DNS欺骗

什么是域名系统（DNS）欺骗？

域名服务器（DNS）欺骗（又称DNS缓存中毒）是一种攻击，其中使用更改后的DNS记录将在线流量重定向到类似其预期目的地的欺诈网站。

一旦出现，用户将被提示登录（他们认为是）他们的账户，从而使犯罪者有机会窃取他们的访问凭证和其他类型的敏感信息。此外，恶意网站通常用于在用户的计算机上安装蠕虫或病毒，使攻击者可以长期访问它以及它所存储的数据。

执行DNS欺骗攻击的方法包括：

• 中间人（MITM） - 拦截用户和DNS服务器之间的通信，以便将用户路由到不同的/恶意的IP地址。
• DNS服务器危害 - 直接劫持DNS服务器，该服务器配置为返回恶意IP地址。

DNS缓存中毒示例

以下示例说明DNS缓存中毒攻击，攻击者（IP 192.168.3.300）拦截客户端（IP 192.168.1.100）和属于网站www.estores.com（IP 192.168 ）的服务器计算机之间的通信通道。 2.200）。

在这种情况下，使用工具（例如arpspoof）来欺骗客户端，使其认为服务器IP为192.168.3.300。同时，服务器被认为客户端的IP也是192.168.3.300。

这种情况如下进行：

1. 攻击者使用arpspoof发出命令：arpspoof 192.168.1.100 192.168.2.200。这会修改服务器ARP表中的MAC地址，使其认为攻击者的计算机属于客户端。
2. 攻击者再次使用arpspoof发出命令：arpspoof 192.168.2.200 192.168.1.100，它告诉客户端犯罪者的计算机是服务器。
3. 攻击者发出Linux命令：echo 1> / proc / sys / net / ipv4 / ip_forward。结果，在客户端和服务器之间发送的IP数据包被转发给犯罪者的计算机。
4. 主机文件192.168.3.300 estores.com创建在攻击者的本地计算机上，该计算机将www.estores.com网站映射到其本地IP。
5. 犯罪者在本地计算机的IP上建立一个网络服务器，并创建一个类似www.estores.com的假网站。
6. 最后，使用工具（例如dnsspoof）将所有DNS请求定向到犯罪者的本地主机文件。因此虚假网站向用户展示，只有通过与网站互动，恶意软件才会安装在他们的计算机上。

使用域名服务器安全（DNSSEC）缓解DNS欺骗

DNS是一个未加密的协议，可以很容易地通过欺骗来拦截流量。更重要的是，DNS服务器不会验证他们重定向流量的IP地址。

DNSSEC是一种旨在通过添加其他验证方法来保护您的DNS的协议。该协议创建一个存储在您的其他DNS记录旁边的唯一密码签名，例如A记录和CNAME。然后，您的DNS解析器使用此签名来验证DNS响应，确保记录未被篡改。

虽然DNSSEC可以帮助防止DNS欺骗，但它有一些潜在的缺点，包括：

• 缺乏数据机密性 - DNSSEC进行身份验证，但不对DNS响应进行编码。因此，肇事者仍然能够监听流量并使用这些数据进行更复杂的攻击。
• 复杂的部署 --DNSSEC通常配置错误，这会导致服务器失去安全优势，甚至完全拒绝访问网站。
• 区域枚举 - DNSSEC使用额外的资源记录来启用签名验证。一个这样的记录NSEC能够验证DNS区域是否存在。它也可以用来遍历DNS区域来收集所有现有的DNS记录 - 一个名为区域枚举的漏洞。较新版本的NSEC，称为NSEC3和NSEC5，发布主机名散列记录，从而加密它们并防止区域枚举。