如何防止域名系统缓存中毒？

最近，网络上出现了一个互联网漏洞，即域名系统缓存漏洞。该漏洞直接指向我们应用中脆弱的互联网安全系统，而安全性差的根源在于设计缺陷。利用此漏洞会使用户无法打开网页，或者网络钓鱼和金融欺诈，给受害者造成巨大损失。
这种攻击通常被归类为域欺骗攻击，这会导致许多严重的问题。首先，用户通常认为他们登录的是熟悉的网站，但事实并非如此与使用非法网址的网络钓鱼攻击不同，这些攻击使用合法的网址

域名系统缓存中毒是如何工作的？

当域名系统缓存服务器从用户处获得域名请求时，服务器会在缓存中查找地址如果没有，它将向更高的域名服务器发送一个请求在此类漏洞出现之前，攻击者很难攻击DNS服务器:他们必须通过发送虚假的查询响应并获取正确的查询参数来进入缓存服务器，从而控制合法的DNS服务器。这个过程通常持续不到一秒钟，所以黑客攻击很难成功。

，但是，安全人员现在已经发现了该漏洞，使得过程转向有利于攻击者。这是因为攻击者知道缓存服务器无法响应服务器发出的连续查询请求。例如，黑客可能会提出类似的请求:1q2w3e.google.com，他也知道域名不能存在于缓存服务器中。这将导致缓存服务器发出更多的查询请求，并且会有许多欺骗响应的机会。

当然，这并不意味着攻击者有很多机会猜测查询参数的正确值事实上，这个开源的DNS服务器漏洞的发布将使它在10秒内暴露在危险的攻击之下。你知道，即使1q2w3e.google.com受到缓存域名系统中毒的攻击，这也不是有害的，因为没有人会提出这样的域名请求，但这是攻击者可以发挥他的力量的地方。通过欺骗响应，黑客还可以将缓存服务器指向非法的服务器域名地址，该地址通常由黑客控制此外，一般来说，这两个方面的信息缓存服务器将存储

由于攻击者现在可以控制域名服务器，每个查询请求将被重定向到黑客指定的服务器。这也意味着黑客可以控制所有域名下的子域地址:www.bigbank.com、mail.bigbank.com、ftp.bigbank.com等这非常强大。任何涉及子域网址的查询都可以被定向到黑客指定的任何服务器。

域名系统缓存中毒的风险是什么？

域名系统缓存中毒的主要风险是数据被盗域名系统缓存中毒攻击最受欢迎的目标是医院、金融机构网站和在线零售商这些目标很容易被欺骗，这意味着任何密码、信用卡或其他个人信息都可能被破坏。此外，在用户设备上安装键盘记录器的风险可能会导致用户在访问其他网站时暴露他们的用户名和密码。

的另一个主要风险是，如果互联网安全提供商的网站被欺骗，用户的计算机可能会受到其他威胁(如病毒或特洛伊木马)，因为一旦被攻击的用户不执行合法的安全更新。

声称，每年域名系统攻击的平均成本为232.6万美元，其中23%来自域名系统缓存中毒

如何防止域名系统缓存中毒？首先，应该将DNS服务器配置为尽可能少地依赖与其他DNS服务器的信任关系。以这种方式配置将使攻击者更难使用他们自己的DNS服务器来破坏目标服务器。

第二，企业应该设置只允许运行所需服务的DNS服务器。因为运行DNS服务器上不需要的其他服务只会增加攻击向量的大小

第三，安全人员还应确保使用最新版本的域名系统。新版BIND具有加密安全事务标识和端口随机化等功能，有助于防止缓存中毒攻击。

第四，用户安全教育对于防止这些攻击也非常重要。用户应该接受识别可疑网站的培训。用户应该学会只访问HTTPS网站，这有助于防止人们成为中毒攻击的受害者，因为他们将确保自己的个人信息不会被输入黑客网站。如果他们在连接到网站之前收到SSL警告，他们将不会单击“忽略”按钮。这将防止域名系统缓存中毒攻击。

摘要

HTTPS是当前体系结构下最安全的解决方案。SSL证书可以直观地识别钓鱼网站，防止网站受到DNS缓存中毒攻击，保护信息安全SSL证书的部署必须选择一个可信的CA组织。认证机构的最佳选择是通过国际网络信任标准的认证，认证机构具备国际电子认证服务能力。国际网络信任标准的认证意味着认证机构的运营管理和服务水平符合国际标准，认证机构有能力和资格提供全球认证服务，是可靠的电子认证服务的有效证明。