特黄特色三级在线观看免费,看黄色片子免费,色综合久,欧美在线视频看看,高潮胡言乱语对白刺激国产,伊人网成人,中文字幕亚洲一碰就硬老熟妇

學(xué)習(xí)啦>學(xué)習(xí)電腦>電腦安全>網(wǎng)絡(luò)安全知識>

DNS緩存安全

時間: 權(quán)威724 分享

  如今互聯(lián)網(wǎng)的重要性越來越大,很多人也對一些知識很感興趣,那么你知道DNS緩存安全嗎?下面是學(xué)習(xí)啦小編整理的一些關(guān)于DNS緩存安全的相關(guān)資料,供你參考。

  DNS緩存安全的相關(guān)知識:

  緩存中毒攻擊者(cache poisoning)給DNS服務(wù)器注入非法網(wǎng)絡(luò)域名地址,如果服務(wù)器接受這個非法地址,那說明其緩存就被攻擊了,而且以后響應(yīng)的域名請求將會受黑客 所控。當(dāng)這些非法地址進(jìn)入服務(wù)器緩存,用戶的瀏覽器或者郵件服務(wù)器就會自動跳轉(zhuǎn)到DNS指定的地址。例如evilgrade 攻擊

  這種攻擊往往被歸類為域欺騙攻擊(pharming attack),由此它會導(dǎo)致出現(xiàn)很多嚴(yán)重問題。首先,用戶往往會以為登陸的是自己熟悉的網(wǎng)站,而它們卻并不是。與釣魚攻擊采用非法URL不同的是,這種攻擊使用的是合法的URL地址

  另外一個問題是,成百上千的用戶會被植入緩存中毒攻擊的服務(wù)器重定向,引導(dǎo)至黑客設(shè)立的圈套站點(diǎn)上。這種問題的嚴(yán)重性,會與使用域名請求的用戶多少相關(guān)。在這樣的情況下,即使沒有豐富技術(shù)的黑客也可以造成很大的麻煩,讓用戶稀里糊涂的就把自己網(wǎng)銀帳號密碼,網(wǎng)游帳號密碼告訴給他人。

  用這種類似的方法,郵件系統(tǒng)也會受到黑客攻擊。只不過不是給Web服務(wù)器,而是給郵件服務(wù)器非法地址,從而讓系統(tǒng)引導(dǎo)至受到控制的郵件服務(wù)器中。

  那么,黑客究竟是怎么做到使緩存服務(wù)器接受非法地址呢?當(dāng)一個DNS緩存服務(wù)器從用戶處獲得域名請求時,服務(wù)器會在緩存中尋找是否有這個地址。如果沒有,它就會上級DNS服務(wù)器發(fā)出請求。

  在出現(xiàn)這種漏洞 之前,攻擊者很難攻擊DNS服務(wù)器:他們必須通過發(fā)送偽造查詢響應(yīng)、獲得正確的查詢參數(shù)以進(jìn)入緩存服務(wù)器,進(jìn)而控制合法DNS服務(wù)器。這個過程通常持續(xù)不到一秒鐘,因此黑客攻擊很難獲得成功。

  但是,現(xiàn)在有安全 人員找到該漏洞,使得這一過程朝向有利于攻擊者轉(zhuǎn)變。這是因?yàn)楣粽攉@悉,對緩存服務(wù)器進(jìn)行持續(xù)不斷的查詢請求,服務(wù)器不能給與回應(yīng)。比如,一個黑客可能會發(fā)出類似請求:1q2w3e.google.com,而且他也知道緩存服務(wù)器中不可能有這個域名。這就會引起緩存服務(wù)器發(fā)出更多查詢請求,并且會出現(xiàn)很多欺騙應(yīng)答的機(jī)會。

  當(dāng)然,這并不是說攻擊者擁有很多機(jī)會來猜測查詢參數(shù)的正確值。事實(shí)上,是這種開放源DNS服務(wù)器漏洞的公布,會讓它在10秒鐘內(nèi)受到危險(xiǎn)攻擊。

  要知道,即使1q2w3e.google.com受到緩存DNS中毒攻擊危害也不大,因?yàn)闆]有人會發(fā)出這樣的域名請求,但是,這正是攻擊者發(fā)揮威力的地方所在。通過欺騙應(yīng)答,黑客也可以給緩存服務(wù)器指向一個非法的服務(wù)器域名地址,該地址一般為黑客所控制。而且通常來說,這兩方面的信息緩存服務(wù)器都會存儲。

  由于攻擊者現(xiàn)在可以控制域名服務(wù)器,每個查詢請求都會被重定向到黑客指定的服務(wù)器上。這也就意味著,黑客可以控制所有域名下的子域網(wǎng)址:www.bigbank.com,mail.bigbank.com,ftp.bigbank.com等等。這非常強(qiáng)大,任何涉及到子域網(wǎng)址的查詢,都可以引導(dǎo)至由黑客指定的任何服務(wù)器上。

  為了解決這些問題,用于查詢的UDP端口不應(yīng)該再是默認(rèn)的53,而是應(yīng)該在UDP端口范圍內(nèi)隨機(jī)選擇(排除預(yù)留端口)

  如何應(yīng)對DNS緩存病毒?

  但是,很多企業(yè)發(fā)現(xiàn)他們的DNS服務(wù)器遠(yuǎn)落后于提供網(wǎng)絡(luò)地址轉(zhuǎn)換(network address translation ,NAT)的各種設(shè)備。大部分NAT設(shè)備會隨機(jī)選擇NDS服務(wù)器使用的UDP端口,這樣就會使得新的安全補(bǔ)丁會失去效果。IT經(jīng)理也不會在防火墻中開放全方位的UDP端口。更嚴(yán)重的是,有安全研究員證明,即使提供64000UDP端口中隨機(jī)選擇的保護(hù),DNS服務(wù)器也照樣有可能受到中毒攻擊。

  現(xiàn)在是時候考慮保護(hù)DNS的其他方案了。UDP源端口隨機(jī)化選擇是一種比較有用的防護(hù)舉措,但是這會打破UDP源端口隨機(jī)化給與DNS服務(wù)器的保護(hù),同由此全方位開放端口面臨的風(fēng)險(xiǎn)或者降低防火墻性能這兩者間的平衡關(guān)系。還有一種比較有效的防護(hù)措施就是,當(dāng)檢測到面臨潛在攻擊風(fēng)險(xiǎn)時,讓DNS服務(wù)器切換到使用TCP連接。

  如果攻擊者猜測到了必要的參數(shù)以欺騙查詢響應(yīng),那么就需要額外的防御措施了。這意味著DNS服務(wù)器需要更智能化,能夠準(zhǔn)確分析每個查詢響應(yīng),以便剔除攻擊者發(fā)送的非法應(yīng)答中的有害信息。

  DNSSnoopy

  要利用此漏洞有一個簡單的自動化的工具DNSSnoopy ,

  看過文章“DNS緩存安全”的人還看了:

  1.ARP緩存感染攻擊解析

  2.關(guān)于網(wǎng)絡(luò)安全的重要性有哪些

  3.關(guān)于網(wǎng)絡(luò)交易安全的問題

  4.怎樣加強(qiáng)網(wǎng)絡(luò)安全的管理

  5.加強(qiáng)網(wǎng)絡(luò)安全的防范措施

  6.加強(qiáng)網(wǎng)絡(luò)安全意識的重要性

  7.Web安全問題解答

  8.關(guān)于加強(qiáng)網(wǎng)絡(luò)安全有何意義

  9.關(guān)于網(wǎng)絡(luò)安全發(fā)展趨勢的介紹

  10.電腦安全知識

567985