首页 > 其他分享 >DNS 攻击类型

DNS 攻击类型

时间:2024-01-05 15:37:39浏览次数:31  
标签:拒绝服务 攻击 攻击者 域名 DNS 类型 服务器

目前,针对域名系统(DNS)的攻击已经成为企业组织数字化发展中的一个严重问题,每年都有数千个网站成为此类攻击的受害者。据最近的研究数据显示,2023年企业组织与DNS攻击相关的损失同比增加了49%,这些损失不仅是在企业的财务方面,还包括对组织内部系统和云上应用造成的损害。


企业如果要保护网络免受此类攻击,前提就是要了解不同类型的DNS攻击,并找到相对应的缓解方法。在本文中,研究人员详细介绍了当前最危险的10种DNS攻击类型以及原理,并给出了相应的预防建议。

1


DNS缓存投毒攻击

DNS缓存投毒是指在用户访问合法网站时,诱使其访问欺诈性网站。例如当用户需要访问gmail.com查看电子邮件时,攻击者通过破坏DNS,显示了一个欺诈性网站而不是gmail.com页面,以此来获取对受害者电子邮件账户的访问权限。

攻击原理

 ●DNS缓存允许DNS解析器临时存储域名与IP地址的对应关系。

 ●攻击者利用DNS缓存投毒攻击,向DNS解析器或目标设备发送虚假的DNS响应,假冒真实的DNS服务器

 ●攻击者试图将虚假的DNS记录放入目标设备的DNS缓存中。

 ●DNS消息具有事务ID,用于将响应与相关的请求进行匹配。

防护建议

 ●及时更新和修补系统

 ●使用可信赖的DNS服务器

 ●实施DNSSEC(DNS安全扩展)

 ●监控DNS流量

 ●配置防火墙和入侵检测/防御系统

 ●加密DNS流量

2


分布式反射拒绝服务

分布式反射式拒绝服务(DRDoS)的攻击手法是通过发送大量UDP确认消息使目标不可用。在某些情况下,攻击者还可能会修改DNS、NTP等记录。为了能够将实际操作在伪造地址上的主机与更多的确认消息关联起来,攻击者需要使用伪造的源IP地址。当这些伪造的确认消息开始出现时,目标系统将变得难以访问。当这些攻击以适当的规模进行控制时,集体反射的情况就会变得明显,即多个终端广播伪造的UDP请求,生成的确认消息将指向单个目标。

攻击原理

 ●DDoS攻击利用网络协议的特点,使得一个小的请求能够引发巨大的响应。

 ●攻击流量并不直接从攻击者发送到受害者,而是发送请求到互联网上的弱点服务器或设备,这些服务器或设备会以更多的流量作出响应。

 ●攻击者会通过僵尸网络(botnet)发起DDoS攻击。

防护建议

 ●将服务器放置在不同的数据中心。

 ●确保数据中心位于不同的网络上。

 ●确保数据中心具有多个可访问路径。

 ●确保数据中心或与数据中心相关联的网络没有严重的安全漏洞或单点故障

3


DNS隧道攻击

这种网络攻击利用 DNS 确认和查询通道,从多个应用程序传输编码数据。虽然它从未被广泛使用,但研究人员发现这项技术现在开始被攻击者关注,因为它能够规避接口保护措施,而入侵者必需要对目标系统、域名和 DNS 权威服务器进行物理访问才能进行 DNS 隧道攻击。

攻击原理

 ●域名系统中的隧道需要隐藏不属于 DNS 查询或答案的信息。

 ●DNS 隧道利用 DNS 协议,该协议主要用于域名解析,其目的不是预期的原因。

 ●使用 DNS 隧道,可以在常规 DNS 流量中建立秘密的通信路径。

 ●通过DNS隧道,可以从受感染的网络或系统中提取私密数据。

防护建议

 ●创建访问规则。

 ●创建协议对象。

 ●创建应用程序规则。

4


TCP SYN洪水攻击

TCP SYN洪水攻击是一种危险的拒绝服务(DDoS)攻击,可以破坏使用传输控制协议(TCP)进行互联网通信的任何服务。常见的基础设施组件,如负载均衡器、防火墙、入侵防御系统(IPS)和利用服务器,都可能容易受到SYN波攻击的影响,即使是设计用于管理数百万个连接的高容量设备也可能因这种攻击而瘫痪。

攻击原理

 ●TCP过程有三个步骤:SYN、SYN-ACK 和 ACK。

 ●攻击者向目标服务器发送大量 SYN(同步)数据包,同时表示他们想要建立新的连接。

 ●目标服务器为每个传入的 SYN 数据包提供系统资源,如 RAM 和有关连接状态的详细信息。

 ●攻击者经常伪造SYN数据包中的原始IP地址,以增加发现和阻止的难度。

 ●保留了太多半开放的链接,这给目标系统的内存、CPU 和连接状态表造成过大的压力。

防护建议

 ●提供对内联和离线部署的适当支持,以确保网络上不存在单一的崩溃点。

 ●能够查看和检查来自网络各个部分的流量。

 ●不同的威胁情报来源,包括统计异常检测、可自定义的入口警报和已知威胁的指纹,确保快速可靠的检测。

 ●可扩展以处理各种规模的攻击,从低端到高端,从高端到低端。

5


DNS劫持攻击

DNS 劫持攻击在网络犯罪领域也很常见。发生DNS劫持攻击时,攻击者会操纵域名查询的解析服务,导致访问被恶意定向至他们控制的非法服务器,这也被成为DNS投毒或DNS重定向攻击。除了实施网络钓鱼活动的黑客外,这还可能由信誉良好的实体(比如ISP)完成,其这么做是为了收集信息,用于统计数据、展示广告及其他用途。

