1. 首頁 > 生活經驗 > >

域名欺詐:全球互聯網危險嗎

知識經驗


域名欺詐:全球互聯網危險嗎

文章插圖
2019年2月下旬,負責管理網絡上使用的IP地址和域名的組織互聯網名稱與號碼分配機構(ICANN)發布了一份關于系統性互聯網攻擊風險的警告 。這是你需要了解的風險 。
什么是DNS?
域名服務(DNS)將域名(例如,法國健康保險的域名)鏈接到IP(互聯網協議)地址,在本例中為“” 。現在,這是一項必不可少的服務,因為它可以輕松記住數字服務的標識符,而無需提供其地址 。然而,像許多以前的協議類型一樣,它被設計為健壯但不安全 。
DNS定義了權威機構可以自由創建域名和與外界通信的區域 。這種機制的優點是嚴格管理IP地址和域名之間的關聯 。缺點是有時需要多次查詢才能解析一個名稱,換句話說,就是將它與一個地址相關聯 。
許多提供互聯網服務的組織有一個或幾個域名,這些域名已經在此注冊服務的提供商處注冊 。這些服務提供商直接或間接在ICANN(一個負責組織互聯網的美國組織)注冊 。在法國,參考組織是AFNIC,它管理著” 。fr"域 。
我們通常指完全合格的域名或FQDN 。實際上,互聯網被劃分為頂級域名 。最初的美國領域使得按組織類型(商業、大學、政府等)劃分領域成為可能 。).然后,國家域名如” ?!眆r很快出現了 。最近,ICANN授權注冊各種頂級域名 。與這些頂級域相關的信息存儲在分布在世界各地的13臺服務器中,以確保響應的可靠性和速度 。
域名系統協議在用戶機器和域名服務器之間建立通信 。這種通信允許查詢名稱服務器來解析域名 , 換句話說,獲得與域名相關聯的IP地址 。這種通信還允許獲得其他信息,例如找到與地址相關聯的域名或找到與域名相關聯的消息服務器,以便發送電子消息 。例如,當我們在瀏覽器中加載頁面時,瀏覽器會執行DNS解析來找到正確的地址 。
由于數據庫的分布式特性,通常聯系的第一個服務器不知道域名和地址之間的關聯 。然后,它將通過迭代或遞歸過程聯系其他服務器以獲得響應,直到它查詢13個根服務器中的一個 。這些服務器構成了DNS系統的根級別 。
為了防止查詢數量激增,每個域名系統服務器將與域名和地址相關的響應存儲在本地幾秒鐘 。如果在短時間間隔內發出相同的請求,該緩存可以更快地響應 。
易受攻擊的協議
DNS是一種常見的協議,尤其是在公司網絡中 。因此,它可以使攻擊者繞過其保護機制與受感染的計算機通信 。例如,這可能允許攻擊者控制機器人的網絡(僵尸網絡) 。防御響應依賴于更具體的通信過濾 , 例如,它需要系統地使用由受害組織控制的DNS中繼 。包含在與黑名單或白名單相關聯的DNS查詢中的域名分析用于識別和阻止異常查詢 。
DNS協議也使得拒絕服務攻擊成為可能 。事實上,任何人都可以通過接管IP地址向服務發送DNS查詢 。DNS服務器自然會對錯誤的地址做出響應 。這個地址實際上是攻擊的受害者,因為它接收了不必要的流量 。DNS協議也可以進行放大攻擊,這意味著從DNS服務器發送給受害者的流量要比攻擊者發送給DNS服務器的流量大得多 。因此,受害者的網絡鏈接更容易飽和 。
【域名欺詐:全球互聯網危險嗎】DNS服務本身也可能成為拒絕服務攻擊的受害者,就像2016年的DynDNS一樣 。這會觸發級聯故障,因為一些服務依賴于DNS的可用性才能運行 。
