含許多鏈接����,而客戶端用戶也常常根據(jù)客戶端界面的引導(dǎo)而對(duì)這些鏈接指向的地址進(jìn)行訪問�����。由于攻擊者作為“中間人”轉(zhuǎn)發(fā)客戶端和Internet間通信的數(shù)據(jù)流���,所以攻擊者可以不進(jìn)行DNS欺騙,直接對(duì)服務(wù)器返回內(nèi)容中的鏈接進(jìn)行修改��,將它們指向攻擊者控制的機(jī)器上去����。當(dāng)然�����,攻擊者還要保留原來鏈接的足夠信息����,以便在收到新的訪問請(qǐng)求時(shí)攻擊者能夠代替客戶去訪問正確的地址��,回送看似正確的內(nèi)容。當(dāng)然����,細(xì)心的用戶可以通過查看Web 瀏覽器中的狀態(tài)行、地址行或網(wǎng)頁源代碼等發(fā)現(xiàn)自己已經(jīng)進(jìn)入假冒的頁面�,這時(shí)攻擊者就需要進(jìn)行更細(xì)致的欺騙,文獻(xiàn)[4]中詳細(xì)介紹了這些技術(shù)�����。
5. DNS欺騙的防范
防范DNS欺騙在你訪問你的銀行賬戶,在線購書網(wǎng)站甚至是網(wǎng)頁電子郵件時(shí)尤為重要�。
而對(duì)于網(wǎng)站管理者來說����,可行的防范措施有:
(1)對(duì)高速緩存器加以限制����,保證不保留額外的記錄��。
(2)不要用或依賴DNS構(gòu)架安全體系����。
(3)使用SSL之類的加密技術(shù)�����,即使被攻擊����,難度也會(huì)加大�。
那么如何挫敗這種攻擊呢���?這也很簡(jiǎn)單,直接用IP訪問重要的服務(wù)����,這樣至少可以避開DNS欺騙攻擊�����。最根本的解決辦法就是加密所有對(duì)外的數(shù)據(jù)流��,對(duì)服務(wù)器來說就是盡量使用SSH之類的有加密支持的協(xié)議��,對(duì)一般用戶應(yīng)該用PGP之類的軟件加密所有發(fā)到網(wǎng)絡(luò)上的數(shù)據(jù)。說起來容易���,做起來難��!
(1)對(duì)于個(gè)人主機(jī)來說��,只要及時(shí)更新補(bǔ)丁或者使用代理就可以防范到DNS攻擊��。
(2)對(duì)高標(biāo)準(zhǔn)的服務(wù)器來說,應(yīng)該做到以下幾點(diǎn):
①安裝新版軟件�;
②關(guān)閉服務(wù)器的遞歸功能���;
③限制城名服務(wù)器做出反應(yīng)的地址���;
④限制城名服務(wù)器做出遞歸相應(yīng)的請(qǐng)求地址�;
⑤限制發(fā)去請(qǐng)求的地址;
⑥手動(dòng)修改本地hosts文件來解��;
⑦用專用工具,比如AntiARP-DNS���。
|