互联网上每一台设施都会有一个 IP 地址,咱们在拜访网站或发送信息时,其实都是通过 IP 地址达成精确申请的。然而这个 IP 地址由很长一串数字组成,记忆起来相当艰难,所以咱们发明了更实用的域名来代替 IP 地址。而如何将域名和 IP 地址分割起来,就是域名零碎(DNS)发挥作用的中央。它由各种名称服务器(即 DNS 服务器)组成,负责域名解析,帮忙客户端建立联系,是网络中最重要的服务之一。
名称服务器和客户端之间的通信存在肯定的平安危险,局部心怀不轨的人能够通过很多办法篡改 Internet 上的名称解析。本文要讲的 DNS 坑骗,就是通过虚伪的 IP 地址发动坑骗攻打。
什么是 DNS 坑骗?
DNS 坑骗是指 DNS 名称解析被篡改,特地容易呈现的 DNS 坑骗是伪造域名的 IP 地址。这是因为 DNS 解析次要在外部零碎进行,而浏览器中显示的是正确的域名,所以用户通常不会留神到被篡改。具体操作为,歹意者让 DNS 申请会返回一个虚伪的 IP 地址,当客户端与假 IP 地址建设连贯时,用户就会被重定向到假的服务器。简略举个例子:
下图是客户端在连贯到网站 example.com 过程中被坑骗的案例示意图:
(图片来源于互联网,如有侵权请分割咱们删除)
- d1:客户端首先从 DNS 服务器申请主机名 example.com 的 IP 地址。
- d2:客户端收到了申请的响应,但它返回了一个虚伪的 IP 地址。未与 example.com 真正的服务器建设连贯。
- h1:客户端将申请发送到伪造 IP 地址前面的歹意主机。
- h2:歹意主机将看似非法的网站页面返回给客户端。然而,歹意主机上短少该域名的平安证书。
- A、B、C:这些是 DNS 坑骗的不同攻击点:在客户端或本地路由器上、在网络连接上以及在 DNS 服务器上。
DNS 坑骗会带来哪些威逼?
攻击者应用 DNS 坑骗进行网络钓鱼和域名坑骗攻打,目标是拦挡互联网上的用户数据。因为 DNS 坑骗会影响客户端建设的每一个连贯。无论是拜访网站还是发送电子邮件,若相干服务器的 IP 地址被篡改,目标都是让受害者置信他们最终拜访了一个非法的地址,并利用受害者的信赖诱惑下载恶意软件并感化零碎,进而窃取敏感的用户数据。
DNS 坑骗会带来以下危险:
- 秘密数据偷盗:网络钓鱼用于窃取明码等敏感数据。这些办法通常用于入侵计算机系统或进行各种欺骗。
- 零碎恶意软件感化:受害者被诱骗在本人的零碎上装置恶意软件,为进一步的攻打关上了大门。
- 收集用户材料:在此过程中收集集体数据,进行发售或用于其余有针对性的网络钓鱼攻打。
- 可形成继续威逼:遭逢 DNS 坑骗,被篡改的 DNS 响应信息可能会保留在缓存中,在较长时间内进行坑骗。
在 2020 年秋季 COVID-19 风行期间,国外就产生过 DNS 坑骗攻打。攻击者劫持了路由器的 DNS,篡改成了歹意的 IP 地址。受害者的浏览器会自行关上并显示一条音讯,提醒他们下载据称来自世界卫生组织 (WHO) 的“COVID-19 告诉应用程序”。但其实,该软件是木马软件。如果受害者装置了木马软件,它会搜寻本地零碎并尝试拜访敏感数据,用于针对受害者的网络钓鱼攻打。
△ 宣传虚伪 COVID-19 信息应用程序的 Msftconnecttest 页面
不过 DNS 坑骗并不都是歹意攻打,一些互联网服务提供商(ISP)偶然也会通过 DNS 坑骗的伎俩来审查或投放广告。例如,ISP 能够成心操纵其 DNS 表以施行国家审查的要求。这样做能够禁止用户拜访违规网站,当用户拜访被禁止的域名时,将会被重定向到正告页面。DNS 坑骗也能够帮忙收集用户数据,或通过重定向的形式来投放广告。比方用户进入不存在或拼写错误的域名时,ISP 应用 DNS 坑骗将用户重定向到特定页面,此页面可能会播放广告或创立用户配置文件。
如何免受 DNS 坑骗?
DNS 作为影响信息安全的一类威逼,咱们须要对 DNS 坑骗放弃戒心。咱们能够采取加密措施的伎俩无效地避免 DNS 坑骗。加密办法通常具备两个要害劣势:
- 爱护数据免受第三方未经受权的拜访
- 保障了通信单方的真实性
针对网站管理员的形式来说,可用的加密形式有网站域名开启强制 HTTPS,电子邮件客户端中配置的连贯(例如 IMAP、POP3 和 SMTP)应用平安协定 TLS 和 SSL。这类加密能够爱护申请中的数据传输,如果攻击者试图假冒失常的主机,客户端就会呈现证书谬误的提醒,缩小受到 DNS 坑骗的可能。
DNS 服务器间的连贯还能够通过 DNSCrypt、DNS over HTTPS(DoH)和 DNS over TLS(DoT)这些技术,缩小危险的中间人攻打。但须要留神的是,这三种解决方案的利用不是很广泛,DNS 服务器必须反对相应的平安技术,能力应用这三种形式进行加密工作。
下面提到的是管理员能够做的加密形式,对于用户来说,咱们能够应用公共 DNS 来防止 DNS 坑骗。设置非常简单,间接在零碎的“网络设置”中更改 DNS 地址即可。专用的 DNS 除了能够应答 DNS 坑骗,还能够放慢解析响应速度。同时大型的公共 DNS 通常会应用先进的平安技术,例如 DNSSEC(DNS 平安扩大)、DoH、DoT 和 DNSCrypt。常见的公共 DNS 有 114DNS 的 114.114.114.114,污浊无劫持;Google 的 8.8.8.8、Quad9 的 9.9.9.9,均反对 DNSSEC。
对于 DNS 坑骗相干的临时就讲到这了,看完这篇文章心愿能帮忙大家更好地爱护本人的信息安全。
举荐浏览
DNS 系列(一):为什么更新了 DNS 记录不失效?
DNS 系列(二):DNS 记录及工作形式,你理解吗?