防止拒絕服務攻擊可以采取多種形式 。如今,最常見的方法是過濾網絡流量,以消除冗余流量 。如果需要,任播也是一種不斷發展的復制被攻擊服務的解決方案 。
緩存中毒
過去廣泛使用的第三個漏洞是攻擊域名和IP地址之間的鏈接 。這使得攻擊者能夠竊取服務器的地址并吸引流量本身 。因此可以“克隆”合法服務,獲取誤導用戶的敏感信息:用戶名、密碼、信用卡信息等 。這個過程相對難以察覺 。
如前所述,域名系統服務器能夠存儲對其發送的幾分鐘查詢的響應,并可以使用這些信息直接響應后續查詢 。所謂的緩存中毒攻擊使攻擊者能夠在合法服務器的緩存中偽造關聯 。例如,攻擊者可以向中間DNS服務器發送查詢,服務器將接受與其請求相對應的第一個響應 。
結果只會持續很短的時間,對受感染服務器的查詢將被轉移到攻擊者控制的地址 。由于初始協議不包含任何驗證域地址關聯的方法 , 客戶無法保護自己免受攻擊 。
這通常會導致互聯網的碎片化 。與受感染的DNS服務器通信的客戶將被轉移到惡意站點,而與其他DNS服務器通信的客戶將被發送到原始站點 。對于原站點來說,這種攻擊除了流量減少外 , 幾乎檢測不到 。流量的減少可能會對受損系統造成重大財務影響 。
安全證書
安全域名系統(域名系統安全擴展,DNSSEC)的目的是通過允許用戶或中間服務器驗證域名和地址之間的關聯來防止此類攻擊 。它基于證書的使用,例如用于驗證網站有效性的證書(瀏覽器的網頁欄中顯示的小掛鎖) 。從理論上講
上講,證書的驗證是檢測攻擊所需的全部 。
但是,這種保護并不完美 。“域IP地址”關聯的驗證過程仍未完成 。部分原因是許多寄存器尚未實現必要的基礎結構 。盡管標準本身是在15年前發布的,但我們仍在等待必要的技術和結構的部署 。諸如“讓我們加密”之類的服務的出現有助于推廣證書的使用,這是安全導航和DNS保護所必需的 。但是,注冊機構和服務提供商對這些技術的使用仍然不平衡 。一些國家比其他國家先進 。
盡管確實存在殘留漏洞(例如對注冊器的直接攻擊以獲取域和有效證書) , 但DNSSEC為ICANN最近譴責的攻擊類型提供了一種解決方案 。這些攻擊依賴于DNS欺詐 。更準確地說,它們依賴于偽造的寄存器數據庫中的DNS記錄 , 這意味著這些寄存器遭到破壞,或者它們可以滲透虛假信息 。如果攻擊者已計劃這樣做,則對寄存器數據庫的這種修改可以伴隨證書的注入 。在最壞的情況下,這有可能規避DNSSEC 。
DNS數據的這種修改意味著域-IP地址關聯數據的波動 ??梢杂^察到這種波動,并可能觸發警報 。因此,攻擊者很難完全不被注意 。但是由于這些波動可能會定期發生,例如,當客戶更換其提供者時,主管必須保持高度警惕 , 以便做出正確的診斷 。
目標機構
對于ICANN譴責的攻擊 , 有兩個重要特征 。首先,他們活躍了幾個月 , 這表明戰略攻擊者已經確定并且裝備精良 。其次,他們有效地瞄準了機構場所,這表明攻擊者具有強烈的動機 。因此,重要的是仔細研究這些攻擊并了解攻擊者為糾正漏洞而實施的機制(可能通過加強良好實踐來糾正) 。
ICANN對DNSSEC協議的推廣引起了疑問 。顯然,它必須變得更加普遍 。但是,不能保證這些攻擊將被DNSSEC阻止,甚至不能更加難以實施 。需要進行其他分析才能更新協議和DNS數據庫的安全威脅的狀態 。