[[257727]]

DNS 欺騙是 DNS 服務(wù)器記錄更改導(dǎo)致惡意重定向流量的結(jié)果。DNS 欺騙可以通過直接攻擊 DNS 服務(wù)器(我們將在這里討論)或通過任何形式的專門針對(duì) DNS 流量的中間人攻擊來執(zhí)行。

DNS 緩存欺騙以一種利用 DNS 通信結(jié)構(gòu)的方式明確地工作。當(dāng) DNS 服務(wù)器嘗試在域上執(zhí)行查找時(shí)，它會(huì)將請(qǐng)求轉(zhuǎn)發(fā)到根權(quán)威 DNS，并迭代地沿著 DNS 服務(wù)器鏈向下查詢，直到它到達(dá)域上的權(quán)威 DNS 服務(wù)器。由于本地 DNS 服務(wù)器不知道哪個(gè)服務(wù)器負(fù)責(zé)哪個(gè)域，并且不知道到每個(gè)權(quán)威服務(wù)器的完整路由，因此只要回復(fù)與查詢匹配并且格式正確，它就會(huì)從任何地方接受對(duì)其查詢的回復(fù)。攻擊者可以通過在回復(fù)本地 DNS 服務(wù)器時(shí)擊敗實(shí)際的權(quán)威 DNS 服務(wù)器來利用此設(shè)計(jì)，如果這樣做，本地 DNS 服務(wù)器將使用攻擊者的 DNS 記錄而不是實(shí)際的權(quán)威答案。由于 DNS 的性質(zhì)，本地 DNS 服務(wù)器無法確定哪個(gè)回復(fù)是真實(shí)的，哪個(gè)是假的。

由于 DNS 服務(wù)器將在內(nèi)部緩存查詢，因此每次請(qǐng)求域時(shí)，他們不必浪費(fèi)時(shí)間查詢權(quán)威服務(wù)器，從而加劇了這種攻擊。這帶來了另一個(gè)問題，因?yàn)槿绻粽呖梢該魯?quán)威DNS 服務(wù)器進(jìn)行回復(fù)，那么攻擊者記錄將被本地 DNS 服務(wù)器緩存，這意味著任何使用本地DNS服務(wù)器的用戶都將獲得攻擊者記錄，可能會(huì)重定向所有使用該本地 DNS 服務(wù)器的用戶都可以訪問攻擊者的網(wǎng)站。

DNS 緩存投毒的例子

生日攻擊的盲目響應(yīng)偽造

DNS 協(xié)議交換不驗(yàn)證對(duì)遞歸迭代查詢的響應(yīng)。驗(yàn)證查詢只會(huì)檢查 16 位事務(wù) ID 以及響應(yīng)數(shù)據(jù)包的源 IP 地址和目標(biāo)端口。在 2008 年之前，所有 DNS 使用固定端口53 解析.因此，除了事務(wù) ID 之外，欺騙 DNS 回復(fù)所需的所有信息都是可預(yù)測(cè)的。用這種弱點(diǎn)攻擊 DNS 被稱為“生日悖論”，平均需要 256 次來猜測(cè)事務(wù) ID。為了使攻擊成功，偽造的 DNS 回復(fù)必須在合法權(quán)威響應(yīng)之前到達(dá)目標(biāo)解析器。如果合法響應(yīng)首先到達(dá)，它將由解析器緩存，并且直到其生存時(shí)間(TTL)到期，解析器將不會(huì)要求權(quán)威服務(wù)器解析相同的域名，從而防止攻擊者中毒映射該域，直到 TTL 到期。

