什么是DNS Spoofing, DNS Hijacking, and DNS Cache Poisoning?
什么是DNS Spoofing, DNS Hijacking, and DNS Cache Poisoning?
不完全翻译自 https://www.infoblox.com/dns-security-resource-center/what-are-dns-spoofing-dns-hijacking-dns-cache-poisoning/
DNS Spoofing,攻击者改变了DNS查询的记录;DNS Hijacking,攻击者使客户认为他们正在和合法的域名交流;DNS Cache Poisoning,DNS针对缓存名称服务器的攻击。
DNS Hijacking
DNS Hijacking使攻击者欺骗用户认为他们在和合法的域名交流,但是实际上他们适合被攻击者重新设置的假的域名或IP地址交流。这也被成为DNS重定向攻击。
实施DNS Hijacking的有很多方法,最常见的方法是使用专属门户(a captive portal),例如一个付费使用的WiFi热点:在用户付费使用之前,热点服务商抓取所有的DNS询问,但是不做任何答复。
攻击的另一种手段就是另用户使用不同的DNS服务器,与其使用8.8.8.8( Google提供的免费DNS服务器的IP地址 ),使用户使用是被攻击者控制的DNS服务器。当攻击者查询bank.example.com时,攻击者会返回错误的IP地址。
另一种方法是获得对权威DNS数据的未授权访问。如利用DNS实体系统的缺陷盗取某人的密码,或一些聪明的技术。
有些攻击是基于某些域在使用不同字体或编码时看起来相似的事实。这种类型的攻击也称为同形异义词攻击。如Paypai.com,其中大写的i和小写的L相似,ėxample.com and example.com也无法辨别。
基于浏览器的攻击会使用各种JavaScript或Web浏览器技巧来隐藏URL栏,因此,实际上,当用户访问www.internetbadguys.com时,浏览器中的URL栏可能会显示银行 .example.com。一些版本的攻击者使用JS,因此用户不可以翻到浏览器头来查看网页头部的WEB地址。
DNS Spoofing
DNS Spoofing是指试图将返回到查询器的DNS记录更改为攻击者选择的响应记录。这个攻击可以包含DNS Hijacking的技术,使用的DNS缓存度化,也属于中间人攻击的一种形式。有时,我们交换的使用DNS Spoofing或DNS Hijacking。
这种技术被广泛的用于在机场或酒店的付费使用的WIFI热点,并且有时也被作为网络安全团队隔离隔离受感染设备的一种手段。
Cache Poisoning
缓存毒化指的是一种针对缓存名称服务器的更具体的攻击类型,旨在控制存储在DNS缓存中的答案。除非完全部署DNSSEC,否则此攻击很难检测,也很难防范。 但是,如果攻击者成功了,那么回报将是巨大的。 攻击者可能会影响使用保存了错误答案的递归名称服务器的成千上万的用户,并且该中毒的条目可以传播到其他缓存服务器,并影响更多用户。