如果聚集负的感情,世界就会陷入负的洪流;反之聚集正的感情,世界就会循着正道而行。 收藏本站
登陆 / 注册 搜索

阅读: 127   回复: 1

[# 网络安全] 什么是DNS攻击、DNS劫持、DNS隧道

空谷幽兰 仗剑天涯 2020-9-17 13:00 |显示全部楼层

从前车马很慢,书信很远,一生只够爱一个人,但是可以纳很多妾啊!

精华达人 主题破百 以坛为家 论坛元老
域名系统(DNS)很复杂,因此很容易受到一系列DNS攻击。 本文带你了解什么是不同类型的DNS攻击以及如何防御它们。

什么是DNS攻击、DNS劫持、DNS隧道 dns.jpg

DNS攻击是涉及域名系统(DNS)的任何类型的攻击。攻击者可以通过多种不同的方式利用DNS的弱点。这些攻击大多数都集中在滥用DNS上,以阻止互联网用户访问某些网站。这些属于拒绝服务(DoS)攻击的范畴。

也可以利用DNS弱点将站点访问者转移到恶意页面,这就是所谓的DNS劫持。攻击者还可以使用DNS协议将敏感数据偷偷带出组织,例如在DNS隧道中。

但是我们需要退后一步,才能深入研究各种DNS攻击。我们将首先奠定基础,解释DNS是什么以及它是如何工作的,然后再继续讨论每种类型的攻击。

一、域名系统(DNS)是电话簿

DNS最受欢迎和最简单的类比之一就是将其视为电话簿。也许有点过时,因为电话簿大多已过时,但让我们怀旧一会儿(或问问您的父母是否太小而没用过)。

人们为什么使用电话簿?因为他们想打电话给一个认识他们但名字不认识的人。知道某人的名字却不知道他们的号码的情况如此普遍,以至于我们为每个人的房屋开发了强大的书本来解决问题。

但是,您是否曾经有过反向电话簿?您可能不记得知道一个人的电话号码,但不知道他们的名字,然后急于读一本圣经中的比例书来找出答案,是吗?当然,有那些号码查询服务,但是我们大多数人很少使用它们,特别是与常规电话簿相比。

您是否曾经想过,为什么大多数情况都在一个方向发生?

人们开始命名婴儿29896440293不仅会很奇怪,而且记住一个10位数的电话号码也比记住一个人的名字和姓氏要难得多。

幸运的是,电话簿登上了盘子,解决了这个问题。他们使我们能够使用数字系统而不必记住每个数字系统。我们所需要的只是我们所需联系人的姓名,我们可以在目录中查找他们,输入电话号码,然后希望他们会接听。

域名系统很像我们的电话簿。它充当目录,使我们不必记住一堆长数字。但是,它不会将人们的名字转换为他们的电话号码,而是将guhei.net之类的域名转换为209.58.135.68之类的IP地址。

1.网站域名

域名非常简单。它们本质上是您输入用来访问网站(例如guhei.net或Wikipedia.org)的字母数字字符串。这些通过GoDaddy或NameCheap之类的域名注册机构进行注册。最重要的是,我们在大多数域名中使用的单词或字母字符串比相应的IP地址更容易让人记住。

2.IP地址

IP代表Internet协议,这是我们用于在Internet上跨网络传输数据的主要协议。您的IP地址本质上就是您在Internet协议上的地址,并且每个与Internet相连的设备都有一个。

您可以将它们视为物理地址。如果您希望快递员从您的公司领取包裹并将其发送给另一个包裹,则这两个地址都是必需的,以便快递员知道在哪里可以找到它,以及在哪里可以取下它。

同样,当您访问guhei.net之类的网站时,计算机的浏览器需要通过其IP地址209.58.135.68找到古黑的服务器。作为交互的一部分,您计算机的IP地址也很重要,以便我们的服务器知道将数据发送到哪里。您可以使用VPN,TOR和其他隐私工具将IP地址隐藏在站点之外,但这些内容不在本文的讨论范围之内。

3.为什么我们同时使用域名和IP地址?