攻击原理

 ●攻击者通过未经许可进入 DNS 服务器或管理界面来更改域的 DNS 记录。

 ●DNS黑客可用于诱骗人们访问看起来很像真实网站的虚假网站。

 ●攻击者可以将人员发送到恶意网站或内部漏洞利用工具包。

 ●在一些DNS劫持攻击中,官方DNS服务器或互联网服务提供商(ISP)的DNS解析器被黑客入侵。

防护建议

 ●检查网络上的解析器。

 ●严格限制对名称服务器的访问。

 ●采取措施防范缓存污染。

 ●即时修补已知漏洞。

 ●分隔权威名称来自解析程序的服务器。

 ●限制区域的更改。

6


幻域攻击

幻域攻击与普通子域名攻击类似,在这种类型的攻击中,由于一些“幻影”域名从不响应DNS查询,攻击者会通过大量查询耗尽DNS解析器的资源。这种攻击的目的是使DNS解析器在放弃或提供不良响应之前等待过长的时间,从而大量影响DNS的性能。

防护建议

 ●增加递归客户端数量。

 ●使用参数的正确顺序以获得最佳结果。

 ●限制每个服务器的递归查询和每个区域的递归查询。
 ●启用对不响应的服务器的抑制,并检查每个区域的递归查询。

7


DNS 洪水攻击

DNS洪水攻击属于分布式拒绝服务(DDoS)攻击的一种,主要目标是使服务器访问过载,使其无法继续为DNS请求提供服务。当这种类型的攻击来自单个 IP地址时很容易缓解。然而,当 DDoS 涉及数百或数千人时,情况可能会变得复杂。缓解方法有时可能很棘手,因为许多查询会很快被识别为恶意错误,并且会发出许多有效的请求来混淆防御设备。

攻击原理

 ●尝试通过一次性发送大量DNS请求来破坏DNS服务器或系统;

 ●用户数据报协议(UDP)和传输控制协议(TCP)都可以用于进行DNS洪水攻击;

 ●通过使用不安全的DNS解析器或合法DNS服务器来增加发送的数据量。

防护建议

 ●任何存储在DNS中并成为分布式拒绝服务(DDoS)洪水攻击目标的域名信息都将无法访问。

 ●定期更新旧信息,并跟踪在许多DNS提供商中接收到最多查询的域名。

8


随机子域攻击

随机子域名攻击的构造与简单的拒绝服务攻击(DoS)基本相同,因此通常被视为DoS攻击。此类攻击的目标是创建一个拒绝服务(DoS)攻击,以超负荷运行负责处理主域名的官方DNS服务器,从而阻止DNS记录的查询。这些请求通常将来被感染的访问用户,他们并不知道自己在发送特定类型的查询,使得这种攻击很难被识别和阻止。

攻击原理

 ●攻击者可以通过随机子域名攻击在现有域名上创建大量子域;

 ●作为快速流转方法的一部分,攻击者会非常快速地更改与子域名相关联的IP地址;

 ●攻击者使用DGA(域名生成算法)创建大量看似随机选择的域名或子域;

 ●在随机子域攻击中,随机创建的子域名可能托管恶意软件或其他有害内容。

防护建议

 ●了解与受害者相关的解析器和网络资源产生大量流量的攻击技术

 ●了解保护激发攻击的DNS解析器的现代功能,如响应速率限制

9


僵尸网络攻击

僵尸网络是一组受感染的 Internet 连接设备,可用于发起协调的拒绝服务攻击,在此期间,受感染的设备可用于窃取信息、发送垃圾邮件,并授予攻击者对受感染设备及其网络连接的完全控制权。

攻击原理

 ●当许多计算机感染类似机器人或僵尸等软件时,它们会形成僵尸网络。

 ●僵尸网络由攻击者通常保持的中央命令和控制计算机运行。

 ●攻击者可以使用僵尸网络同时控制许多被黑客入侵设备的操作,从不同的地方发起协同攻击。

 ●分布式拒绝服务 (DDoS) 攻击通常利用僵尸网络发动。

防护建议


 ●正确了解漏洞。

 ●保护 IoT 设备。

 ●确定缓解措施是否真实可行。

 ●发现、分类和控制漏洞。

10


域名(Domain)劫持

在这种攻击中,攻击者会修改域名注册商和 DNS 服务器,以便将用户的流量重新路由到其他地方。如果攻击者获得了DNS 数据的控制权,则域名劫持也可能发生在 DNS层面上。当攻击者控制用户的域名时,他们可以使用它来发起攻击,例如为 PayPal、Visa 或银行系统等支付系统设置虚假页面。

