很对人对DNS欺骗攻击有一定的误解,认为DNS欺骗攻击就是黑别人的网站。其实不然,到底DNS欺骗攻击是什么?如何应对DNS欺骗攻击呢?
DNS欺骗攻击其实就是冒充域名服务器,把用户的查询地址更换成攻击者的IP地址,然后攻击者将自己的主页取代用户的主页,这样访问用户主页的时候只会显示攻击者的主页,这就是DNS欺骗的原理。DNS欺骗并不是“黑掉”了用户的主页,而是替换成攻击者的主页,将用户的主页隐藏起来无法访问而已。
DNS攻击是很难防御的,因为这种攻击大多数本质都是被动的。
通常情况下,除非发生欺骗攻击,否则不可能知道DNS已经被欺骗,只是打开的网页与想要看到的网页有所不同。在很多针对性的攻击中,用户都无法知道自己已经将网上银行帐号信息输入到错误的网址,直到接到银行的电话告知其帐号已购买某某高价商品时用户才会知道。这就是说,在抵御这种类型攻击方面还是有迹可循。
预防DNS攻击有这几种方法:保护内部设备、不要依赖DNS、使用DNSSEC。
1、保护内部设备
像这样的攻击大多数都是从网络内部执行攻击的,如果网络设备很安全,那么那些感染的主机就很难向你的设备发动欺骗攻击。
2、不要依赖DNS
在高度敏感和安全的系统,通常不会在这些系统上浏览网页,最后不要使用DNS。如果你有软件依赖于主机名来运行,那么可以在设备主机文件里手动指定。
3、使用入侵检测系统
只要正确部署和配置,使用入侵检测系统就可以检测出大部分形式的ARP缓存中毒攻击和DNS欺骗攻击。
4、使用DNSSEC
DNSSEC是替代DNS的更好选择,它使用的是数字前面DNS记录来确保查询响应的有效性,DNSSEC还没有广泛运用,但是已被公认为是DNS的未来方向,也正是如此,美国国防部已经要求所有MIL和GOV域名都必须开始使用DNSSEC。
SSL证书是HTTP明文协议升级HTTPS加密协议的重要渠道,是网络安全传输的加密到通道。关于更多SSL证书的资讯,请关注GDCA(数安时代)。GDCA致力于网络信息安全,已通过WebTrust 的国际认证,是全球可信任的证书签发机构。GDCA专业技术团队将根据用户具体情况为其提供最优的产品选择建议,并针对不同的应用或服务器要求提供专业对应的HTTPS解决方案。
