當(dāng)前位置 : 首頁>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>黑客攻防>正文

從DNS攻擊的六大方式剖析百度被黑

http://m.yibo1263.com　2010-1-27 8:54:51 　來源:東北IT網(wǎng) 　編輯:葉子

　　2010年1月12日晨7時(shí)起，網(wǎng)絡(luò)上開始陸續(xù)出現(xiàn)百度出現(xiàn)無法訪問的情況反饋， 12時(shí)左右基本恢復(fù)正常；18時(shí)許百度發(fā)布官方版本公告；對事故原因說明為:“因www.baidu.com的域名在美國域名注冊商處被非法篡改，導(dǎo)致全球多處用戶不能正常訪問百度。”黑客所使用的方式就是DNS劫持，那么什么叫DNS，什么又是DNS劫持呢，下面我們就來一一解析。

　　什么是DNS呢？

　　網(wǎng)絡(luò)節(jié)點(diǎn)能夠被尋址訪問的原因，是由于網(wǎng)絡(luò)節(jié)點(diǎn)擁有一個(gè)獨(dú)立身份證，這是由網(wǎng)卡物理地址、IP地址和網(wǎng)絡(luò)端口組成的一個(gè)地址體系。對于以TCP/IP為基礎(chǔ)協(xié)議的Internet來說，必須找到訪問對象的IP地址，才能進(jìn)行訪問，但由于IP地址難于記憶，也不夠靈活，Internet規(guī)則的制定者發(fā)明了一套域名體系與其對應(yīng)，這就是DNS（域名解析服務(wù)）的基礎(chǔ)體系。這時(shí)用戶無需記憶大量的IP地址數(shù)字（如202.108.22.5），而能通過域名訪問豐富多彩的互聯(lián)網(wǎng)內(nèi)容（如www.baidu.com），這給用戶帶來了極大的方便，但也產(chǎn)生了相關(guān)的安全隱患。

　　方式一：利用DNS服務(wù)器進(jìn)行DDOS攻擊

　　正常的DNS服務(wù)器遞歸詢問過程可能被利用成DDOS攻擊的。假設(shè)攻擊者已知被攻擊機(jī)器的IP地址，然后攻擊者使用該地址作為發(fā)送解析命令的源地址。這樣當(dāng)使用DNS服務(wù)器遞歸查詢后，DNS服務(wù)器響應(yīng)給最初用戶，而這個(gè)用戶正是被攻擊者。那么如果攻擊者控制了足夠多的肉雞，反復(fù)的進(jìn)行如上操作，那么被攻擊者就會(huì)受到來自于DNS服務(wù)器的響應(yīng)信息DDOS攻擊。下圖為攻擊原理：

　　請?zhí)砑用枋?src="/Files/BeyondPic/2010-1/27/1264493747079.jpg"

請?zhí)砑用枋?src="/Files/BeyondPic/2010-1/27/1264493747079.jpg"

　　a)攻擊者發(fā)送控制信號給肉雞群機(jī)器。

　　b)肉雞群機(jī)器針對這個(gè)遞歸DNS不斷的執(zhí)行這條記錄的查詢。

　　c)本地的DNS服務(wù)器首先在它的本地表（或緩存）中進(jìn)行查找“www.antiy.com”，如果找到將其返回客戶端，如果沒有發(fā)現(xiàn)，那么DNS服務(wù)器發(fā)送一個(gè)查詢給根服務(wù)器，來查詢“www.antiy.com”的IP地址。

　　d)根服務(wù)器收到訊息（信息）后會(huì)回應(yīng)“www.antiy.com”頂級域（TLD）服務(wù)器的地址。

　　e)然后由本地的DNS服務(wù)器聯(lián)系頂級域名（TLD）服務(wù)器來確定“www.antiy.com”的IP地址。

　　 f)頂級域（TLD）服務(wù)器會(huì)回應(yīng)針對“www.antiy.com”的名稱的服務(wù)器地址。

　　g)本地DNS服務(wù)器聯(lián)系得到的“www.antiy.com”的名稱服務(wù)器來確定它的IP地址。

　　h)遞歸DNS獲得了某域名的IP地址后，把所有信息都回復(fù)給源地址，而此時(shí)的源地址就是被攻擊者的IP地址了。

　　如果攻擊者擁有著足夠多的肉雞群，那么就可以使被攻擊者的網(wǎng)絡(luò)被拖垮至發(fā)生中斷。利用DNS服務(wù)器攻擊的重要挑戰(zhàn)是，攻擊者由于沒有直接與被攻擊主機(jī)進(jìn)行通訊，隱匿了自己行蹤，讓受害者難以追查原始的攻擊來。相對比較好的解決辦法就是可取消DNS服務(wù)器中允許人人查詢網(wǎng)址的遞回(recursive)功能。

　　方式二：DNS緩存感染

　　攻擊者使用DNS請求，將數(shù)據(jù)放入一個(gè)具有漏洞的的DNS服務(wù)器的緩存當(dāng)中。這些緩存信息會(huì)在客戶進(jìn)行DNS訪問時(shí)返回給用戶，從而把用戶客戶對正常域名的訪問引導(dǎo)到入侵者所設(shè)置掛馬、釣魚等頁面上，或者通過偽造的郵件和其他的server服務(wù)獲取用戶口令信息，導(dǎo)致客戶遭遇進(jìn)一步的侵害。

本新聞共2頁,當(dāng)前在第1頁 1 2

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费