攻击原理

●域名劫持是指某人非法夺取合法所有者的域名所有权。

●如果攻击者控制了域名,他们可以更改其DNS设置。

●攻击者可能添加新的子域名或更改现有的子域名,以使他们的恶意行为更加有效。

防护建议

●升级应用程序基础结构中的 DNS。

●使用DNSSEC(DNS安全扩展)。

●保护访问权限。

●启用客户端锁定功能。


标签:拒绝服务,攻击,攻击者,域名,DNS,类型,服务器
From: https://blog.51cto.com/u_64214/9114560

相关文章

  • DNS被劫持怎么办
    DNS劫持是一种网络攻击,攻击者通过篡改DNS记录,将特定域名的解析结果指向错误的IP地址,从而实现对特定网站的访问劫持或流量劫持。这种攻击方式严重影响了用户的上网体验,并可能导致用户隐私泄露。下面也从原因、危害以及应对的策略三个方面来介绍,也是希望能够大家对这方面有个深入的了......
  • 网络攻防技术——环境变量和Set-UID攻击
    实验6:环境变量与set-uid实验实验内容:本实验室的学习目标是让学生了解环境变量如何影响程序以及系统行为。环境变量是一组动态命名值,可以影响正在运行的进程将在计算机上运行。大多数操作系统都使用它们,因为它们是1979年引入Unix。尽管环境变量会影响程序行为,但它们是如何实现的......
  • MySQL三大日志,mvcc、DateTime 类型等
    1、MySQL事务隔离级别详解解决幻读的方法解决幻读的方式有很多,但是它们的核心思想就是一个事务在操作某张表数据的时候,另外一个事务不允许新增或者删除这张表中的数据了。解决幻读的方式主要有以下几种:将事务隔离级别调整为 SERIALIZABLE 。在可重复读的事务级别下,给事务操......
  • 在TypeScript中重命名类型索引?
    在TypeScript中,要重命名类型索引,你可以使用TypeScript的类型别名或接口来实现。下面是两种常见的方法:1.使用类型别名(TypeAliases):类型别名允许你为一个类型定义一个别名,通过使用关键字type来创建。你可以在别名中定义索引类型,并为该类型定义一个新的名称。```typescripttypeMy......
  • MySQL 8.0的SQL查询JSON返回的数据类型为字符串而非数组
    在MySQL8.0中,SQL查询JSON返回的数据类型确实是字符串,而不是数组。这是因为MySQL将JSON数据存储为字符串,并提供了一些函数和操作符来处理JSON数据。但是,你可以使用内置的JSON函数来处理返回的JSON字符串。例如,你可以使用JSON_EXTRACT函数来提取JSON字符串......
  • 鸿蒙原生应用/元服务开发-发布进度条类型通知
    进度条通知也是常见的通知类型,主要应用于文件下载、事务处理进度显示。HarmonyOS提供了进度条模板,发布通知应用设置好进度条模板的属性值,如模板名、模板数据,通过通知子系统发送到通知栏显示。目前系统模板仅支持进度条模板,通知模板NotificationTemplate中的data参数为用户自定义数......
  • 网络钓鱼攻击常见手段及防范措施!
    网络钓鱼攻击是一种常见且危险的网络安全威胁,其种类繁多,带来的危害和影响也非常大,因此警惕网络钓鱼攻击非常关键。本文为大家介绍一下网络钓鱼攻击常见手段及防范措施,快来学习一下吧。网络钓鱼攻击是一种网络欺诈形式,它旨在欺骗用户提供个人敏感信息,如用户名、密码、信用卡......
  • 对比 SQL Server中的VARCHAR(max) 与VARCHAR(n) 数据类型
    开始之前:设计某数据库表结构的过程中,收到了一个另外令人感到意外的建议:对于字符型数据类型,数据库里统一使用varchar(max)来存储,也就是所有字符数据类型都用varchar(max)字段类型,理由是ORM写代码方便?是的,你没有听错,为了ORM中写代码方便,所以建议数据库中字符型字段全部使用varchar(......
  • C++汇总路径下全部文件名并提取出指定类型或名称的文件
      本文介绍基于C++语言,遍历文件夹中的全部文件,并从中获取指定类型的文件的方法。  首先,我们来明确一下本文所需实现的需求。现在有一个文件夹,其中包含了很多文件,如下图所示;我们如果想获取其中所有类型为.bmp格式的文件的名称,如果文件数量比较多的话,手动筛选就会很麻烦。而借......
  • RHEL CentOS Debian Ubuntu 如何刷新 DNS 缓存
    RHELCentOSDebianUbuntu如何刷新DNS缓存全文:如何刷新DNS缓存(macOS,Linux,Windows)UnixLinuxWindows如何刷新DNS缓存(macOS,FreeBSD,RHEL,CentOS,Debian,Ubuntu,Windows)作者主页:sysin.org刷新或者清除DNS缓存,通常是因为有过时的DNS记录,需要立刻从服务......