主流域名解析库曝重大DNS投毒漏洞,应如何做好有效应对?

时间:2022-05-17 作者:管理员 点击:343

近日,一个未修复的关键安全漏洞被披露,通过利用该漏洞可对物联网类产品造成巨大的安全威胁。该漏洞最早于2021年9月被报告,影响了用于开发嵌入式Linux系统的两个流行的C库——uClibc和uClibc-ng的域名DNS系统的正常使用,这可能会使数百万物联网设备面临巨大的安全威胁。

网络安全研究人员表示,该漏洞可能允许攻击者对目标设备实施DNS投毒攻击。成功利用该漏洞可进行中间人 ( MitM ) 攻击并破坏DNS缓存,从而将互联网流量重定向到他们控制的恶意服务器上。如果将操作系统配置为使用固定或可预测的源端口,则可以轻松利用该漏洞,窃取和操纵用户传输的信息,并对这些设备进行其他攻击。

什么是DNS投毒?

DNS缓存投毒又称DNS欺骗,是一种通过查找并利用DNS系统中存在的漏洞,将流量从合法服务器引导至虚假服务器上的攻击方式。与一般的钓鱼攻击采用非法URL不同的是,这种攻击使用的是合法URL地址。

DNS投毒的工作机制

在实际的DNS解析过程中,用户请求某个网站,浏览器首先会查找本机中的DNS缓存,如果DNS缓存中记录了该网站和IP的映射关系,就会直接将结果返回给用户,用户对所得的IP地址发起访问。如果缓存中没有相关记录,才会委托递归服务器发起递归查询。

这种查询机制,缩短了全球查询的时间,可以让用户获得更快的访问体验,但也存在一定的安全风险。如果攻击者通过控制用户的主机或者使用恶意软件攻击用户的DNS缓存,就可以对DNS缓存中的域名映射关系进行篡改,将域名解析结果指向一个虚假IP。

在这种情况下,用户再次对该网站发起请求时,通过DNS系统的解析会直接将虚假的映射关系返给用户,将用户引导至虚假站点之上,从而造成信息泄露,财产安全受到影响。

如何应对DNS投毒

(1)DNS服务器中Bind等软件采用源端口随机性较好的较高版本。源端口的随机性可以有效降低攻击成功的概率,增加攻击难度。

(2)增加权威域名服务器的数量。据调查,国际和国内在权威域名服务器部署的数量方面近几年均有所提升,但应进一步加强。

(3)在现有DNS协议框架基础上,引入一些技巧性方法,增强DNS安全性。如在对DNS应答数据包的认证方面,除原查询包发送IP地址、端口和随机查询ID外,再增加其他可认证字段,增强认证机制。

(4)改进现有DNS协议框架,例如在DNS服务器上配置DNSSEC安全的机制,提升对应答数据包的弱认证方式以提高DNS安全性,或引入IPv6协议机制。

DNS在互联网上应用广泛,其安全性关系整个Internet的稳定。DNS缓存投毒作为一种常见的DNS攻击手段,具备危害性大、隐蔽性强等特点,如果与其他攻击技术结合,其对于网络安全的破坏性更强。因此,如何提升DNS安全防御能力,有效应对DNS劫持、DNS投毒等攻击手段,应成为广大政企网站关注的重点。
返回列表
在线沟通

Are you interested in ?

感兴趣吗?

有关我们服务的更多信息,请联系

136 7365 2363(同微信) 13140187702

郑州网站建设郑州网站设计郑州网站制作郑州建站公司郑州网站优化--联系索腾

与我们合作

郑州网站建设郑州网站设计郑州网站制作郑州建站公司郑州网站优化--与索腾合作,您将会得到更成熟、专业的网络建设服务。我们以客户至上,同时也相互挑战,力求呈现最好的品牌建设成果。

业务咨询热线:

136 7365 2363

TOP

QQ客服

在线留言