【安全百科】10 DNS缓存投毒

[复制链接]
发表于 : 2019-6-11 09:30:36 最新回复:2019-06-19 19:30:58
1483 25
华安
华安 官方号

安全百科,一口一个。

今天和大家分享的是“DNS缓存投毒092808v6ybll6ylt6glwlc.jpg

 

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - -   - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

- DNS工作过程中,先查询浏览器缓存和操作系统hosts文件、本地缓存DNS,然后查询权威DNS。本地缓存DNS一般是ISP网络服务提供商DNS

-   想办法修改本地缓存DNS服务器中的映射关系,这个过程就是DNS缓存投毒。

- 投毒需要:第一,向缓存服务器发送缓存中不存在域名的请求;第二,在权威DNS回应到达之前先命中缓存服务器请求信息。

对于DNS缓存投毒,个人用户很难单单靠设置解决。如果得知已投毒,可以通过修改Hosts的方法,手动设置域名正确的IP地址。或者借助于专业的安全设备。

 

- - - - - - - - - - - - - - - - - - - - - - - DNS缓存投毒- - - - - 阅读时间 140- - - - - - - - - - - - - - - - - - - - -

 

| 什么是DNS缓存投毒

 

上一期咱们了解了DNS的工作过程,先查询浏览器缓存和操作系统hosts文件、本地缓存DNS,然后查询权威DNS。也了解到本地缓存DNS服务器承担了90%的域名解析工作。试想如果修改了本地缓存DNS中缓存的内容,是不是就可以达到让用户不能访问特定的网站或者访问的是假网站的目的了?这个修改缓存内容的过程就是DNS缓存投毒。

 

| DNS缓存投毒过程

 

图1 DNS缓存投毒过程

DNS缓存投毒

 

DNS缓存投毒是攻击者先向缓存服务器发送一个不存在域名的请求报文,例如abc.huawei.com,触发缓存服务器向权威DNS发出查询请求,同时攻击者向缓存服务器发送大量的伪造回应报文,以期在真正的权威DNS回应到达之前命中缓存服务器的请求信息,将恶意权威DNS地址置入缓存服务器缓存项中,而恶意权威DNS服务器中记录了错误的网站域名和IP地址对应关系。结果导致abc.huawei.com的解析地址是错误的。

 

这个子域名解析错误其实影响不大,毕竟攻击者发送的请求域名通常是不存在的,但由于投毒修改了缓存服务器中缓存的权威DNS地址,所以在缓存周期内,不仅访问abc.huawei.com子域名时返回的IP地址是错误的,所有访问huawei.com主域名返回的IP地址都是错误的。这就是DNS缓存投毒的过程。

 

| 应对之道

 

对于DNS缓存投毒,个人用户很难单单靠设置解决。如果得知已投毒,可以通过修改Hosts的方法,手动设置域名正确的IP地址。或者借助于专业的安全设备。

 

| 缓存投毒的特点

 

想起多年前有一次我带家人看病,到北医三院门口踌躇了一阵不知道耳科在什么位置,这时有个人凑上来问我找什么科,我说找耳科,她说这么巧她耳朵前阵子也不好,在某某医院看好的,可以带我去,我鬼使神差跟她走到医院门口猛然觉得不对,这肯定是骗子。你看,趁没走进正规科室之前进行诱骗,骗到假的医院假的医生那里,我觉得跟缓存投毒很像。这种骗术其实容易被发现,也需要一些技巧,并不是每次都能骗成功的。

 

还有一种骗术,你甚至没法意识到已被骗,是什么呢,咱们下期见。

 

- - - - - - - - - - - - - - - - - - - - - - - - - - - - 相关链接- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

汇总帖 | DNS欺骗 | DNS劫持


- - - - - - - - - - - - - - - - - - - - - - - - - - - - - 思 考 题- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

(开放题)缓存投毒成功后,是不是一直有效(即用户访问的域名地址一直都是错误的)?为什么?

