图片-稻子网
图片-稻子网
图片-稻子网
图片-稻子网

魔兽世界mac版与服务器断开连接-常见的DNS劫持方法有哪些?

DNS劫持作为最常见的网络攻击方式,是每个站长或运维团队最头疼的事情。精心管理的网站被DNS劫持后,不仅会影响网站的流量和权重,还会使用户面临风险,泄露隐私,造成财产损失。

这就是如此简单的攻击方式,再简单不过了。 2009年轰动全球的“银行劫持”,导致巴西最大银行Banco Bank近1%的客户遭到攻击魔兽世界mac版与服务器断开连接,账户被盗。黑客利用宽带路由器的漏洞来篡改用户的DNS——当用户浏览黑客创建的网页时,其宽带路由器的DNS就会被黑客篡改。由于该网页带有设计巧妙的恶意代码,成功躲过了安全软件的检测。大量用户被 DNS 网络钓鱼欺骗。

图片[1]-魔兽世界mac版与服务器断开连接-常见的DNS劫持方法有哪些?-稻子网

网站被黑客入侵、恶意镜像和植入垃圾代码的情况并不少见。危害还包括:

但面对DNS劫持,你必须亲力亲为吗?

知己知彼,DNS是什么?

DNS 是 Name 的缩写。域名系统以分布式数据库的形式将域名和IP地址相互映射。简单的说,DNS就是用来解析域名的。在正常环境下,每个用户的上网请求都会通过DNS解析被定向到匹配的IP地址,完成一次上网行为。 DNS作为应用层协议,主要作用于其他应用层协议,包括但不限于HTTP、SMTP、FTP,用于将用户提供的主机名解析为IP地址。具体流程如下:

(1)DNS的客户端运行在用户主机(PC或手机)上;

图片[2]-魔兽世界mac版与服务器断开连接-常见的DNS劫持方法有哪些?-稻子网

(2)浏览器从接收到的URL中提取域名字段,即要访问的主机名,例如,将此主机名传送给DNS应用的客户端;

(3)DNS客户端向DNS服务器发送查询消息,其中包含要访问的主机名字段(包括一系列缓存查询和分布式DNS集群的工作);

(4)DNS客户端最终会收到回复消息,其中包含主机名对应的IP地址;

(5)浏览器一旦从DNS接收到IP地址,就可以向该IP地址所在的HTTP服务器发起TCP连接。

图片[3]-魔兽世界mac版与服务器断开连接-常见的DNS劫持方法有哪些?-稻子网

(图片来源于网络,仅供参考)

图片[4]-魔兽世界mac版与服务器断开连接-常见的DNS劫持方法有哪些?-稻子网

可以看出,为了获取目标网站的IP,除了本机的搜索行为,还需要第三方服务器(DNS)的参与。但只要通过第三方服务,网络不在可控范围内,就有可能发生DNS劫持。例如获取的IP不是实际想要的IP,从而打开非目标网站。当网站被本地DNS解析后,黑客将本地DNS缓存中的目标网站替换为另一个网站的IP并返回,但客户端并不知道,仍然按照正常的进程寻址建立并行连接如果有黑客想要盗取用户账号和密码,黑客可以制作与目标网站完全相同的木马页面,让用户登录,当用户输入密码并提交时,他们就会被招募.

常见的DNS劫持方法有哪些?

(1)使用DNS服务器进行DDoS攻击

正常的 DNS 服务器递归查询过程被利用并转化为 DDoS 攻击。假设黑客知道被攻击机器的IP地址,攻击者以此地址作为发送解析命令的源地址。当 DNS 服务器用于递归查询时,它会响应初始用户。如果黑客控制了一个足够大的肉鸡来执行上述操作。然后,这个初始用户将受到来自 DNS 服务器的 DDoS 响应的攻击,成为受害者。

(2)DNS 缓存感染

黑客使用 DNS 请求将数据注入易受攻击的 DNS 服务器缓存。这些缓存的信息会在客户进行DNS访问时返回给用户,并将用户正常域名的访问定向到入侵者设置的页面挂马、钓鱼等,或通过伪造邮件获取用户密码信息等服务,导致客户遭遇进一步侵权。

