网络安全学习笔记—

DNS攻击方式

DNS劫持

DNS缓存中毒

DNS放大（Dos）攻击

DNS隧道攻击

如果错过互联网,与你擦肩而过的不仅仅是机会,而是整整一个时代。

域名（Domain Name）是面向用户提供域名解析服务的。

域名和IP地址保存在一个叫Hosts的文件中。早期计算机的IP发生变化需要到互联网管理中心申请变更，主机数量少的时候还可以手动维护，随着主机数量的增加，DNS应运而生。

DNS攻击方式

DNS劫持

域名劫持是通过恶意软件覆盖计算机的DNS配置，攻击或伪造DNS服务器，篡改域名解析结果，将其指向恶意DNS服务器。

要执行域名劫持，攻击者可以在用户系统上安装恶意软件或者攻击DNS通信接管路由器。域名劫持只能发生在特定范围，所以域名劫持通常会封锁正常DNS的IP。

DNS劫持攻击类型

MITM攻击：拦截用户和DNS服务器间的通信并提供非目标的IP，将用户重定向至恶意站点。
流氓DNS服务器：通过攻击DNS服务器，更改DNS记录，用户访问时直接重定向。
路由器劫持：攻击后接管路由器，篡改DNS设置，影响所有连接此路由器的所有用户。
本地DNS服务器：通过在用户主机上安装木马，更改本地DNS设置来重定向至恶意网站。

可以通过手动修改DNS，路由器密码等预防DNS劫持。

DNS缓存中毒

攻击者通过DNS服务器中的漏洞接管DNS服务器，将恶意数据写入系统，在用户请求时直接重定向至恶意网站。

检测措施：

保持杀毒软件激活且在线；
不要点击可以文件，链接等；
使用可靠的ISP，DNS服务器；
刷新DNS缓存；
检查网址；
重启路由器以清除其DNS缓存。

DNS放大（Dos）攻击

放大攻击是DDos攻击的一种，攻击者假冒主机地址作为源地址，向公共DNS服务器发送大量解析请求，导致主机（80或25端口）因为接受服务器返回结果而资源耗尽甚至崩溃。

DNS洪水攻击，也称为分布式拒绝服务攻击。攻击者向DNS服务器发送大量请求，泛洪期间，由于流量过载，连接到Internet的主机会中断，此时不会向任何用户提供服务。

DNS隧道攻击

通过将其他协议封装在DNS协议中，在攻击请求发送相关数据时，将敏感信息封装在DNS中向外发送。由于边界防火墙对DNS数据全部放行，所以该DNS数据会发送出去并被攻击者截获。

检测措施：

DNS数据包检查：过大的话很可能封装了别的协议；
DNS域名检查：恶意域名一般很长且存在数字字母相互结合的情况；
DNS记录检查：检查内部DNS数量及种类，寻找异常DNS记录。

可通过内部建设私有DNS服务器，监视内部数据流量，建立DNS防火墙等预防隧道攻击。

DNS拼写仿冒

这是一种受DNS劫持启发的社会工程攻击技术，它利用域名中的错别字和拼写错误仿冒一个相似的网站，旨在说服用户提供个人敏感信息。

可以通过关闭不需要的DNS解析器，在合法的DNS解析器出布置防火墙，将名称服务器与DNS服务器分开，及时检查修复漏洞等方法防护。

GitHub是最大的代码托管平台之一，研究人员用它来发布PoC漏洞，以帮助安全社区验证漏洞的修复或确定一个漏洞的影响和范围。据莱顿高级计算机科学研究所的研究人员称，如果不包括被证实的恶作剧软件，以虚假PoC进行掩饰，实际上恶意软件的可能性约高达10.3%。提高警惕！有人在GitHub上利用虚假 PoC 漏洞钓鱼 - FreeBuf网络安全行业门户

目前，研究人员已经将他们发现的所有恶意软件库报告给GitHub，但在所有这些软件库被审查和删除之前，还需要一些时间，所以许多软件库仍然对公众开放。

本文外链文章作者Zhuolin，文章来自FreeBuf.COM