當(dāng)前位置 : 首頁>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>黑客攻防>正文

從DNS攻擊的六大方式剖析百度被黑

http://www.yibo1263.com　2010-1-27 8:54:51 　來源:東北IT網(wǎng) 　編輯:葉子

　　方式三：DNS信息劫持

　　原則上TCP/IP體系通過序列號等多種方式避免仿冒數(shù)據(jù)的插入，但入侵者如果通過監(jiān)聽客戶端和DNS服務(wù)器的對話，就可以猜測服務(wù)器響應(yīng)給客戶端的DNS查詢ID。每個DNS報文包括一個相關(guān)聯(lián)的16位ID號，DNS服務(wù)器根據(jù)這個ID號獲取請求源位置。攻擊者在DNS服務(wù)器之前將虛假的響應(yīng)交給用戶，從而欺騙客戶端去訪問惡意的網(wǎng)站。假設(shè)當(dāng)提交給某個域名服務(wù)器的域名解析請求的數(shù)據(jù)包被截獲，然后按截獲者的意圖將一個虛假的IP地址作為應(yīng)答信息返回給請求者。這時，原始請求者就會把這個虛假的IP地址作為它所要請求的域名而進行連接，顯然它被欺騙到了別處而根本連接不上自己想要連接的那個域名。

　　方式四：DNS重定向

　　攻擊者如果將DNS名稱查詢重定向到惡意DNS服務(wù)器。那么被劫持域名的解析就完全至于攻擊者的控制之下。

　　方式五：ARP欺騙

　　ARP攻擊就是通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞，攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包就能更改目標(biāo)主機ARP緩存中的IP-MAC條目，造成網(wǎng)絡(luò)中斷或中間人攻擊。ARP攻擊主要是存在于局域網(wǎng)網(wǎng)絡(luò)中，局域網(wǎng)中若有一臺計算機感染ARP木馬，則感染該ARP 木馬的系統(tǒng)將會試圖通過“ARP欺騙”手段截獲所在網(wǎng)絡(luò)內(nèi)其它計算機的通信信息，并因此造成網(wǎng)內(nèi)其它計算機的通信故障。

　　ARP欺騙通常是在用戶局網(wǎng)中，造成用戶訪問域名的錯誤指向，但在IDC機房被入侵后，則也可能出現(xiàn)攻擊者采用ARP包壓制正常主機、或者壓制DNS服務(wù)器，而李代桃僵，以使訪問導(dǎo)向錯誤指向的情況。

　　方式六：本機劫持

　　在計算機系統(tǒng)被木馬或流氓軟件感染后可能會出現(xiàn)部分域名的訪問異常，如訪問掛馬或者釣魚站點、無法訪問等情況，本機劫持有hosts文件篡改、本機DNS劫持、SPI鏈注入、BHO插件等方式，雖然并非都通過DNS環(huán)節(jié)完成，但都會造成無法按照用戶意愿獲得正確的地址或者內(nèi)容的后果。

　　與DNS相關(guān)的一些攻擊案例

　　事件1：百度遇DDOS攻擊事件

　　2006年09月12日17點30分，有北京、重慶等地的網(wǎng)友反映百度無法正常使用，出現(xiàn)“請求超時”(Request timed out)的信息。這次攻擊造成了百度搜索服務(wù)在全國各地出現(xiàn)了近30分鐘的故障。隨后，百度技術(shù)部門的員工們快速反應(yīng)，將問題解決并恢復(fù)百度服務(wù)。9月12日晚上11時37分，百度空間發(fā)表了針對不明攻擊事件的聲明�！敖裉煜挛纾俣仍馐苡惺芬詠碜畲笠�(guī)模的不明身份黑客攻擊，導(dǎo)致百度搜索服務(wù)在全國各地出現(xiàn)了近30分鐘的故障�！�

　　事件2：新網(wǎng)DNS服務(wù)器遭到攻擊

　　2006年09月22日，新網(wǎng)對外做出證實DNS服務(wù)器遭到大規(guī)模黑客攻擊，從21日下午4點多開始持續(xù)到凌晨12點。盡管目前服務(wù)已經(jīng)恢復(fù)正常，但是技術(shù)人員正在追蹤攻擊來源，并分析攻擊技術(shù)手段。新網(wǎng)是國內(nèi)最大域名服務(wù)商之一，黑客持續(xù)8小時的攻擊，導(dǎo)致在新網(wǎng)注冊30%的網(wǎng)站無法正常訪問。其中包括天空軟件、艾瑞視點、中國網(wǎng)庫等知名網(wǎng)站。

　　事件3：暴風(fēng)影音事件

　　2009年5月18日晚上22點左右，DNSPod主站及多個DNS服務(wù)器遭受超過10G流量的惡意攻擊。耗盡了整個機房約三分之一的帶寬資源，為了不影響機房其他用戶，最終導(dǎo)致DNS服務(wù)器被迫離線。該事件關(guān)聯(lián)導(dǎo)致了使用DNSPod進行解析的暴風(fēng)影音程序頻繁的發(fā)生域名重新申請，產(chǎn)生請求風(fēng)暴，大量積累的不斷訪問申請導(dǎo)致各地電信網(wǎng)絡(luò)負擔(dān)成倍增加，網(wǎng)絡(luò)出現(xiàn)堵塞。于2009年5月19日晚21時左右開始，江蘇、安徽、廣西、海南、甘肅、浙江六省陸續(xù)出現(xiàn)大規(guī)模網(wǎng)絡(luò)故障，很多互聯(lián)網(wǎng)用戶出現(xiàn)訪問互聯(lián)網(wǎng)速度變慢或者無法訪問網(wǎng)站等情況。在零點以前，部分地區(qū)運營商將暴風(fēng)影音服務(wù)器IP加入DNS緩存或者禁止其域名解析，網(wǎng)絡(luò)情況陸續(xù)開始恢復(fù)。

　　總之，DNS劫持并不是什么新鮮事物，也并非無法預(yù)防，百度被黑事件的發(fā)生再次揭示了全球DNS體系的脆弱性，并說明互聯(lián)網(wǎng)廠商如果僅有針對自身信息系統(tǒng)的安全預(yù)案，就不足以快速應(yīng)對全面而復(fù)雜的威脅。因此，互聯(lián)網(wǎng)公司應(yīng)準(zhǔn)備兩個以上的域名，一旦黑客進行DNS攻擊，用戶還可以訪問另一個域名。第二，互聯(lián)網(wǎng)應(yīng)該對應(yīng)急預(yù)案進行進一步修正，強化對域名服務(wù)商的協(xié)調(diào)流程。另外，域名注冊商和代理機構(gòu)近期可能成為集中攻擊目標(biāo)，需要加以防范。最后，國內(nèi)有關(guān)機構(gòu)之間應(yīng)該快速建立與境外有關(guān)機構(gòu)的協(xié)調(diào)和溝通，協(xié)助國內(nèi)企業(yè)實現(xiàn)對此事件的快速及時的處理。

本新聞共2頁,當(dāng)前在第2頁 1 2

【收藏】【打印】【進入論壇】

相關(guān)文章：

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费