造成这种情况的原因有两个。如果我们仅使用IP地址访问网站,那么您认为可以记住多少个不同的地址?可能与电话号码的数量差不多–数量不多。

与此相比,您能记多少个域名?可能成百上千。即使您以前从未访问过网站,也不知道其地址,也有很大的机会,您只需输入商家或个人的名字,并在其末尾没有空格和.com就能找到它。在许多情况下,您甚至都不需要Google之类的工具来帮助您实现目标。

如果我们仅使用IP地址,则无法执行此操作。域名比IP地址更容易让人处理。由于机器使用IP地址而不是人们为他们的网站选择的各种名称,因此我们需要某种方式将其相互转换,反之亦然。

两者的另一个好处是网站可以临时或永久更改其IP地址,而不会影响访问者。如果古黑更改了IP地址,您甚至都不会注意到。您的浏览器将不得不连接到另一个地址,但是即使从技术上讲,它仍位于guhei.net并最终到达guhei.net

二、DNS:互联网电话簿的工作方式

域名系统是一种分散的结构,我们主要将其用作在域名和IP地址之间进行转换的目录。尽管它看起来有些枯燥和技术性,但它是互联网的核心组成部分,如果没有互联网,它将受到严重限制。

假设您要访问guhei.net

在域名系统下,当您在浏览器中键入域名时,第一步是让浏览器和操作系统查找并查看它们是否已经知道特定网页的IP地址。

该IP地址可能已经从先前的请求中进行了缓存。这意味着,如果您之前已经过此过程,则可能已存储了IP地址,以使将来的工作变得更容易。如果IP地址已经被缓存,则您的浏览器可以直接与网站的服务器联系以访问该页面。

如果浏览器和操作系统都不知道该域的IP地址,则存根解析器(操作系统内置的简单DNS解析器)会询问另一台称为递归解析器的服务器。这类DNS服务器通常由ISP操作。如果递归解析器缓存了列表,它将向您发送IP地址,以便您的浏览器可以找到该网站。

如果递归解析器还没有IP地址,那么它将为您工作并尝试找到它。第一步是联系根名称服务器。根名称服务器不会保留IP地址本身,但它知道将查询重定向到何处。它将方向解析器发送到相关的顶级域(TLD)服务器。这基于请求域的扩展。这是最后的部分,例如.com,.org,.net等。

在搜索guhei.net的情况下,您将被带到TLD的.net域名。然后,.net TLD将使用您要查找的域的权威名称服务器回复您的递归解析器。

然后,您的递归解析器将与权威名称服务器联系,并要求其提供IP地址。权威名称服务器知道其分组中的IP地址,因为它们可以从注册表访问原始数据。其中包含域名列表以及相应的IP地址。

然后,权威的名称服务器将相关的IP地址发送给递归解析器,该IP地址将其存储在其缓存中,传递给操作系统,然后将其传递给浏览器。这是一个复杂的过程,但是最后,您的浏览器知道IP地址,并且可以将您定向到该网站。尽管该过程看起来很艰巨,但所有过程都在眨眼之间发生,并且在您不了解之前,您就已经拥有了想要的页面。


一种例外是权威的名称服务器使用NXDOMAIN进行答复。这基本上意味着,如果网站存在,则权威名称服务器不知道如何找到它。如果收到NXDOMAIN响应,则将无法访问您正在寻找的网站。当您收到网站的NXDOMAIN响应时,您肯定是正确的,这通常意味着该网站处于脱机状态或服务器出现问题。

什么是DNS攻击、DNS劫持、DNS隧道 94984c549bb69e5e7c6f2.png

总结一下:

   您的浏览器会检查IP地址是否已在本地缓存。   

   如果不是,则存根解析器询问DNS递归解析器。      

   如果递归解析器未存储IP地址,则会查询DNS根名称服务器。      

   然后,根名称服务器将其应与之联系的TLD名称服务器回复到递归解析器。     

   当递归解析器联系相关的TLD名称服务器时,它告诉递归解析器要联系哪个权威名称服务器。     

   递归解析器与权威名称服务器联系,后者查找其记录,然后将相应的IP地址发送回递归解析器。递归解析器通过将其转发到您的计算机来完成该过程。然后,您的浏览器可以使用IP地址连接到网站。      

   如果权威名称服务器没有DNS记录,它将使用NXDOMAIN响应递归解析器。

当然,如果在前面的步骤中找到了DNS记录,则可以访问该网站,而不必继续整个过程。

三、DNS攻击的类型

DNS系统很复杂,攻击者可以通过多种方式使用它,并牢记各种最终目标。许多此类攻击的目的通常是通过用假流量轰炸其系统来使网站,网络或计算机无法访问,从而阻止合法流量能够访问或使用目标服务。

