DNS污染攻擊的危險(xiǎn)及預(yù)防方法
網(wǎng)絡(luò)世界不斷進(jìn)化發(fā)展,網(wǎng)絡(luò)犯罪手段也日新月異。DNS污染攻擊就是我們可能未足夠重視的威脅之一。
網(wǎng)絡(luò)犯罪的增長(zhǎng)對(duì)全世界的企業(yè)都產(chǎn)生了影響,各公司每年耗費(fèi)數(shù)百萬(wàn)美元用于預(yù)防網(wǎng)絡(luò)攻擊。但是,仍有68%的業(yè)務(wù)主管感到網(wǎng)絡(luò)安全風(fēng)險(xiǎn)只增不減。因此,全面了解網(wǎng)絡(luò)犯罪和知曉如何加以預(yù)防就尤為重要了。
本文著重講述名為DNS污染的網(wǎng)絡(luò)犯罪方法,討論該如何保護(hù)自己的設(shè)備免遭此類攻擊。
DNS污染是什么?
DNS污染攻擊亦稱DNS假冒攻擊,黑客通過(guò)DNS污染來(lái)模仿另一臺(tái)設(shè)備、客戶端或用戶。這種偽裝方法使黑客很容易從任何設(shè)備竊取信息或中斷互聯(lián)網(wǎng)流量。
在DNS污染攻擊中,黑客把域名系統(tǒng)(DNS)更改為“偽造的”DNS,將訪問(wèn)網(wǎng)站的用戶重定向到完全不一樣的站點(diǎn)。由于虛假站點(diǎn)通常長(zhǎng)得跟合法站點(diǎn)很像,用戶往往對(duì)此毫無(wú)察覺。
DNS污染的機(jī)制
域名系統(tǒng)(DNS)是用于聯(lián)網(wǎng)計(jì)算機(jī)、服務(wù)或任意資源的層次化命名系統(tǒng)。網(wǎng)絡(luò)名稱按域組織,方便在聯(lián)網(wǎng)系統(tǒng)叢林中清晰尋徑。
DNS層級(jí)通常長(zhǎng)這樣:
根域名 -> 頂級(jí)域名(TLD,例如.com或.org) -> 域名(如blogspot.com) -> IP地址。
在瀏覽器中鍵入U(xiǎn)RL并回車時(shí),互聯(lián)網(wǎng)上的DNS服務(wù)器會(huì)將該網(wǎng)站的名稱轉(zhuǎn)換為IP地址,計(jì)算機(jī)靠這個(gè)地址與托管著用戶所查找網(wǎng)站的系統(tǒng)進(jìn)行通信。這意味著DNS好似負(fù)責(zé)保障對(duì)話順暢進(jìn)行的譯員,讓瀏覽器能夠成功載入互聯(lián)網(wǎng)資源。
但是,當(dāng)DNS服務(wù)器本身受到攻擊而提供虛假信息的時(shí)后,會(huì)發(fā)生什么情況呢?那樣的話,瀏覽器就會(huì)載入危險(xiǎn)的非法網(wǎng)站而不是合法網(wǎng)站了。
這類攻擊的原理就是,通過(guò)利用頁(yè)面載入過(guò)程中的弱點(diǎn),黑客將流量從合法IP地址重定向到了非法IP地址。簡(jiǎn)單講,黑客訪問(wèn)DNS服務(wù)器,然后按自己的需要調(diào)整DNS服務(wù)器的目錄。
因此,只要用戶鍵入域名,就會(huì)被重定向到黑客設(shè)置的域名,而不是用戶想要訪問(wèn)的合法域名。這會(huì)對(duì)用戶形成巨大的風(fēng)險(xiǎn)。
DNS污染的風(fēng)險(xiǎn)
DNS污染會(huì)對(duì)用戶形成巨大風(fēng)險(xiǎn),但更危險(xiǎn)的是,用戶對(duì)此甚至一無(wú)所知。DNS投毒至少會(huì)形成以下幾種危險(xiǎn)。
- 植入惡意軟件。用戶被重定向到虛假網(wǎng)站時(shí),黑客掌握著該網(wǎng)站的權(quán)限,會(huì)利用權(quán)限往設(shè)備上安裝惡意軟件。
- 數(shù)據(jù)盜竊。黑客可通過(guò)DNS投毒輕松盜取設(shè)備上的個(gè)人數(shù)據(jù)。他們可以盜取金融憑證、登錄憑證、安全號(hào)和其他敏感數(shù)據(jù)等。
- 阻止設(shè)備安全更新。通過(guò)DNS投毒,黑客甚至可以阻止設(shè)備獲取安全更新包,從而長(zhǎng)期控制該設(shè)備。
如何防止DNS污染攻擊?
防止DNS污染攻擊是使用戶或公司免于遭受網(wǎng)絡(luò)犯罪侵害的重要一環(huán)。可以應(yīng)用多種方法避免遭受DNS污染攻擊。
(1) 假冒攻擊檢測(cè)工具
NetCut和Arp Monitor等各種DNS假冒攻擊檢測(cè)工具可以掃描發(fā)送給用戶的DNS數(shù)據(jù),確保只有準(zhǔn)確的DNS數(shù)據(jù)能發(fā)給用戶。
(2) 端到端加密
這是主流企業(yè)最常采取的安全措施,可以確保從一個(gè)端點(diǎn)發(fā)往另一個(gè)端點(diǎn)的DNS數(shù)據(jù)是完全加密的。加密可以防止網(wǎng)絡(luò)罪犯復(fù)制數(shù)據(jù)。
(3) 安裝防火墻
安裝支持在線病毒防護(hù)的防火墻或殺毒軟件助益良多。這種防火墻或殺毒軟件可以組織任何惡意軟件或病毒進(jìn)入你的設(shè)備,還可以清除已經(jīng)出現(xiàn)在設(shè)備上的惡意軟件。
(4) 虛擬專用網(wǎng)(VPN)
VPN應(yīng)用會(huì)將你的流量導(dǎo)入加密隧道。此外,大多數(shù)強(qiáng)大的VPN服務(wù)使用專用DNS服務(wù)器。這些服務(wù)器通常加密所有用戶請(qǐng)求。因此,VPN可以防止你的瀏覽被黑客或其他實(shí)體打斷。
結(jié)語(yǔ)
網(wǎng)絡(luò)技術(shù)的進(jìn)步也帶來(lái)了很多危險(xiǎn)。使用互聯(lián)網(wǎng)的風(fēng)險(xiǎn)日益增大,危險(xiǎn)程度持續(xù)上升。因此,為減少或遏止此類威脅,大家都應(yīng)采納上述預(yù)防方法。