Kaminsky 漏洞

在 2008 年 在 Black Hat 上有人揭示了生日攻擊的拓展，其中基本的盲猜技術(shù)保持不變。該攻擊利用了 DNS 響應(yīng)的基本特性，因?yàn)?DNS 響應(yīng)可以是直接應(yīng)答(請(qǐng)求的直接 IP 地址)或引用(對(duì)給定區(qū)域具有權(quán)威性的服務(wù)器)。生日攻擊偽造了一個(gè)為給定域記錄注入錯(cuò)誤條目的答案。 Kaminsky 漏洞使用引用來繞過先前條目上的 TTL 對(duì)整個(gè)域進(jìn)行錯(cuò)誤輸入。基本思想是攻擊者選擇他們希望攻擊的域，然后向目標(biāo)解析器查詢尚未被解析器緩存的子域(定位不存在的子域是一個(gè)很好的選擇，記錄是沒有被 DNS 解析器緩存)。由于子域不在緩存中，因此目標(biāo)解析器向該域的權(quán)威服務(wù)器發(fā)送查詢。正是在這一點(diǎn)上，攻擊者用大量偽造的響應(yīng)來淹沒解析器，每個(gè)偽造的響應(yīng)都有不同的偽造事務(wù) ID 號(hào)。如果攻擊者成功注入偽造響應(yīng)，則解析器將為權(quán)威服務(wù)器緩存錯(cuò)誤映射。對(duì)受感染域的目標(biāo)解析器的未來 DNS 查詢將導(dǎo)致所有請(qǐng)求被轉(zhuǎn)發(fā)到攻擊者控制器權(quán)威解析器，使攻擊者能夠提供惡意響應(yīng)，而無需為每個(gè)新 DNS 記錄注入假條目。

竊聽

許多增強(qiáng) DNS 安全性的新提議包括源端口隨機(jī)化，0x20 XOR 編碼，WSEC-DNS，這些都取決于用于身份驗(yàn)證的組件的不對(duì)稱可訪問性。 換句話說，它們通過隱匿而不是通過身份驗(yàn)證和加密的機(jī)密性來提供安全性。他們的唯一目標(biāo)是如上所述防止盲目攻擊 使用這些安全方法仍然使 DNS 容易遭受受損服務(wù)器和網(wǎng)絡(luò)竊聽者的輕微攻擊，以打破默默無聞并執(zhí)行如上所述的相同攻擊，這次沒有盲目猜測(cè)。 即使在交換環(huán)境中，也可以使用 ARP 中毒和類似技術(shù)強(qiáng)制所有數(shù)據(jù)包進(jìn)入惡意計(jì)算機(jī)，并且可以擊破這種混淆技術(shù)。

DNS 緩存投毒緩解

DNSSEC

防止 DNS 緩存被投毒的最佳方法是實(shí)現(xiàn)加密和身份驗(yàn)證的安全方法。DNS 作為一種過時(shí)的協(xié)議以及整個(gè)互聯(lián)網(wǎng)的支柱，令人驚訝的是仍然是一種未加密的協(xié)議，沒有對(duì)它收到的條目和響應(yīng)進(jìn)行任何形式的驗(yàn)證。

當(dāng)然，解決方案是提供一種稱為 DNS Secure 或 DNSSEC的驗(yàn)證和身份驗(yàn)證方法。該協(xié)議創(chuàng)建了與 DNS 記錄一起存儲(chǔ)的唯一加密簽名。然后 DNS 解析器使用簽名來驗(yàn)證 DNS 響應(yīng)，確保記錄未被篡改。此外，它還提供了從 TLD 到域權(quán)威區(qū)域的信任鏈，確保了 DNS 解析的整個(gè)過程是安全的。

盡管有這些明顯的好處，但 DNSSEC 的采用速度很慢，許多不那么受歡迎的 TLD 仍然沒有利用 DNSSEC 來保證安全。主要問題是 DNSSEC 設(shè)置復(fù)雜，需要升級(jí)設(shè)備來處理新協(xié)議，另外由于歷史上大多數(shù) DNS 欺騙攻擊的罕見和不可知性，DNSSEC 的實(shí)現(xiàn)不被視為優(yōu)先級(jí)，通常只執(zhí)行一次應(yīng)用就達(dá)到其生命周期的終點(diǎn)。

原文：[DNS Cache Poisoning]( https://medium.com/iocscan/dns-cache-poisoning-bea939b5afaf)

譯者：neal1991

welcome to star my articles-translator, providing you advanced articles translation. Any suggestion, please issue or contact me

LICENSE: MIT