 

  • x
  • 常规:

点评 回复

跳转到指定楼层
华安
华安 官方号 发表于 2019-6-11 09:30:58 已赞(2) 赞(2)

 

公布答案:

缓存投毒是篡改了缓存中的映射关系或者篡改了缓存中记录的权威DNS地址。缓存投毒是暂时性的,过了缓存周期,如果不继续投毒,就会恢复。

  • x
  • 常规:

点评 回复

尹志平
尹志平   发表于 2019-6-11 11:01:23 已赞(0) 赞(0)

缓存投毒成功后,不是一直有效;因为有老化时间。在老化时间内有效。
  • x
  • 常规:

点评 回复

华安
华安 发表于 2019-8-1 17:44
有效跟帖,记名1次  
班花的网名叫小龙女,班上的男同学纷纷把网名改成了杨过;
而我把网名改成了尹志平。
终可见
终可见  精英 发表于 2019-6-11 13:38:04 已赞(0) 赞(0)

不,缓存应该有一个老化时间,或用户手动清除本地dns缓存,或断电上电。
  • x
  • 常规:

点评 回复

华安
华安 发表于 2019-8-1 17:44
有效跟帖,记名1次  
尹志平
尹志平   发表于 2019-6-11 16:55:59 已赞(0) 赞(0)

社区最帅官方号,还有自己的表情包【安全百科】10 DNS缓存投毒-2963357-1
  • x
  • 常规:

点评 回复

华安
华安 发表于 2019-8-1 17:44
哈哈哈哈哈哈 多谢支持  
班花的网名叫小龙女,班上的男同学纷纷把网名改成了杨过;
而我把网名改成了尹志平。
jmdhhy
jmdhhy  新锐 发表于 2019-6-11 17:50:27 已赞(0) 赞(0)

缓存投毒成功后,是不是一直有效(即用户访问的域名地址一直都是错误的)?为什么? 不是一直有效的。缓存是有生存周期的,在windows系统下ipconfig/flushdns 参数就可以清楚dns缓存,从服务器上读取最新的dns信息。
  • x
  • 常规:

点评 回复

华安
华安 发表于 2019-8-1 17:44
有效跟帖,记名1次  
Bloomberg
Bloomberg   发表于 2019-6-12 08:48:30 已赞(0) 赞(0)

在缓存老化时间内有效
  • x
  • 常规:

点评 回复

华安
华安 发表于 2019-8-1 17:45
有效跟帖,记名1次  
Fansug
Fansug  精英VIP 发表于 2019-6-12 09:43:06 已赞(0) 赞(0)

这个应该是不会一直会存在的 缓存服务器应该会有一个有效周期,而且也要看权威DNS服务器能否正常更新到缓存服务器上
  • x
  • 常规:

点评 回复

华安
华安 发表于 2019-8-1 17:45
有效跟帖,记名1次  
广告位招租
霍乐迪
霍乐迪  新锐 发表于 2019-6-12 10:18:24 已赞(0) 赞(0)

缓存投毒成功后不是一直有效的,缓存服务器会在缓存周期之后重新向权威服务器发起域名查询以此更新权威服务器的地址,客户端也会在本地域名缓存的生存时间(TTL)过期之后重新发起DNS查询来进行地址更新。。。虽然缓存投毒不是一直有效的,但是危害还是挺大的,因为一个缓存服务上可能大量的域名都会被指向恶意的权威DNS而导致无法访问。
  • x
  • 常规:

点评 回复

华安
华安 发表于 2019-8-1 17:45
有效跟帖,记名1次  
尹志平
尹志平   发表于 2019-6-12 14:09:37 已赞(0) 赞(0)

.
  • x
  • 常规:

点评 回复

华安
华安 发表于 2019-8-1 17:45
兄弟光是名字就十分有存在感了  
班花的网名叫小龙女,班上的男同学纷纷把网名改成了杨过;
而我把网名改成了尹志平。
12
返回列表
发表回复
您需要登录后才可以回帖 登录 | 注册

警告 内容安全提示:尊敬的用户您好,为了保障您、社区及第三方的合法权益,请勿发布可能给各方带来法律风险的内容,包括但不限于政治敏感内容,涉黄赌毒内容,泄露、侵犯他人商业秘密的内容,侵犯他人商标、版本、专利等知识产权的内容,侵犯个人隐私的内容等。也请勿向他人共享您的账号及密码,通过您的账号执行的所有操作,将视同您本人的行为,由您本人承担操作后果。详情请参看“隐私声明
如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!
登录参与交流分享

登录参与交流分享

登录