从一般意义上讲,这些被称为拒绝服务(DoS)攻击,在网络安全中很常见。 DoS攻击最常见的形式是分布式拒绝服务(DDoS)攻击,这基本上意味着攻击者的流量并非来自单一来源。相反,目标是从通常是僵尸网络一部分的数千个不同IP地址中命中的。这使得DDoS攻击比DoS攻击更难防御。

本文将仅讨论涉及域名系统的DoS和DDoS攻击,而不讨论那些利用Internet基础结构其他部分的攻击。这些域名系统DoS攻击包括DNS泛洪及其子类型,NXDOMAIN攻击,随机子域攻击和幻像域攻击。

放大攻击也是拒绝服务攻击的一种,尽管它们与上面列出的攻击有所不同,因为它们使用反射来放大攻击的强度。

DNS重新绑定使网络犯罪分子可以闯入系统,而DNS隧道则使他们可以进出数据。相比之下,DNS劫持着眼于更改DNS配置以将用户带到意外网站。

不同类型的DNS攻击之间的界线并不总是很清楚,但我们尝试将它们尽可能整齐地排列,以帮助您了解它们之间的比较。

1.DNS泛洪

如果DNS服务器被DDoS攻击淹没,则使用该服务器的任何网站都可能会遇到流量中断的情况。攻击者经常使用僵尸网络来针对具有大量DNS请求的服务器。当服务器被这些恶意请求淹没时,这意味着合法请求无法通过。

结果?

如果您尝试访问某个网站,但尚未缓存其IP地址,则由于存在竞争性请求,您的DNS请求将无法通过。攻击的压倒性占用了DNS服务器的所有资源,因此没有足够的容量将所需的IP地址发送给您。

如果您无法获取IP地址,则您的网络浏览器不知道该去哪里。它不知道如何找到承载您要访问的网站的服务器,因此无法与您建立联系。即使该网站在技术上仍处于在线状态,如果您尚未缓存IP地址,也将无法访问该网站。对于尝试访问该网站的每个人都是如此,这意味着DNS洪水可以大大减少网站的流量。

DDoS攻击不仅会使自己的虚假流量淹没服务器,而且无法连接到网站的用户也会不断刷新其页面。这导致请求数量比正常情况更多,使攻击更加严重。

2.针对Dyn的DNS服务器的泛洪攻击

攻击DNS服务器的最好例子之一是2016 Dyn网络攻击。 Dyn是一家提供托管DNS平台的互联网基础设施公司。据该公司称,2016年10月21日,它在世界标准时间上午11点后遭到攻击。下午晚些时候又遭受了一次。

最初,DDoS攻击针对Dyn在美国西部,亚太地区,南美和东欧地区的托管DNS平台。当Dyn做出回应时,攻击重点转移到了美国东部,大量的UDP和TCP数据包从大量不同的IP地址泛洪到端口53。

第二次攻击的重点是全球性,但该公司得以在当晚恢复。在接下来的几天中,还出现了许多较小的探测攻击,但Dyn设法减轻了攻击,而不会影响客户或用户。

从互联网用户的角度来看,此攻击的最大影响是阻止了其中一些人访问网站。美国东海岸的那些人更有可能受到影响。受影响的网站包括Netflix,Spotify,Etsy,PayPal,Reddit,Twitter,GitHub等。

请务必注意,网站本身并未关闭,因为其托管服务不受攻击的影响。该问题是针对没有缓存IP地址的站点访问者。由于Dyn的DNS服务器不堪重负,这些访问者无法完成其DNS查找,因此他们没有发送相应的IP地址。

正如我们在上一节中讨论的那样,此攻击还导致试图连接的用户不断刷新其页面,从而导致重复请求的拥塞更加严重。

攻击由Mirai僵尸网络发起,Mirai僵尸网络是一个大型僵尸网络,主要由安全性较差的IoT设备组成,例如路由器和摄像头。这支设备大军被命令一致地发出DNS请求,从而使Dyn的服务器超载,并使合法流量难以通过。

3.针对根名称服务器的DDoS泛洪攻击


DDoS攻击也有可能针对DNS根名称服务器。从理论上讲,如果攻击具有足够的威力并持续了很长时间,则可能会影响全世界的DNS,从而妨碍Internet用户解决其请求并阻止他们访问网站。

