安全是有分量的

免备案高防cdn_ddos攻击如何防御_免费试用

2021-05-05 04:56栏目:高防

免备案高防cdn_美国高防ip_优惠券

DNS欺骗或DNS缓存中毒是一种网络攻击,其中虚假域名系统(DNS)信息被引入DNS解析程序的缓存中。这会导致DNS查询返回错误的响应,这通常会将用户从合法网站重定向到旨在窃取敏感信息或安装恶意软件的恶意网站。 DNS欺骗是可能的,原因有很多,但主要问题是DNS是在20世纪80年代建立的,当时Internet要小得多,安全性不是首要考虑的问题。因此,DNS解析程序没有内置的方法来验证它们存储的数据的有效性,错误的DNS信息可能会一直保留到生存时间(TTL)过期或被手动更新在我们深入研究DNS欺骗的基本机制以及如何防止它之前,深入了解DNS和DNS解析程序是如何工作的很重要目录什么是域名系统(DNS)?DNS解析程序做什么?DNS缓存如何工作?攻击者如何毒害DNS缓存?DNS欺骗攻击何时成功?如何减轻DNS欺骗UpGuard如何帮助您监视DNS问题什么是域名系统(DNS)?域名系统(DNS)是一个层次化和分散的命名系统,用于连接到Internet的计算机、服务和其他资源。简而言之,它分配和映射人类可读的域(例如mac.com网站)到机器用来通信的底层IP地址。DNS还定义了DNS协议,它是DNS中使用的数据结构和数据交换的规范。在这个域名系统中,创建一个具有权威性的域名服务器的责任是集中委托给分布式域名服务器的你所知道的互联网依赖于DNS的正常运行。每一个网页、发送的电子邮件和接收到的图片都依赖于DNS将其人性友好的域名转换为服务器、路由器和其他联网设备使用的IP地址DNS记录还用于配置电子邮件安全设置。有关更多信息,请参阅我们的电子邮件安全完整指南。DNS解析程序做什么?在域中键入时,例如example.com网站,则web浏览器将使用操作系统存根解析程序将站点的域名转换为IP地址。如果存根解析程序不知道翻译,游戏DDoS防御,它将把对DNS数据的请求转发给更复杂的递归解析程序,这些解析程序通常由互联网服务提供商(isp)、政府以及Google、OpenDNS和Quad9等组织操作。一旦递归解析程序收到您的请求,它就会将自己的DNS请求发送到多个权威的名称服务器,直到它能够找到一个明确的答案域名服务器相当于互联网上的一个电话簿,维护一个域名目录并将其翻译成IP地址,就像普通电话簿将姓名翻译成电话号码一样。有些组织甚至自己运行,防御游戏cc,但大多数组织会将这一功能外包给第三方,如注册商、互联网服务提供商或网络托管公司。DNS缓存如何工作?为了提高性能,存根解析程序和递归解析程序将缓存(记住)域名到IP地址的转换,这样当您下次请求访问网站时,就不需要在称为生存时间(TTL)的特定时间内查询名称服务器。当TTL过期时,该过程将重复。总的来说,这是一件好事,因为它可以节省时间并加快互联网的速度。但是,当成功的DNS攻击更改DNS设置并提供具有错误IP地址的DNS解析程序时,流量可能会流向错误的位置,直到TTL过期或手动更正缓存的信息。当解析程序接收到错误信息时,称为DNS缓存中毒攻击,并且该解析程序具有中毒的DNS缓存在这种类型的攻击中,解析程序可能返回错误的IP地址,从而将流量从真实网站转移到虚假网站攻击者如何毒害DNS缓存?DNS中毒或DNS欺骗攻击的工作原理是模拟DNS名称服务器,向DNS解析程序发出请求,然后在DNS解析程序查询名称服务器时伪造答复这是可能的,因为DNS使用UDP,未加密的协议,这使得通过欺骗很容易拦截流量,千兆带宽ddos防御,并且DNS服务器不会验证它们将流量定向到的IP地址。有两种常见的毒害DNS缓存的方法:中间人攻击:拦截用户和DNS服务器之间的通信,以便将用户路由到不同的或恶意的IP地址。在这种情况下,攻击者位于计算机的存根解析程序和递归解析程序之间,发回一个伪造的DNS结果。