美國服務(wù)器DNS緩存欺騙是 DNS記錄更改，導(dǎo)致惡意重定向流量的結(jié)果。美國服務(wù)器DNS 緩存欺騙可以通過直接攻擊 DNS 美國服務(wù)器主機(jī)，或通過任何形式的專門針對 DNS 流量的中間人攻擊來執(zhí)行。下面美聯(lián)科技小編就來具體介紹下美國服務(wù)器DNS緩存欺騙的內(nèi)容。

美國服務(wù)器DNS 緩存欺騙以一種利用 DNS 通信結(jié)構(gòu)的方式明確地工作，當(dāng) DNS 美國服務(wù)器主機(jī)嘗試在域上執(zhí)行查找時，它會將請求轉(zhuǎn)發(fā)到根權(quán)威 DNS，并沿著 DNS 美國服務(wù)器主機(jī)鏈向下查詢，直到它到達(dá)域上的權(quán)威 DNS 美國服務(wù)器主機(jī)。

由于本地 DNS 美國服務(wù)器主機(jī)不知道具體哪個服務(wù)器負(fù)責(zé)對應(yīng)哪個域，并且不知道到每個權(quán)威服務(wù)器的完整路由，因此只要回復(fù)與查詢匹配并且格式正確，它就會從任何地方接受對其查詢的回復(fù)。

因此攻擊者利用在回復(fù)本地 DNS 美國服務(wù)器主機(jī)時，擊敗實(shí)際的權(quán)威 DNS 美國服務(wù)器，這樣做本地 DNS 美國服務(wù)器主機(jī)將會使用攻擊者的 DNS 記錄，而不是實(shí)際的權(quán)威答案。由于 DNS 的性質(zhì)，本地 DNS 美國服務(wù)器主機(jī)無法確定回復(fù)的真實(shí)性。

由于 DNS 美國服務(wù)器主機(jī)將在內(nèi)部緩存查詢，因此每次請求域時，不必花費(fèi)時間查詢權(quán)威美國服務(wù)器主機(jī)，從而加劇了這種攻擊。而這同時帶來了另一個問題，因?yàn)槿绻粽呖梢該魯?quán)威DNS 美國服務(wù)器主機(jī)進(jìn)行回復(fù)，那么攻擊者記錄將被本地 DNS 美國服務(wù)器主機(jī)緩存，這意味著任何使用本地DNS美國服務(wù)器主機(jī)的用戶都將獲得攻擊者記錄，可能會重定向所有使用該本地 DNS 美國服務(wù)器主機(jī)的用戶，都可以訪問攻擊者的網(wǎng)站。

美國服務(wù)器DNS 緩存欺騙攻擊的案例：

案例一：生日攻擊的盲目響應(yīng)偽造

美國服務(wù)器DNS 協(xié)議交換不驗(yàn)證對遞歸迭代查詢的響應(yīng)，驗(yàn)證查詢只會檢查 16 位事務(wù) ID 以及響應(yīng)數(shù)據(jù)包的源 IP 地址和目標(biāo)端口。在 2008 年之前，所有 DNS 使用固定端口53 解析，因此除了事務(wù) ID 之外，欺騙 DNS 回復(fù)所需的所有信息都是可預(yù)測的。用這種弱點(diǎn)攻擊 DNS 被稱為【生日悖論】，平均需要 256 次來猜測事務(wù) ID。

為了使攻擊成功，偽造的 DNS 回復(fù)必須在合法權(quán)威響應(yīng)之前到達(dá)目標(biāo)解析器。如果合法響應(yīng)首先到達(dá)，它將由解析器緩存，并且直到其生存時間TTL到期，解析器將不會要求權(quán)威服務(wù)器解析相同的域名，從而防止攻擊者中毒映射該域。

案例二：竊聽

許多增強(qiáng) DNS 安全性的新提議包括源端口隨機(jī)化，0x20 XOR 編碼，WSEC-DNS，這些都取決于用于身份驗(yàn)證的組件的不對稱可訪問性。 換句話說，它們通過隱匿而不是通過身份驗(yàn)證和加密的機(jī)密性來提供安全性。它們的唯一目標(biāo)是如上所述，防止盲目攻擊使用這些安全方法，仍然使 DNS 容易遭受受損和網(wǎng)絡(luò)竊聽者的輕微攻擊，以打破并執(zhí)行如上所述的相同攻擊，這次沒有盲目猜測。

即使在交換環(huán)境中，也可以使用 ARP 中毒和類似技術(shù)強(qiáng)制所有數(shù)據(jù)包進(jìn)入惡意計算機(jī)，并且可以擊破這種混淆技術(shù)。

美聯(lián)科技已與全球多個國家的頂級數(shù)據(jù)中心達(dá)成戰(zhàn)略合作關(guān)系，為互聯(lián)網(wǎng)外貿(mào)行業(yè)、金融行業(yè)、IOT行業(yè)、游戲行業(yè)、直播行業(yè)、電商行業(yè)等企業(yè)客戶等提供一站式安全解決方案。關(guān)注美聯(lián)科技，了解更多IDC資訊！