实际上,这种大规模的攻击是不切实际的,因为DNS是分散的且具有弹性。针对DNS根域名服务器的实际攻击有更具体的重点。

一个例子是2015年针对多个根域名服务器的攻击。在11月30日和1月1日,一些根名称服务器从各种来源收到大量流量,在攻击高峰时每秒达到500万次查询。

在攻击的每一天,大量的查询都会淹没不同的域名。这些攻击针对大多数(但不是全部)DNS根名称服务器。这些查询来自看似随机的IPv4地址,这些地址很容易被欺骗,从而难以确定攻击源。

尽管攻击涉及异常沉重的负载,但对互联网用户的影响不大。根据互联网号码分配局(IANA)的声明,“在此事件期间以及由于此事件,没有关于最终用户可见错误状况的已知报告。”

IANA继续指出,据了解,唯一的影响是DNS查找可能会出现一些轻微的延迟,这对于互联网用户而言是“几乎可以感知的”。它将其归因于DNS根域名服务器系统的“整体健壮性”。

2016年,两名VeriSign研究人员在布宜诺斯艾利斯举行的一次会议上发表了演讲,详细介绍了他们对这次攻击的调查。他们发现,尽管DNS根名称服务器在攻击中受到了影响,但它们并不是主要目标。相反,研究人员断言真正的目标是两个中文IP地址。

4.NXDOMAIN攻击

NXDOMAIN攻击是泛洪攻击的一种特定类型,它涉及黑客向目标DNS服务器发送大量无效请求。然后,服务器向权威名称服务器查询不存在的IP地址,从而浪费了这两个服务器的资源。如果攻击足够强大,则可能导致它们不堪重负。

这导致两个服务器都被无效请求淹没,从而妨碍了它们对实际请求的响应时间,并有可能停止所有DNS解析服务。实际上,这意味着当互联网用户尝试访问使用被攻击的DNS服务器的网站时,如果他们尚未缓存IP地址,他们将遇到延迟或无法访问它。

DNS服务器管理员很难检测到NXDOMAIN攻击,因为他们可能会认为系统正在遇到性能问题,而不是被无数次NXDOMAIN攻击的无效请求所淹没。

5.随机子域攻击

随机子域攻击在某种程度上类似于NXDOMAIN攻击。但是,它们涉及查询不存在的子域,而不是查询无效或不存在的域。

为了说明这一点,假设根域名example.com是真实的,并且其背后的组织在网站上运营着一个论坛,一个支持中心和一个职业部门。这些文件分别位于各自的子域“ forum.example.com”,“ support.example.com”和“ career.example.com”。

如果您想对example.com发起随机的子域攻击,则不会发送对forum.example.com或任何其他现有子域的DNS请求。相反,您将生成一串随机字符作为无效的子域,并对其进行请求。

这些无效的子域可能如下所示:

   n78tofoahdk.example.com

   94nfajfo8.example.com

   a4nkasof874.example.com

当您请求无效的子域时,递归服务器会花费大量时间和资源,反复查询权威名称服务器中不存在的子域,然后返回失败消息。

这给递归服务器和权威名称服务器都带来了额外的压力。如果您使用大型僵尸网络发起攻击,而每个从属服务器仅发出这些请求中的几个,则它将占用大量资源,从而阻止了合法请求的通过。

就像在NXDOMAIN攻击中一样,当人们尝试在未缓存IP地址的情况下访问example.com时,他们要么被延迟,要么被阻止访问该网站。这是因为所有从属服务器对无效子域的请求都使DNS服务器不知所措。

随机子域攻击可能难以检测。当它们来自被网络罪犯接管的设备的僵尸网络时,很难确定哪些查询是真正合法的。

FBI在2020年2月发布了一个很好的例子,说明可能存在随机子域攻击。BleepingComputer报告看到一份FBI文件,该文件表明选民注册网站的DNS服务器已收到大量与随机子域一致的DNS请求。攻击。

在一个月的时间里,DNS服务器经历了多次高峰,在通常接收大约15,000个请求的时间段内,超过200,000个请求达到峰值。这些请求主要针对不存在的子域,并且源于属于递归DNS服务器的IP地址。这混淆了攻击者的出身。联邦调查局是否能够在调查中进一步追踪攻击者,这一点尚未公开。