图片[5]-魔兽世界mac版与服务器断开连接-常见的DNS劫持方法有哪些?-稻子网

(3)DNS信息劫持

TCP/IP 系统原则上避免了通过序列号等多种方式插入假冒数据,但黑客可以通过监听客户端和 DNS 服务器之间的会话来解析服务器响应客户端的 DNS 查询 ID。每条 DNS 报文都包含一个关联的 16 位 ID,DNS 服务器根据此 ID 获取请求源位置。黑客在DNS服务器之前将虚假响应交给用户,欺骗客户端访问恶意网站。假设当提交给域名服务器的域名解析请求的数据包被拦截时,根据黑客的意图,将伪造的IP地址作为响应报文返回给请求者。这时候,原始请求者会连接这个假IP地址作为它要请求的域名。很明显,它被定向到了别处,无法连接到它想要连接的域名。

(4)ARP 欺骗

通过伪造IP地址和MAC地址来实现ARP欺骗,在网络中产生大量的ARP流量并阻塞网络。黑客只要继续发送伪造的ARP响应包,就可以改变目标主机ARP缓存中的IP-MAC表项。造成网络中断或中间人攻击。 ARP 攻击主要存在于局域网中。如果局域网内的某台计算机感染了ARP木马,感染了ARP木马的系统会试图通过“ARP欺骗”的方式拦截网络中其他计算机的通信信息,从而导致上网电脑中其他电脑通讯失败。 ARP欺骗通常发生在用户的办公网络中,导致用户访问域名的方向错误,但在IDC机房被入侵后,也可能发生攻击者利用ARP报文压制正常主机或压制正常主机的情况。 DNS服务器,使访问指向错误的方向。

DNS 劫持对业务有什么影响?

一旦被劫持,相关用户查询就无法获取正确的IP解析,容易造成:

图片[6]-魔兽世界mac版与服务器断开连接-常见的DNS劫持方法有哪些?-稻子网

(1)很多用户习惯于依靠书签或者好记的域名进入,一旦被劫持,这些用户将无法打开网站,更改域名也不会无法及时通知变化,造成大量用户流失。

(2)用户流量主要通过搜索引擎SEO进入,DNS被劫持后,搜索引擎蜘蛛将无法抓取正确的IP,网站可能会被百度封禁。

(3)部分域名用于手机应用APP调度,这些域名不需要客户访问,但这些域名的解析与应用APP访问有关。如果解析为被劫持后,应用APP将无法访问。此时更改域名可能会导致应用被下架。重新上架需要审核,可能无法重新上架。这将导致应用程序有用户无法访问或下载的窗口期。

可见魔兽世界mac版与服务器断开连接,DNS劫持对业务的影响是巨大的,不仅是用户体验的损失,还有对用户资产安全和数据安全的潜在巨大风险。

如何监控网站是否被DNS劫持?

借助ARMS-云拨号测试,实时监控网站,实现分钟级监控,及时发现DNS劫持和页面篡改。

图片[7]-魔兽世界mac版与服务器断开连接-常见的DNS劫持方法有哪些?-稻子网

图片[8]-魔兽世界mac版与服务器断开连接-常见的DNS劫持方法有哪些?-稻子网

劫持检测

利用域名白名单和元素白名单,有效检测域名劫持和元素篡改。在建立拨号测试任务时,我们可以设置DNS劫持白名单。比如我们配置DNS劫持格式的文件内容为:201.1.1.22|250.3.44.@ >67。这意味着在该域名下,除了201.1.1.22 和250.3.44.@>67 之外,其余的都被劫持了。

我们将原页面的元素类型加入页面篡改白名单,在拨号测试时将加载的元素与白名单进行比较,判断页面是否被篡改。比如我们配置页面被篡改的文件内容是:|/cc/bb/a.gif|/vv/bb/cc.webp,代表域名,除了基础文件/cc/ bb/a.gif和/vv/bb/cc.webp以外的元素属于被篡改的页面。再比如我们配置页面篡改的文件内容是:*,意思是:域名下的所有元素都不会被篡改。

劫持警报

图片[9]-魔兽世界mac版与服务器断开连接-常见的DNS劫持方法有哪些?-稻子网

在持续监控的同时,及时发出警告也至关重要。通过灵活配置劫持告警比例,当任务劫持比例大于阈值时,迅速通知相关运维团队进行网站维护,保障用户数据安全和网站正常浏览。

在提升用户体验的同时,保证网站和用户资产的安全对企业来说也很重要。云拨号测试为您的网站安全和用户体验保驾护航!

© 版权声明
THE END
喜欢就支持一下吧
点赞0 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码图片