1) 域名劫持

 

通過(guò)采用黑客手段控制了域名管理密碼和域名管理郵箱，然后將該域名的NS紀(jì)錄指向到黑客可以控制的DNS服務(wù)器，然后通過(guò)在該DNS服務(wù)器上添加相應(yīng)域名紀(jì)錄，從而使網(wǎng)民訪問(wèn)該域名時(shí)，進(jìn)入了黑客所指向的內(nèi)容。

 

這顯然是DNS服務(wù)提供商的責(zé)任，用戶(hù)束手無(wú)策。遇到dns被劫持，讓dns服務(wù)提供者解決這個(gè)問(wèn)題，是比較矛盾的;因?yàn)椋俪终撸钣锌赡艿木褪撬麄?另外一種最直接的解決辦法就是換用其他dns。更換dns服務(wù)器的方法非常簡(jiǎn)單，打開(kāi)網(wǎng)絡(luò)連接屬性，選擇Interner 協(xié)議(TCP/IP)的屬性頁(yè)里，不要選擇自動(dòng)獲取DNS，而要選擇“使用下面的DNS服務(wù)器地址”，推薦大家使用OpenDNS提供的DNS服務(wù)器，OpenDNS是一個(gè)提供免費(fèi)DNS服務(wù)的網(wǎng)站，口號(hào)是更安全、更快速、更智能。

 

2) 緩存投毒

 

DNS緩存投毒攻擊是指攻擊者欺騙DNS服務(wù)器相信偽造的DNS響應(yīng)的真實(shí)性。這種類(lèi)型攻擊的目的是將依賴(lài)于此DNS服務(wù)器的受害者重定向到其他的地址。隨著惡意軟件傳播的增多，緩存投毒的方法也層出不窮。典型的一種是發(fā)送標(biāo)題吸引人的垃圾郵件并誘導(dǎo)你去打開(kāi)。點(diǎn)擊郵件中的圖片和廣告條幅也會(huì)將用戶(hù)指向被投毒的網(wǎng)站。一旦用戶(hù)的電腦被惡意代碼感染，他今后所有的URL請(qǐng)求都將被自動(dòng)指向惡意IP地址-哪怕被指向的“受害”服務(wù)器已經(jīng)在其網(wǎng)頁(yè)上清除了惡意代碼。

 

防止投毒

 

目前還沒(méi)有更好辦法阻止黑客的這種行為，只有使DNS緩存服務(wù)器發(fā)出的查詢(xún)請(qǐng)求使用動(dòng)態(tài)的UDP端口，UDP的端口號(hào)也是16位2進(jìn)制，這樣與DNS的ID號(hào)相結(jié)合，號(hào)碼的命中率就是1/4294967296(2的32次方)。

 

3)DDOS攻擊

 

一種攻擊針對(duì)DNS服務(wù)器軟件本身，通常利用BIND軟件程序中的漏洞，導(dǎo)致DNS服務(wù)器崩潰或拒絕服務(wù);另一種攻擊的目標(biāo)不是DNS服務(wù)器，而是利用DNS服務(wù)器作為中間的“攻擊放大器”，去攻擊其它互聯(lián)網(wǎng)上的主機(jī)，導(dǎo)致被攻擊主機(jī)拒絕服務(wù)。

 

為了讓DNS拒絕服務(wù)，惡意攻擊者向允許遞歸的開(kāi)放DNS解析器發(fā)送大量偽造的查詢(xún)請(qǐng)求。目前互聯(lián)網(wǎng)中存在著上百萬(wàn)開(kāi)放的DNS解析器，包括很多的家庭網(wǎng)關(guān)。開(kāi)放的DNS解析器會(huì)認(rèn)為這些偽造的查詢(xún)請(qǐng)求是真實(shí)有效的，并且會(huì)對(duì)這些請(qǐng)求進(jìn)行處理，在處理完成之后，便會(huì)向偽造的請(qǐng)求者(即，受害人)返回DNS響應(yīng)信息。如果查詢(xún)請(qǐng)求的數(shù)量巨大，DNS服務(wù)器很有可能會(huì)發(fā)送大量的DNS響應(yīng)信息。這也就是我們常說(shuō)的放大攻擊，這種方法利用的是DNS解析器中的錯(cuò)誤配置。由于DNS服務(wù)器配置錯(cuò)誤，那么DNS解析器很可能會(huì)在接收到一個(gè)非常小的DNS查詢(xún)請(qǐng)求之后，向目標(biāo)主機(jī)返回大量的攻擊流量。在另一種類(lèi)型的攻擊中，是向DNS服務(wù)器發(fā)送未經(jīng)許可或不符合規(guī)則的查詢(xún)請(qǐng)求來(lái)進(jìn)行攻擊。

 

防御DDOS攻擊

 

不允許未經(jīng)過(guò)請(qǐng)求的DNS響應(yīng)

 

丟棄快速重傳數(shù)據(jù)包

 

丟棄異常來(lái)源的DNS請(qǐng)求和響應(yīng)

 

創(chuàng)建白名單，添加允許服務(wù)器處理的合法請(qǐng)求信息

 

啟動(dòng)DNS客戶(hù)端驗(yàn)證

 

使用ACL的權(quán)限

 

上面所說(shuō)的攻擊，其實(shí)并不在我們的可控范圍之內(nèi)，內(nèi)網(wǎng)的入侵，大家首先都會(huì)想到中間人攻擊，中間人攻擊，也就會(huì)想到DNS欺騙和ARP欺騙了。

 

4) DNS欺騙

 

DNS欺騙就是攻擊者冒充域名服務(wù)器的一種欺騙行為。

 

原理：如果可以冒充域名服務(wù)器，然后把查詢(xún)的IP地址設(shè)為攻擊者的IP地址，這樣的話(huà)，用戶(hù)上網(wǎng)就只能看到攻擊者的主頁(yè)，而不是用戶(hù)想要取得的網(wǎng)站的主頁(yè)了，這就是DNS欺騙的基本原理。DNS欺騙其實(shí)并不是真的“黑掉”了對(duì)方的網(wǎng)站，而是冒名頂替、招搖撞騙罷了。

 

現(xiàn)在的Internet上存在的DNS服務(wù)器有絕大多數(shù)都是用bind來(lái)架設(shè)的,使用的bind版本主要為bind 4.9.5+P1以前版本和bind 8.2.2-P5以前版本.這些bind有個(gè)共同的特點(diǎn),就是BIND會(huì)緩存(Cache)所有已經(jīng)查詢(xún)過(guò)的結(jié)果,這個(gè)問(wèn)題就引起了下面的幾個(gè)問(wèn)題的存在.

 

DNS欺騙就是攻擊者冒充域名服務(wù)器的一種欺騙行為。 原理：如果可以冒充域名服務(wù)器，然后把查詢(xún)的IP地址設(shè)為攻擊者的IP地址，這樣的話(huà)，用戶(hù)上網(wǎng)就只能看到攻擊者的主頁(yè)，而不是用戶(hù)想要取得的網(wǎng)站的主頁(yè)了，這就是DNS欺騙的基本原理。DNS欺騙其實(shí)并不是真的“黑掉”了對(duì)方的網(wǎng)站，而是冒名頂替、招搖撞騙罷了。