1) 域名劫持

 

通過采用黑客手段控制了域名管理密碼和域名管理郵箱，然后將該域名的NS紀錄指向到黑客可以控制的DNS服務器，然后通過在該DNS服務器上添加相應域名紀錄，從而使網(wǎng)民訪問該域名時，進入了黑客所指向的內(nèi)容。

 

這顯然是DNS服務提供商的責任，用戶束手無策。遇到dns被劫持，讓dns服務提供者解決這個問題，是比較矛盾的;因為，劫持者，最有可能的就是他們;另外一種最直接的解決辦法就是換用其他dns。更換dns服務器的方法非常簡單，打開網(wǎng)絡連接屬性，選擇Interner 協(xié)議(TCP/IP)的屬性頁里，不要選擇自動獲取DNS，而要選擇“使用下面的DNS服務器地址”，推薦大家使用OpenDNS提供的DNS服務器，OpenDNS是一個提供免費DNS服務的網(wǎng)站，口號是更安全、更快速、更智能。

 

2) 緩存投毒

 

DNS緩存投毒攻擊是指攻擊者欺騙DNS服務器相信偽造的DNS響應的真實性。這種類型攻擊的目的是將依賴于此DNS服務器的受害者重定向到其他的地址。隨著惡意軟件傳播的增多，緩存投毒的方法也層出不窮。典型的一種是發(fā)送標題吸引人的垃圾郵件并誘導你去打開。點擊郵件中的圖片和廣告條幅也會將用戶指向被投毒的網(wǎng)站。一旦用戶的電腦被惡意代碼感染，他今后所有的URL請求都將被自動指向惡意IP地址-哪怕被指向的“受害”服務器已經(jīng)在其網(wǎng)頁上清除了惡意代碼。

 

防止投毒

 

目前還沒有更好辦法阻止黑客的這種行為，只有使DNS緩存服務器發(fā)出的查詢請求使用動態(tài)的UDP端口，UDP的端口號也是16位2進制，這樣與DNS的ID號相結合，號碼的命中率就是1/4294967296(2的32次方)。

 

3)DDOS攻擊

 

一種攻擊針對DNS服務器軟件本身，通常利用BIND軟件程序中的漏洞，導致DNS服務器崩潰或拒絕服務;另一種攻擊的目標不是DNS服務器，而是利用DNS服務器作為中間的“攻擊放大器”，去攻擊其它互聯(lián)網(wǎng)上的主機，導致被攻擊主機拒絕服務。

 

為了讓DNS拒絕服務，惡意攻擊者向允許遞歸的開放DNS解析器發(fā)送大量偽造的查詢請求。目前互聯(lián)網(wǎng)中存在著上百萬開放的DNS解析器，包括很多的家庭網(wǎng)關。開放的DNS解析器會認為這些偽造的查詢請求是真實有效的，并且會對這些請求進行處理，在處理完成之后，便會向偽造的請求者(即，受害人)返回DNS響應信息。如果查詢請求的數(shù)量巨大，DNS服務器很有可能會發(fā)送大量的DNS響應信息。這也就是我們常說的放大攻擊，這種方法利用的是DNS解析器中的錯誤配置。由于DNS服務器配置錯誤，那么DNS解析器很可能會在接收到一個非常小的DNS查詢請求之后，向目標主機返回大量的攻擊流量。在另一種類型的攻擊中，是向DNS服務器發(fā)送未經(jīng)許可或不符合規(guī)則的查詢請求來進行攻擊。

 

防御DDOS攻擊

 

不允許未經(jīng)過請求的DNS響應

 

丟棄快速重傳數(shù)據(jù)包

 

丟棄異常來源的DNS請求和響應

 

創(chuàng)建白名單，添加允許服務器處理的合法請求信息

 

啟動DNS客戶端驗證

 

使用ACL的權限

 

上面所說的攻擊，其實并不在我們的可控范圍之內(nèi)，內(nèi)網(wǎng)的入侵，大家首先都會想到中間人攻擊，中間人攻擊，也就會想到DNS欺騙和ARP欺騙了。

 

4) DNS欺騙

 

DNS欺騙就是攻擊者冒充域名服務器的一種欺騙行為。

 

原理：如果可以冒充域名服務器，然后把查詢的IP地址設為攻擊者的IP地址，這樣的話，用戶上網(wǎng)就只能看到攻擊者的主頁，而不是用戶想要取得的網(wǎng)站的主頁了，這就是DNS欺騙的基本原理。DNS欺騙其實并不是真的“黑掉”了對方的網(wǎng)站，而是冒名頂替、招搖撞騙罷了。

 

現(xiàn)在的Internet上存在的DNS服務器有絕大多數(shù)都是用bind來架設的,使用的bind版本主要為bind 4.9.5+P1以前版本和bind 8.2.2-P5以前版本.這些bind有個共同的特點,就是BIND會緩存(Cache)所有已經(jīng)查詢過的結果,這個問題就引起了下面的幾個問題的存在.

 

DNS欺騙就是攻擊者冒充域名服務器的一種欺騙行為。 原理：如果可以冒充域名服務器，然后把查詢的IP地址設為攻擊者的IP地址，這樣的話，用戶上網(wǎng)就只能看到攻擊者的主頁，而不是用戶想要取得的網(wǎng)站的主頁了，這就是DNS欺騙的基本原理。DNS欺騙其實并不是真的“黑掉”了對方的網(wǎng)站，而是冒名頂替、招搖撞騙罷了。