首页 软件演示 价格 帮助文档 更新日志

登录 立即注册

新闻资讯

新闻资讯 / SAD DNS缓存中毒卷土重来

SAD DNS缓存中毒卷土重来

时间 : 2020-11-18 15:24:54

早在2008年,域名系统(DNS) 服务器缓存中毒是一件大事。通过使用误导性的Internet协议(IP)地址从DNS重定向结果,黑客可以将您的Web浏览器从您想要的安全站点重定向到伪造的恶意软件。发现了修复程序,DNS缓存中毒攻击变得罕见。现在,由加利福尼亚大学里弗赛德分校研究人员的发现,发现了一种利用易受攻击的DNS缓存的新方法:Sad DNS。

 

它是这样工作的:首先,DNS是互联网的主地址列表。有了它,而不是写出来的IPv4地址,如“173.245.48.1”,或IPv6地址,如“2400:CB00:2048:1 :: c629:d7a2”之一的CloudFlare的多个地址,您只需键入“ http://www.cloudflare.com ”,DNS为您找到了正确的IP地址,您就可以使用了。

 

但是,在DNS缓存中毒的情况下,您的DNS请求将被拦截并重定向到有毒的DNS缓存。该恶意缓存为您的Web浏览器或其他Internet应用程序提供了恶意IP地址。而不是去您要去的地方,您被送到了一个假网站。然后,该伪造的网站可以将勒索软件上载到您的PC或获取您的用户名,密码和帐号。一句话:哎呀!

 

现代防御措施(例如,随机分配DNS查询ID和DNS请求源端口,基于DNS的命名实体身份验证(DANE)和域名系统安全扩展(DNSSE)) 在很大程度上阻止了DNS缓存中毒。但是,这些DNS安全方法尚未得到足够的部署,因此仍会发生基于DNS的攻击。

 

现在,尽管研究人员发现了可以对最流行的DNS软件堆栈SAD DNS进行有效的边信道攻击。易受攻击的程序包括在 Linux和其他操作系统上运行的,广泛使用的 BIND,Unbound和dnsmasq。主要漏洞是将DNS服务器的操作系统和网络配置为允许Internet控制消息协议ICMP错误消息时。 

 

它是这样工作的:首先,攻击者使用虎钳来欺骗IP地址,并使用能够触发DNS转发器或解析器发出请求的计算机。转发器和解析器帮助确定将DNS请求发送到哪里。例如,对于转发者攻击,当攻击者登录到由无线路由器(例如学校或图书馆的公共无线网络)管理的LAN时。诸如Cloudflare的1.1.1.1和Google 8.8.8.8之类的公共DNS解析器也可能受到攻击。 

 

接下来,研究人员使用了一个网络通道,该网络通道与DNS请求中使用的主要通道关联,但不在主要通道之外。然后,通过使通道保持打开状态足够长的时间以每秒运行1000次猜测,直到找到正确的端口,从而找出源端口号。在取消源端口随机化的情况下,该组插入了恶意IP地址并成功发起了DNS缓存中毒攻击。

 

在他们的研究中,他们发现互联网上开放式解析器人口中只有34%以上是脆弱的。他们发现85%的最受欢迎的免费公共DNS服务容易受到攻击。 

 

您可以简单地转到此Sad DNS网页并按照说明检查自己是否愿意受到攻击。我还要补充一点,我既具有很高的安全性又具有网络意识,并且我的系统容易受到攻击。 

 

有一些方法可以阻止这些攻击。确实,我们已经有了这些方法。DNSSEC会有所帮助,但仍部署不足。如果您使用的是相对较新的RFC 7873 DNS cookie,也将有所帮助。 

 

不过,最简单的缓解措施是完全禁止传出的ICMP答复。这是以丢失某些网络故障排除和诊断功能为代价的。 

 

另一个简单的解决方法是更积极地设置DNS查询超时。例如,您应该将其设置为少于一秒钟。这样,在攻击者可以开始注入恶意响应之前,源端口将短暂存在并消失。但是,不利的一面是可能引入更多的重传查询,并且整体性能较差。

 

无论使用哪种方法,一件事都很清楚。如果运行DNS服务器或进行转发,则必须执行某些操作。这种攻击太容易了。犯罪黑客不久将使用它。并且,尽管我当然推荐快速简便的修复程序,但最终开始使用DNSSEC真的会杀死您吗?每个人都采用它已经过去了。 

 

对于用户,您必须比以往任何时候都更加谨慎,当您访问诸如亚马逊或本地银行之类的商业网站时,该网站确实是您认为的那个网站。