6.幻域攻击

在幻影域攻击下,黑客首先会设置一系列域,这些域被配置为不响应或对DNS请求的响应速度非常慢。然后,攻击者将对这些域的大量请求发送到其目标DNS递归解析器。服务器不断查询这些幻像域,以等待响应。

这再次消耗了递归服务器的资源,可能会大大降低递归服务器的资源或使其失败,从而阻止Internet用户向服务器提出合法的DNS请求。最终,这可能会阻止他们访问他们尝试访问的网站。

7.DNS放大攻击

DNS放大攻击与我们已经介绍的攻击有所不同。我们上面讨论的每种技术都涉及寻找方法,以使网站使用的DNS服务器超载,从而阻止访问或使人们更难以访问受影响的网站。

尽管DNS放大攻击旨在使服务崩溃或减慢速度,但它们并非通过使DNS服务器超负荷来实现。相反,他们使用DNS服务器作为武器。

DNS放大攻击是特定类型的反射攻击。 DNS反射攻击涉及网络犯罪分子向DNS服务器请求IP地址。但是,他们这样做时并不使用自己的地址,而是伪造请求并插入目标的详细信息。

当攻击者使用伪造的地址发出请求时,DNS服务器将接收查询,然后将响应发送到目标的伪造地址。如果攻击者创建了大量此类请求,则发送给目标的大量响应可能会使目标变慢或不堪重负。

目标网站的服务器被它甚至从未进行过的查询响应所淹没,从而耗尽了资源并可能导致其不可用。

在正常情况下,此类攻击需要大量的欺骗请求,以使来自DNS服务器的响应使受害者不堪重负。但是,如果黑客可以发起攻击,从而使每个请求产生更大的响应作为回报,该怎么办?这种放大可以使目标资源最大化并崩溃的过程变得容易得多。

这是DNS放大攻击背后的基本概念–通过找到一种发送相对较小的请求的方法来最大程度地提高效率,最终将返回来自DNS服务器的极大响应。

一个非常有效的放大攻击的一个很好的例子是使用Memcached服务器通过UDP进行的DDoS攻击,它最初是由Cloudflare在2018年撰写的。请注意,这种攻击没有使用DNS协议,但是它仍然是放大背后的原理的一个很好的例子。可以使攻击更加强大。

8.使用Memcached服务器通过UDP进行DDoS攻击

首先,解压缩标题中的首字母缩写词和专业术语,以便我们都在同一页面上。首先,我们有DDoS,我们已经提到了DDoS,它是分布式拒绝服务攻击的简称。

Memcached是开源软件,用于通过缓存某些数据来加速某些网站。 Wikipedia,Google Cloud,Facebook和其他许多网站都在使用它,因此它是我们与互联网互动的重要组成部分。

UDP是用户数据报协议,它是Internet协议套件的基础之一,它允许计算机应用程序以标准化格式通过Internet发送消息(称为数据报)。

错误配置Memcached服务器后,攻击者可以利用它们在UDP上进行放大攻击。正如Cloudflare文章中突出显示的那样,对仅15个字节的Memcached服务器的请求可以导致750 KB的响应,这相当于放大了51,000%。

通过使用这种技术进行放大攻击,黑客可以更轻松地压倒目标。他们所要做的只是从僵尸网络上的从属发出一系列小请求,目标很快被淹没,从而阻止了对网站的合法访问。

由于响应来自合法服务器,因此通常很难防御放大攻击。好消息是,通过默认情况下禁用UDP,Memcached的1.5.6版有助于缓解这种特定类型的放大攻击。但是,过时的Memcached版本以及一系列其他服务仍可用于发起放大攻击。

9.DNS重新绑定

DNS重新绑定是一种攻击技术,涉及滥用DNS闯入专用网络。这是一项偷偷摸摸的动作,可让网络犯罪分子规避原产地政策。

从本质上讲,同源策略是Web应用程序安全性中的一个概念,其中一个网页只有它们具有相同的来源(它们都来自相同的主机名,端口号和标识号),才能访问来自第二个页面的数据。

同源策略对于我们的在线安全至关重要。如果没有它,您可能会在一个选项卡中登录到您的银行帐户,而在另一个选项卡中浏览一个不安全的站点。如果不安全的网站托管了恶意JavaScript,它可能会从您的“银行”标签中请求数据,访问您的帐户,甚至将您的所有资金转移到外国银行。

