DNS缓存中毒怎么工作的

DNS缓存中毒是一种网络攻击，它使您的计算机误以为它会到达正确的地址，但事实并非如此。攻击者使用DNS缓存中毒来劫持互联网流量并窃取用户凭据或个人数据。DNS缓存中毒攻击也称为DNS欺骗，它试图诱骗用户将其私人数据输入不安全的网站。

DNS缓存中毒如何工作?

当一个DNS缓存服务器从用户处获得域名请求时，服务器会在缓存中寻找是否有这个地址。如果没有，它就会上级DNS服务器发出请求。在出现这种漏洞之前，攻击者很难攻击DNS服务器：他们必须通过发送伪造查询响应、获得正确的查询参数以进入缓存服务器，进而控制合法DNS服务器。这个过程通常持续不到一秒钟，因此黑客攻击很难获得成功。但是，现在有安全人员找到该漏洞，使得这一过程朝向有利于攻击者转变。这是因为攻击者获悉，对缓存服务器进行持续不断的查询请求，服务器不能给与回应。比如，一个黑客可能会发出类似请求：1q2w3e.google.com，而且他也知道缓存服务器中不可能有这个域名。这就会引起缓存服务器发出更多查询请求，并且会出现很多欺骗应答的机会。当然，这并不是说攻击者拥有很多机会来猜测查询参数的正确值。事实上，是这种开放源DNS服务器漏洞的公布，会让它在10秒钟内受到危险攻击。要知道，即使1q2w3e.google.com受到缓存DNS中毒攻击危害也不大，因为没有人会发出这样的域名请求，但是，这正是攻击者发挥威力的地方所在。通过欺骗应答，黑客也可以给缓存服务器指向一个非法的服务器域名地址，该地址一般为黑客所控制。而且通常来说，这两方面的信息缓存服务器都会存储。由于攻击者现在可以控制域名服务器，每个查询请求都会被重定向到黑客指定的服务器上。这也就意味着，黑客可以控制所有域名下的子域网址：www.bigbank.com，mail.bigbank.com，ftp.bigbank.com等等。这非常强大，任何涉及到子域网址的查询，都可以引导至由黑客指定的任何服务器上。

DNS缓存中毒有何风险?

DNS缓存中毒的主要风险是窃取数据。DNS缓存中毒攻击的最喜欢的目标是医院，金融机构网站和在线零售商。这些目标容易被欺骗，这意味着任何密码，信用卡或其他个人信息都可能受到损害。此外，在用户设备上安装密钥记录器的风险，可能会导致用户访问其他站点时暴露其用户名和密码。另一个重大风险是，如果互联网安全提供商的网站被欺骗，那么用户的计算机可能会受到其他威胁(如：病毒或特洛伊木马)的影响，因为一旦被攻击用户则不会执行合法的安全更新。据称，DNS攻击的年平均成本为223.6万美元，其中23%的攻击来自DNS缓存中毒。

如何防止DNS缓存中毒

那么，企业究竟该如何防止DNS缓存中毒攻击?要从以下几点出发：第一，DNS服务器应该配置为尽可能少地依赖与其他DNS服务器的信任关系。以这种方式配置将使攻击者更难以使用他们自己的DNS服务器来破坏目标服务器。第二，企业应该设置DNS服务器，只允许所需的服务运行。因为在DNS服务器上运行不需要的其他服务，只会增加攻击向量大小。第三，安全人员还应确保使用最新版本的DNS。较新版本的BIND具有加密安全事务ID和端口随机化等功能，可以帮助防止缓存中毒攻击。第四，用户的安全教育对于防止这些攻击也非常重要。用户应接受有关识别可疑网站的培训，用户要学会只访问HTTPS网站，这有助于防止人们成为中毒攻击的受害者，因为他们会确保不将他们的个人信息输入黑客的网站。如果他们在连接到网站之前收到SSL警告，则不会单击“忽略”按钮。 这样就不会受到DNS缓存中毒攻击。