有关更多信息,请阅读我们关于中间人攻击的完整指南DNS服务器危害:当攻击者直接访问某个域的DNS服务器(通常是通过鱼叉式网络钓鱼或捕鲸)并更新DNS条目以指向恶意网站时,会发生此类攻击。这种类型的攻击也称为DNS劫持。这是因为与TCP不同,TCP依赖于通信双方执行"握手"来启动通信并验证设备的身份,DNS请求和响应依赖于UDP或用户数据报协议对于UDP,不能保证连接是打开的,接收者已经准备好接收,或者发送者就是他们所说的那样。这使得UDP通信容易受到MITM攻击,攻击者可以通过UDP发送消息,通过伪造头数据来假装它是合法的名称服务器如果接收DNS解析程序接受假响应和缓存,则可能发生这种情况,高防cdn3元一月,因为无法验证信息是否准确且来自合法来源尽管如此,DNS欺骗攻击并不容易实现,因为DNS解析程序确实会查询权威的名称服务器,在真正的响应到达之前,攻击者只需要几毫秒的时间来伪造响应DNS欺骗攻击何时成功?要使DNS欺骗攻击成功,攻击者需要知道或猜测:哪些DNS查询没有被目标DNS解析程序缓存,因此解析程序将查询权威名称服务器DNS解析程序使用什么端口,这在过去很容易,但是随着DNS解析程序旋转其开放端口以减轻DNS欺骗,这变得更加困难请求ID号DNS解析程序将查询哪个权威名称服务器或者,攻击者可以通过另一种方式获得对DNS解析程序的访问,例如通过获得物理访问或操作恶意解析程序。一些政府,如中国和它的防火墙,故意欺骗域名系统缓存,以审查其公民可以通过互联网访问的内容一旦攻击者成功发起DNS欺骗攻击,DNS请求通常会导致用户被发送到与预期结果相似的受损或更改的web服务器或网页。这可能导致极难检测的网络钓鱼欺诈,用户登录到他们认为真实网站的内容,从而使攻击者有机会窃取登录凭据、信用卡号码和其他敏感数据,如PII和PHI(取决于网站)。此外,这些恶意网站经常被用来在用户的计算机上安装计算机蠕虫、勒索软件和间谍软件,使犯罪者能够长期访问。如何减轻DNS欺骗域名系统安全扩展(DNSSEC或DNS安全扩展)是一组Internet工程任务组(IETF)规范,旨在保护DNS提供的某些类型的信息。DNSSEC提供DNS解析程序对DNS数据的原始身份验证、已验证的拒绝存在和数据完整性,但不提供可用性或机密性。 与TLS/SSL非常相似,DNSSEC使用公钥加密来验证和验证DNS数据当使用DNSSEC时,除了请求的记录类型外,每个DNS请求的应答都包含RRSIG DNS记录。RRSIG记录是请求的DNS数据的数字签名。通过定位DNSKEY中找到的正确公钥来验证数字签名。NSEC和NSEC3记录用于提供不存在任何请求的加密证据。这也被称为认证拒绝存在。在dnskey的身份验证中,使用了一种称为信任链的委托签名器(DS)。NSEC和NSEC3还可以提供强大的抗欺骗能力信任链从DNS根区域的一组经过验证的公钥开始,该根区域是受信任的第三方。域所有者生成自己的公钥/私钥对,全球DDoS防御市场排名,并使用其域名注册商处的DNS控制面板上载它们,后者通过secDNS将密钥推送到区域运营商(例如com区域的Verisign),后者在DNS中签名和发布密钥。这可以防止解析程序缓存伪造或操纵的DNS数据,并防止缓存中毒简而言之,DNSSEC为DNS提供了两个安全功能:数据源身份验证:允许解析程序以加密方式验证来自请求区域的数据。数据完整性保护:允许解析程序知道数据在传输过程中没有被修改,并且最初是由区域所有者的私钥签名的。这两个安全特性都是任何递归解析程序来查找区域中的数据并检索区域的公钥,然后使用该公钥验证所提供DNS数据的真实性。然后解析程序确认接收到的数字签名与他们期望的相匹配,并将其返回给最终用户。如果签名无效,解析程序将假定网络攻击,丢弃数据并返回错误。DNSSEC的主要关注点是防止DNS欺骗的网络威胁,从而导致用户被引导到错误的地方,DNSSEC提供了保护文本r的额外好处