值得庆幸的是,同源政策阻止了这种情况的发生,因为您的银行和不安全的站点有不同的来源。

我们将通过一个示例来说明如何使用DNS重新绑定来解决同源策略。假设您感到不安,想要访问组织的专用网络以窃取数据或使用其资源发送垃圾邮件。

DNS重新绑定攻击的第一步是注册一个域,例如DNSrebindingexample.com。然后,您需要将域连接到同样由您控制的DNS服务器。

在此DNS服务器上,您将配置它的生存时间非常短(TTL)。关于DNS,TTL是可以缓存DNS记录的时间长度。

如果将DNS服务器的TTL配置为10秒左右,则可以有效地防止DNS记录被缓存。这意味着任何试图访问域的人都必须每次都与服务器联系。

下一步是诱使受害者进入该域。有很多方法可以做到这一点,但是,如果您针对的是特定组织,则假设您以潜在的新客户的网站作为借口,使用包含URL的网络钓鱼电子邮件向其每个员工发送垃圾邮件。

我们假设该组织的网络安全培训做法不正确,并且至少有一名员工迷恋该消息并单击该链接。当他们的网络浏览器尝试访问您的网站时,它首先与您的DNS服务器联系。 DNS服务器使用DNSrebindingexample.com IP地址(1.2.3.4)响应受害者。

受害者连接到您的网站,该网站托管着恶意JavaScript,该恶意JavaScript作为驱动下载而自动运行。该脚本将在受害者的专用网络上执行有效负载,然后该有效负载将在周围搜索未更改其默认密码的不安全设备。假设您在公司的防火墙后面找到IP地址为4.4.4.4的路由器。

当目标的浏览器尝试重新连接到您的网站时,短TTL表示它必须再次与您的DNS服务器联系。但是,这次您没有配置站点的IP地址为1.2.3.4,而是将DNS服务器配置为使用路由器的IP地址为4.4.4.4进行响应。

这样一来,您就可以绕过浏览器的相同来源策略,因为1.2.3.4和4.4.4.4似乎都具有相同的来源DNSrebindingexample.com。然后,您可以轻松访问组织防火墙后的路由器,因为浏览器认为没有理由阻止来自同一位置的访问。

从这一点出发,您可以进一步渗透到网络中以窃取数据,或发起许多其他攻击。

2017年,谷歌的一位安全研究人员在暴雪更新代理中发现了一个漏洞,该漏洞使所有用户面临风险。攻击者可以利用它来安装恶意软件,并且Update Agent会假定文件只是针对游戏的更新。

Update Agent创建了一个JSON RPC服务器,其端点不需要授权,但是其他请求需要在令牌旁边具有有效的授权标头。暴雪的更新代理的设置方式允许网站使用XMLHttpRequest()将请求发送到守护程序。它很容易受到DNS重新绑定的影响,因为网站可以轻松创建有权连接的DNS名称,然后将其解析为本地主机。

暴雪的Update Agent安装程序的结果是,任何网站都可以切实地向其发送特权命令,从而使黑客能够升级其攻击。尽管与漏洞发现者的沟通有些误解,但该问题终于在2018年初得到了解决。

三、DNS劫持

攻击者还可以利用称为DNS劫持的技术,利用DNS系统将受害者发送到假网站。这是一个笼统的术语,也称为DNS重定向,而针对攻击者更改DNS响应的方法称为DNS欺骗。用伪造的IP地址记录填充DNS解析器的缓存的攻击称为缓存中毒。

在DNS劫持下,攻击者使用与DNS相关的技巧将他们带到欺诈性站点,从而将受害者从他们通常访问的流行网站上转移开。这些伪造的网站通常被设计为看起来像合法网站,并旨在欺骗他们的受害者输入其登录凭据或信用卡详细信息。然后,黑客使用此信息访问其帐户或进行欺诈和其他犯罪。

或者,网络罪犯也可以使用DNS劫持将受害者发送到托管恶意软件的网站。这可能包括勒索软件,间谍软件,广告软件,特洛伊木马和一系列其他恶意程序。最终,黑客使用该恶意软件从受害者那里获取他们想要的一切,无论是信息,访问权还是金钱。

