近來�,網(wǎng)絡上出現(xiàn)互聯(lián)網(wǎng)漏洞——DNS緩存漏洞,此漏洞直指我們應用中互聯(lián)網(wǎng)脆弱的安全系統(tǒng)����,而安全性差的根源在于設計缺陷。利用該漏洞輕則可以讓用戶無法打開網(wǎng)頁�,重則是網(wǎng)絡釣魚和金融詐騙,給受害者造成巨大損失�����。
DNS緩存中毒也稱為DNS欺騙�����,是一種攻擊�����,旨在查找并利用DNS或域名系統(tǒng)中存在的漏洞,以便將有機流量從合法服務器吸引到虛假服務器上�����。這種攻擊往往被歸類為域欺騙攻擊(pharming attack)����,由此它會導致出現(xiàn)很多嚴重問題。首先�����,用戶往往會以為登陸的是自己熟悉的網(wǎng)站����,而它們卻并不是。與釣魚攻擊采用非法URL不同的是����,這種攻擊使用的是合法的URL地址。
DNS緩存中毒如何工作�����?
當一個DNS緩存服務器從用戶處獲得域名請求時,服務器會在緩存中尋找是否有這個地址���。如果沒有���,它就會上級DNS服務器發(fā)出請求。
在出現(xiàn)這種漏洞之前�,攻擊者很難攻擊DNS服務器:他們必須通過發(fā)送偽造查詢響應、獲得正確的查詢參數(shù)以進入緩存服務器���,進而控制合法DNS服務器���。這個過程通常持續(xù)不到一秒鐘,因此黑客攻擊很難獲得成功���。
但是���,現(xiàn)在有安全人員找到該漏洞,使得這一過程朝向有利于攻擊者轉變�。這是因為攻擊者獲悉,對緩存服務器進行持續(xù)不斷的查詢請求����,服務器不能給與回應。比如�,一個黑客可能會發(fā)出類似請求:1q2w3e.google.com,而且他也知道緩存服務器中不可能有這個域名�。這就會引起緩存服務器發(fā)出更多查詢請求,并且會出現(xiàn)很多欺騙應答的機會��。
當然�,這并不是說攻擊者擁有很多機會來猜測查詢參數(shù)的正確值。事實上����,是這種開放源DNS服務器漏洞的公布,會讓它在10秒鐘內受到危險攻擊�����。
要知道�����,即使1q2w3e.google.com受到緩存DNS中毒攻擊危害也不大����,因為沒有人會發(fā)出這樣的域名請求,但是��,這正是攻擊者發(fā)揮威力的地方所在。通過欺騙應答����,黑客也可以給緩存服務器指向一個非法的服務器域名地址,該地址一般為黑客所控制�����。而且通常來說�����,這兩方面的信息緩存服務器都會存儲�����。
由于攻擊者現(xiàn)在可以控制域名服務器�����,每個查詢請求都會被重定向到黑客指定的服務器上����。這也就意味著,黑客可以控制所有域名下的子域網(wǎng)址:www.bigbank.com���,mail.bigbank.com��,ftp.bigbank.com等等����。這非常強大�����,任何涉及到子域網(wǎng)址的查詢�����,都可以引導至由黑客指定的任何服務器上�����。
DNS緩存中毒有何風險����?
DNS緩存中毒的主要風險是竊取數(shù)據(jù)�����。DNS緩存中毒攻擊的最喜歡的目標是醫(yī)院,金融機構網(wǎng)站和在線零售商��。這些目標容易被欺騙���,這意味著任何密碼��,信用卡或其他個人信息都可能受到損害����。此外�,在用戶設備上安裝密鑰記錄器的風險,可能會導致用戶訪問其他站點時暴露其用戶名和密碼����。
另一個重大風險是,如果互聯(lián)網(wǎng)安全提供商的網(wǎng)站被欺騙�,那么用戶的計算機可能會受到其他威脅(如:病毒或特洛伊木馬)的影響,因為一旦被攻擊用戶則不會執(zhí)行合法的安全更新�。
據(jù)稱,DNS攻擊的年平均成本為223.6萬美元�,其中23%的攻擊來自DNS緩存中毒。
如何防止DNS緩存中毒
那么�,企業(yè)究竟該如何防止DNS緩存中毒攻擊?要從以下幾點出發(fā):
第一,DNS服務器應該配置為盡可能少地依賴與其他DNS服務器的信任關系�。以這種方式配置將使攻擊者更難以使用他們自己的DNS服務器來破壞目標服務器。
第二��,企業(yè)應該設置DNS服務器���,只允許所需的服務運行。因為在DNS服務器上運行不需要的其他服務�����,只會增加攻擊向量大小���。
第三���,安全人員還應確保使用最新版本的DNS。較新版本的BIND具有加密安全事務ID和端口隨機化等功能�,可以幫助防止緩存中毒攻擊。
第四�,用戶的安全教育對于防止這些攻擊也非常重要。用戶應接受有關識別可疑網(wǎng)站的培訓��,用戶要學會只訪問HTTPS網(wǎng)站,這有助于防止人們成為中毒攻擊的受害者���,因為他們會確保不將他們的個人信息輸入黑客的網(wǎng)站�。如果他們在連接到網(wǎng)站之前收到SSL警告���,則不會單擊“忽略”按鈕�。 這樣就不會受到DNS緩存中毒攻擊�����。
結論
HTTPS是現(xiàn)行架構下最安全的解決方案���,SSL證書可以很直觀的辨別出釣魚網(wǎng)站���,避免網(wǎng)站受到DNS緩存中毒攻擊,保護信息安全���。部署SSL證書一定要選擇一個具有公信力的CA機構�����,選擇CA機構最好是通過國際Webtrust標準的認證���,具備了國際電子認證服務能力的CA機構���,通過國際Webtrust標準的認證意味著CA機構的運營管理和服務水平符合國際標準,并且有能力����、有資質提供全球化認證服務,是可靠電子認證服務的有效證明��。國內能通過Webtrust認證的CA機構僅有3家�,GDCA就是其中的一家���,如果對安裝SSL證書有什么興趣或是疑問可到官網(wǎng)咨詢客服���。
