美國(guó)服務(wù)器DNS緩存欺騙是 DNS記錄更改，導(dǎo)致惡意重定向流量的結(jié)果。美國(guó)服務(wù)器DNS 緩存欺騙可以通過(guò)直接攻擊 DNS 美國(guó)服務(wù)器主機(jī)，或通過(guò)任何形式的專門針對(duì) DNS 流量的中間人攻擊來(lái)執(zhí)行。下面美聯(lián)科技小編就來(lái)具體介紹下美國(guó)服務(wù)器DNS緩存欺騙的內(nèi)容。

美國(guó)服務(wù)器DNS 緩存欺騙以一種利用 DNS 通信結(jié)構(gòu)的方式明確地工作，當(dāng) DNS 美國(guó)服務(wù)器主機(jī)嘗試在域上執(zhí)行查找時(shí)，它會(huì)將請(qǐng)求轉(zhuǎn)發(fā)到根權(quán)威 DNS，并沿著 DNS 美國(guó)服務(wù)器主機(jī)鏈向下查詢，直到它到達(dá)域上的權(quán)威 DNS 美國(guó)服務(wù)器主機(jī)。

由于本地 DNS 美國(guó)服務(wù)器主機(jī)不知道具體哪個(gè)服務(wù)器負(fù)責(zé)對(duì)應(yīng)哪個(gè)域，并且不知道到每個(gè)權(quán)威服務(wù)器的完整路由，因此只要回復(fù)與查詢匹配并且格式正確，它就會(huì)從任何地方接受對(duì)其查詢的回復(fù)。

因此攻擊者利用在回復(fù)本地 DNS 美國(guó)服務(wù)器主機(jī)時(shí)，擊敗實(shí)際的權(quán)威 DNS 美國(guó)服務(wù)器，這樣做本地 DNS 美國(guó)服務(wù)器主機(jī)將會(huì)使用攻擊者的 DNS 記錄，而不是實(shí)際的權(quán)威答案。由于 DNS 的性質(zhì)，本地 DNS 美國(guó)服務(wù)器主機(jī)無(wú)法確定回復(fù)的真實(shí)性。

由于 DNS 美國(guó)服務(wù)器主機(jī)將在內(nèi)部緩存查詢，因此每次請(qǐng)求域時(shí)，不必花費(fèi)時(shí)間查詢權(quán)威美國(guó)服務(wù)器主機(jī)，從而加劇了這種攻擊。而這同時(shí)帶來(lái)了另一個(gè)問(wèn)題，因?yàn)槿绻粽呖梢該魯?quán)威DNS 美國(guó)服務(wù)器主機(jī)進(jìn)行回復(fù)，那么攻擊者記錄將被本地 DNS 美國(guó)服務(wù)器主機(jī)緩存，這意味著任何使用本地DNS美國(guó)服務(wù)器主機(jī)的用戶都將獲得攻擊者記錄，可能會(huì)重定向所有使用該本地 DNS 美國(guó)服務(wù)器主機(jī)的用戶，都可以訪問(wèn)攻擊者的網(wǎng)站。

美國(guó)服務(wù)器DNS 緩存欺騙攻擊的案例：

案例一：生日攻擊的盲目響應(yīng)偽造

美國(guó)服務(wù)器DNS 協(xié)議交換不驗(yàn)證對(duì)遞歸迭代查詢的響應(yīng)，驗(yàn)證查詢只會(huì)檢查 16 位事務(wù) ID 以及響應(yīng)數(shù)據(jù)包的源 IP 地址和目標(biāo)端口。在 2008 年之前，所有 DNS 使用固定端口53 解析，因此除了事務(wù) ID 之外，欺騙 DNS 回復(fù)所需的所有信息都是可預(yù)測(cè)的。用這種弱點(diǎn)攻擊 DNS 被稱為【生日悖論】，平均需要 256 次來(lái)猜測(cè)事務(wù) ID。

為了使攻擊成功，偽造的 DNS 回復(fù)必須在合法權(quán)威響應(yīng)之前到達(dá)目標(biāo)解析器。如果合法響應(yīng)首先到達(dá)，它將由解析器緩存，并且直到其生存時(shí)間TTL到期，解析器將不會(huì)要求權(quán)威服務(wù)器解析相同的域名，從而防止攻擊者中毒映射該域。

案例二：竊聽

許多增強(qiáng) DNS 安全性的新提議包括源端口隨機(jī)化，0x20 XOR 編碼，WSEC-DNS，這些都取決于用于身份驗(yàn)證的組件的不對(duì)稱可訪問(wèn)性。 換句話說(shuō)，它們通過(guò)隱匿而不是通過(guò)身份驗(yàn)證和加密的機(jī)密性來(lái)提供安全性。它們的唯一目標(biāo)是如上所述，防止盲目攻擊使用這些安全方法，仍然使 DNS 容易遭受受損和網(wǎng)絡(luò)竊聽者的輕微攻擊，以打破并執(zhí)行如上所述的相同攻擊，這次沒有盲目猜測(cè)。

即使在交換環(huán)境中，也可以使用 ARP 中毒和類似技術(shù)強(qiáng)制所有數(shù)據(jù)包進(jìn)入惡意計(jì)算機(jī)，并且可以擊破這種混淆技術(shù)。

美聯(lián)科技已與全球多個(gè)國(guó)家的頂級(jí)數(shù)據(jù)中心達(dá)成戰(zhàn)略合作關(guān)系，為互聯(lián)網(wǎng)外貿(mào)行業(yè)、金融行業(yè)、IOT行業(yè)、游戲行業(yè)、直播行業(yè)、電商行業(yè)等企業(yè)客戶等提供一站式安全解決方案。關(guān)注美聯(lián)科技，了解更多IDC資訊！