攻击者还利用DNS劫持将受害者重新路由到他们控制的网站,以便他们可以从广告收入中获利。在所谓的“骗术”中,受害者不会被重定向到预期的网站,而是被重定向到攻击者控制的站点,该站点充斥着大量广告。然后,攻击者根据观看次数或点击次数赚钱。

ISP,DNS服务提供商和中国国家防火墙等国家检查基础设施使用DNS劫持来显示广告,收集数据和阻止对某些网站的访问。在安全社区中,这是一个有争议的做法,因为人们不仅会被引导离开其预期的网站,而且还可能使他们容易受到跨站点脚本(XSS)攻击并妨碍各种系统的功能,从而使他们受到进一步威胁。安全问题。

在许多情况下,ISP出于自己的商业目的使用DNS劫持,但是有时会命令他们根据法院命令将访客从某些站点重定向。一个很好的例子就是荷兰法院命令ISP封锁海盗网站The Pirate Bay。

1.不同类型的DNS劫持

DNS劫持使用几种不同的技术将互联网用户从其预期的网站转移到恶意页面:

   本地劫持–这种DNS劫持涉及到攻击者在目标计算机上安装恶意软件,然后更改本地DNS设置以将其重新路由到恶意站点,而不是目标网页。     

   路由器劫持–许多路由器具有固件漏洞,或仍使用其默认密码。攻击者可以利用这些安全漏洞来访问和重新配置路由器的DNS设置。如果他们将某些站点的DNS设置更改为恶意站点的DNS设置,则通过路由器连接的任何人在尝试访问DNS信息已更改的网站时都将被转移到恶意站点。      

   受损的服务器–黑客可以破坏DNS服务器并更改其配置,从而使目标网站的IP地址实际上指向受攻击者控制的站点。任何将其计算机向受感染服务器上的目标网站之一发出DNS请求的计算机的Internet用户,都将被重定向到恶意网站,在该网站上他们可能会遇到恶意软件,网络钓鱼或域名欺诈。      

   中间人DNS劫持–在中间人攻击中,网络犯罪分子将自己插入到通信通道中,或者监听或更改消息。 DNS劫持的过程与此类似,攻击者将拦截DNS服务器与用户之间发送的消息。攻击者更改DNS服务器对其恶意网站IP地址的响应,将用户发送到恶意网站。

Bitdefender研究人员于2020年3月发现了本地DNS劫持的一个好例子。攻击涉及以路由器为目标并重新配置其DNS设置,这会将受害者发送到负载恶意软件的站点,而不是他们打算访问的页面。

攻击似乎主要针对各种Linksys路由器模型。尽管研究人员不能百分百确定路由器是如何受到危害的,但他们认为这是通过蛮力使用Linksys云帐户或通过在线访问路由器管理控制台来实现的。

一旦黑客可以访问,他们将更改DNS设置,以便试图访问disney.com或aws.amazon.com之类的受害者将被转移到网络犯罪分子控制的页面上。

到达页面后,弹出窗口向受害者致意,其中有来自世界卫生组织的虚假消息,告诉他们下载并安装包含COVID-19信息的应用程序。

当然,那些陷入陷阱的人最终还是从Bitbucket存储库中下载了一个恶意.exe文件,这引发了一系列事件,导致安装了Oski infostealer。然后,该恶意软件可能从受害者身上窃取各种敏感数据,包括加密货币密码和登录凭据。

四、DNS隧道

DNS隧道是一种利用DNS协议来传输编码数据的攻击技术。黑客经常使用它从目标组织中窃取敏感信息。他们还可以利用DNS隧道来从目标网络内部联系命令和控制服务器,然后在组织的防火墙内下载其他恶意软件。

DNS协议是Internet的基本组成部分,看似良性的。许多组织没有对其进行仔细监控,这为网络犯罪分子留下了空间。当然,还有许多其他协议更适合传输数据,但这些协议往往受到严格保护。 DNS隧道使攻击者有机会绕过防火墙和检测方法。

在黑客可以使用DNS隧道从组织的网络内窃取数据之前,他们首先需要在组织的网络内进行访问。这通常是通过网络钓鱼或其他形式的恶意软件分发来实现的。

攻击者还需要在其控制下的目标网络外部拥有一个DNS服务器,以及一个具有通过此DNS服务器访问的DNS记录的网站。一切设置完成后,下一步就是通过DNS隧道泄漏敏感数据。

