行业新闻

DNS 攻击的类型和安全策略

添加时间:2022-03-06 21:35:20

域名服务器是 Internet 的重要组成部分。它是作为一个将字母名称转换为 IP 地址的系统而开发的,允许用户访问网站和交换电子邮件。DNS 被组织成一个树状基础设施,其中第一级包含最顶层的域,例如.com和.org。二级节点包含通用的传统域名。这棵树上的“叶子”节点称为主机。 


DNS 的工作方式类似于数百万计算机系统访问的数据库,试图识别哪个地址最有可能解决用户的查询。 


在 DNS 攻击中,黑客有时会针对包含域名的服务器。在其他情况下,这些攻击者将尝试确定系统本身的漏洞并利用它们为自己谋福利。 


攻击类型: 

 


拒绝服务 (DoS) – 

一种攻击,攻击者通过使资源不可用或使系统充满流量,使计算机对用户无用(无法访问)。

分布式拒绝服务 (DDoS) – 

攻击者控制大量计算机(数百或数千台),以传播恶意软件并用不必要的超载流量淹没受害者的计算机。最终,由于无法利用处理密集处理所需的能量,系统将过载和崩溃。

DNS 欺骗(也称为 DNS 缓存中毒)—— 

攻击者会将流量从真正的 DNS 服务器上驱走,并将它们重定向到用户不知道的“盗版”服务器。这可能会导致用户个人数据的损坏/盗窃。

快速变化—— 

攻击者通常会在执行攻击时欺骗他的 IP 地址。快速流量是一种不断更改基于位置的数据以隐藏攻击的确切来源的技术。这将掩盖攻击者的真实位置,给他利用攻击所需的时间。通量可以是单一的或双重的或任何其他变体。单流量更改 Web 服务器的地址,而双流量更改 Web 服务器的地址和 DNS 服务的名称。

反射攻击—— 

攻击者将发送数千个查询,同时欺骗自己的 IP 地址并使用受害者的源地址。当这些查询得到回答时,它们都将被重定向到受害者本人。

反射放大 DoS – 

当答案的大小远远大于查询本身时,会触发通量,从而产生放大效应。这通常使用与反射攻击相同的方法,但这种攻击会进一步压倒用户系统的基础设施。

防御DNS攻击的措施: 

 


使用数字签名和证书来验证会话以保护私人数据。

定期更新并使用最新的软件版本,例如 BIND。BIND 是为用户解析 DNS 查询的开源软件。它被 Internet 上的大多数 DNS 服务器广泛使用。

定期安装适当的补丁并修复错误的错误。

在其他几台服务器中复制数据,以便如果数据在一台服务器中损坏/丢失,可以从其他服务器中恢复。这也可以防止单点故障。

阻止冗余查询以防止欺骗。

限制可能的查询数量。


来源: