從DNS攻擊的六大方式剖析百度被黑

http://www.yibo1263.com　2010-1-27 8:54:51 　來源:東北IT網(wǎng) 　編輯:葉子

　　2010年1月12日晨7時起，網(wǎng)絡上開始陸續(xù)出現(xiàn)百度出現(xiàn)無法訪問的情況反饋， 12時左右基本恢復正常；18時許百度發(fā)布官方版本公告；對事故原因說明為:“因www.baidu.com的域名在美國域名注冊商處被非法篡改，導致全球多處用戶不能正常訪問百度。”黑客所使用的方式就是DNS劫持，那么什么叫DNS，什么又是DNS劫持呢，下面我們就來一一解析。

　　什么是DNS呢？

　　網(wǎng)絡節(jié)點能夠被尋址訪問的原因，是由于網(wǎng)絡節(jié)點擁有一個獨立身份證，這是由網(wǎng)卡物理地址、IP地址和網(wǎng)絡端口組成的一個地址體系。對于以TCP/IP為基礎(chǔ)協(xié)議的Internet來說，必須找到訪問對象的IP地址，才能進行訪問，但由于IP地址難于記憶，也不夠靈活，Internet規(guī)則的制定者發(fā)明了一套域名體系與其對應，這就是DNS（域名解析服務）的基礎(chǔ)體系。這時用戶無需記憶大量的IP地址數(shù)字（如202.108.22.5），而能通過域名訪問豐富多彩的互聯(lián)網(wǎng)內(nèi)容（如www.baidu.com），這給用戶帶來了極大的方便，但也產(chǎn)生了相關(guān)的安全隱患。

　　方式一：利用DNS服務器進行DDOS攻擊

　　正常的DNS服務器遞歸詢問過程可能被利用成DDOS攻擊的。假設(shè)攻擊者已知被攻擊機器的IP地址，然后攻擊者使用該地址作為發(fā)送解析命令的源地址。這樣當使用DNS服務器遞歸查詢后，DNS服務器響應給最初用戶，而這個用戶正是被攻擊者。那么如果攻擊者控制了足夠多的肉雞，反復的進行如上操作，那么被攻擊者就會受到來自于DNS服務器的響應信息DDOS攻擊。下圖為攻擊原理：

　　請?zhí)砑用枋?src="/Files/BeyondPic/2010-1/27/1264493747079.jpg"

請?zhí)砑用枋?src="/Files/BeyondPic/2010-1/27/1264493747079.jpg"

　　a)攻擊者發(fā)送控制信號給肉雞群機器。

　　b)肉雞群機器針對這個遞歸DNS不斷的執(zhí)行這條記錄的查詢。

　　c)本地的DNS服務器首先在它的本地表（或緩存）中進行查找“www.antiy.com”，如果找到將其返回客戶端，如果沒有發(fā)現(xiàn)，那么DNS服務器發(fā)送一個查詢給根服務器，來查詢“www.antiy.com”的IP地址。

　　d)根服務器收到訊息（信息）后會回應“www.antiy.com”頂級域（TLD）服務器的地址。

　　e)然后由本地的DNS服務器聯(lián)系頂級域名（TLD）服務器來確定“www.antiy.com”的IP地址。

　　 f)頂級域（TLD）服務器會回應針對“www.antiy.com”的名稱的服務器地址。

　　g)本地DNS服務器聯(lián)系得到的“www.antiy.com”的名稱服務器來確定它的IP地址。

　　h)遞歸DNS獲得了某域名的IP地址后，把所有信息都回復給源地址，而此時的源地址就是被攻擊者的IP地址了。

　　如果攻擊者擁有著足夠多的肉雞群，那么就可以使被攻擊者的網(wǎng)絡被拖垮至發(fā)生中斷。利用DNS服務器攻擊的重要挑戰(zhàn)是，攻擊者由于沒有直接與被攻擊主機進行通訊，隱匿了自己行蹤，讓受害者難以追查原始的攻擊來。相對比較好的解決辦法就是可取消DNS服務器中允許人人查詢網(wǎng)址的遞回(recursive)功能。

　　方式二：DNS緩存感染

　　攻擊者使用DNS請求，將數(shù)據(jù)放入一個具有漏洞的的DNS服務器的緩存當中。這些緩存信息會在客戶進行DNS訪問時返回給用戶，從而把用戶客戶對正常域名的訪問引導到入侵者所設(shè)置掛馬、釣魚等頁面上，或者通過偽造的郵件和其他的server服務獲取用戶口令信息，導致客戶遭遇進一步的侵害。

本新聞共2頁,當前在第1頁 1 2

【收藏】【打印】【進入論壇】

相關(guān)文章：

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费