黑客在目标组织的网络中安装了本地DNS隧道客户端,然后使用该客户端将敏感信息编码为攻击者控制的网站的DNS查询。这些查询被发送到受攻击者控制的DNS服务器,其伪装是组织内的某人实际上正在尝试访问攻击者的网站。

由于经常不仔细检查DNS协议,因此该技术允许在不被检测到的情况下泄露已编码的数据。除非目标组织仔细监控DNS协议,否则黑客可能会泄露敏感数据,因为看起来像是无害的DNS查询。在整个过程中,攻击者的DNS服务器会发回答复,以使请求看起来合法。

一旦DNS查询超出目标网络并落入攻击者的手中,它们就会被解码回其原始形式,作为敏感信息。从这一点出发,攻击者可以出售信息,将其用于欺诈或实施一系列其他犯罪。

1.OilRig的DNS隧道

安全团队Unit 42分析了DNS隧道的一个很好的例子。作为对OilRig威胁组织的行动进行调查的一部分,Unit 42发现了一个称为ALMA Communicator的自定义特洛伊木马。

将ALMA Communicator安装在目标系统上后,它将与命令和控制中心进行通信,并通过DNS隧道泄漏数据。但是,它只能泄露有限数量的数据,每个DNS请求只能容纳10个字节。大文件将需要大量请求,从而增加了检测的可能性。

五、防止DNS攻击

由于DNS攻击的范围很广,因此需要多种不同的保护方法,其中一些不受个人或组织的控制。举例来说,如果您的网站在上述2016年攻击中使用了Dyn的DNS服务器,那么除非有备用DNS服务器,否则您无需做很多工作即可将其网站提供给需要其IP地址的用户。

但是,您的组织仍然可以执行许多操作:

   进行DNS审核–随着时间的流逝,很容易忘记您控制下的旧子域或测试域。其中一些可能正在运行过时的软件,或者容易被攻击者访问。审核您的DNS区域将为您提供发现DNS相关漏洞所需的见解,从而帮助您了解需要解决的问题。     

   使用专用的DNS服务器–较小的公司很容易将DNS服务器与应用程序服务器一起托管。但是,这增加了Web应用程序攻击的风险。因此,最好在隔离的服务器上运行DNS服务。      

   限制区域传输– DNS区域传输是DNS区域的副本。如果您的DNS区域传输落在攻击者的手中,它可以使他们更好地了解您的网络结构。通过进入DNS软件的配置文件并将区域传输限制为特定的IP地址,可以防止攻击者执行区域传输。      

   关闭DNS递归–如果您的服务器配置为允许DNS递归,则意味着来自第三方的主机可以查询名称服务器。这使网络罪犯更容易执行缓存中毒攻击和DNS放大攻击。可以通过更改named.conf文件来禁用DNS递归。      

   更新您的DNS服务器–网络罪犯喜欢利用旧软件中的漏洞,因此尽快运行补丁至关重要。这全面适用,包括那些运行自己的名称服务器的人员。最新版本的软件(例如Microsoft DNS和BIND)支持安全规范(例如DNSSEC),该规范提供了身份验证和数据完整性措施。      

   使用DDoS缓解服务–如果将DNS服务器作为大型DDoS攻击的目标,则它会使服务无法访问,从而导致业务中断。最好使用Cloudflare或Akamai之类的DNS缓解提供商,这些提供商的资源可以帮助使DNS服务器保持在线状态。

由于DNS攻击种类繁多,因此无法详细讨论每种重要的防御机制。每个组织都有自己的基础架构,软件和需求,因此很难提出合理的建议以适应各种情况。

要了解的重要一点是DNS协议如何工作,以及如何以多种不同方式滥用它。组织只有了解了面临的风险并采取积极的防御方法,才能保护自己。否则,他们可能会面临业务中断,数据盗窃或更糟的严重后果。


云问刀 「初入古黑」 2020-9-17 13:08 |显示全部楼层

这个用户很懒,还没有填写自我介绍呢~

勿以坑小而不灌,勿以坑大而灌之。
您需要登录后才可以回帖 登录 | 免费注册  

本版积分规则

关于本站|大事记|小黑屋|古黑论 网站统计

GMT+8, 2020-10-26 20:32 , Processed in 0.038970 second(s), 21 queries , Redis On.

© 2015-2020 GuHei.Net

Powered by Discuz! X3.4

快速回复 返回列表