DNSSEC 是一个强大的安全协议,但不幸的是它尚未得到普遍接受。由于缺乏批准,加上其他潜在的漏洞,再加上 DNS 是大多数互联网请求不可或缺的一部分,使得 DNS 成为恶意攻击的主要目标。攻击者已经找到了多种攻击和利用 DNS 服务器的方法。以下是一些最常见的: DNS 欺骗:在此攻击中,虚假 DNS 数据被输入到 DNS 缓存中,因此解析器会返回错误的域 IP 地址。流量可能会被重定向到恶意设备或攻击者想要的任何其他地方,而不是访问正确的网站。通常,这是用于恶意目的的原始站点的副本,例如分发恶意软件或收集登录信息。 DNS 隧道:此攻击使用其他协议通过 DNS 查询和响应建立隧道。
攻击者可以使用 SSH、TCP 或 HTTP 将恶意软件或窃取的信息传输到大多数防火墙无法 WhatsApp 号码 检测到的 DNS 查询。 DNS 劫持:在 DNS 劫持中,攻击者将查询定向到另一个域名服务器。这可以通过恶意软件或篡改 DNS 服务器来完成。虽然结果与 DNS 欺骗类似,但这是一种完全不同的攻击,因为它的目标是名称服务器中的网站 DNS 记录,而不是解析器的缓存中。 其他一些导致严重服务器安全问题的 DNS 攻击包括: NXDOMAIN 攻击 幻域攻击 随机子域攻击 域名锁定攻击 DNSSEC 和 DNS 安全之间的区别在于,DNSSEC 是 DNS 安全的一部分,而 DNS 安全是一个更大、更通用的概念,涵盖了广泛的技术和解决方案。
DNS 是在 20 世纪 80 年代设计的,当时互联网规模要小得多,安全性并不是其设计的主要考虑因素。因此,当递归解析器向未经身份验证的服务器发送查询时,解析器无法验证响应的正确性。解析器只能检查响应是否来自解析器正在查找的同一 IP 地址。但依赖源IP地址响应并不是一个强大的认证机制,因为DNS响应数据包的源IP地址很容易被欺骗。 DNSSEC DNSSEC 代表域名系统安全扩展。从根本上讲,DNSSEC 是一种无需了解查询即可保护和验证 DNS 记录的方法。 DNSSEC 和 DNS 安全之间的区别 图片1) 图片说明:DNSSEC验证流程 DNSSEC 是一种标准解决方案,用于向 DNS 响应添加身份验证、发件人身份验证和消息完整性。
發表於 2024-5-12 11:19:12
收藏