電腦病毒看不見，卻無處不在，有時防護措施不夠或者不當操作都會導(dǎo)致病毒入侵?，F(xiàn)在大家都知道，緩存中毒攻擊者給DNS服務(wù)器注入非法網(wǎng)絡(luò)域名地址，如果服務(wù)器接受這個非法地址，那么緩存就被攻破了

　　具體分析

　　近來，網(wǎng)絡(luò)上出現(xiàn)史上最強大的互聯(lián)網(wǎng)漏洞——DNS緩存漏洞，此漏洞直指我們應(yīng)用中互聯(lián)網(wǎng)脆弱的安全系統(tǒng)，而安全性差的根源在于設(shè)計缺陷。利用該漏洞輕則可以讓用戶無法打開網(wǎng)頁，重則是網(wǎng)絡(luò)釣魚和金融詐騙，給受害者造成巨大損失。

　　緩存中毒攻擊者(cache poisoning)給DNS服務(wù)器注入非法網(wǎng)絡(luò)域名地址，如果服務(wù)器接受這個非法地址，那說明其緩存就被攻擊了，而且以后響應(yīng)的域名請求將會受黑客所控。當這些非法地址進入服務(wù)器緩存，用戶的瀏覽器或者郵件服務(wù)器就會自動跳轉(zhuǎn)到DNS指定的地址。

　　這種攻擊往往被歸類為域欺騙攻擊(pharming attack)，由此它會導(dǎo)致出現(xiàn)很多嚴重問題。首先，用戶往往會以為登陸的是自己熟悉的網(wǎng)站，而它們卻并不是。與釣魚攻擊采用非法URL不同的是，這種攻擊使用的是合法的URL地址。

　　另外一個問題是，成百上千的用戶會被植入緩存中毒攻擊的服務(wù)器重定向，引導(dǎo)至黑客設(shè)立的圈套站點上。這種問題的嚴重性，會與使用域名請求的用戶多少相關(guān)。在這樣的情況下，即使沒有豐富技術(shù)的黑客也可以造成很大的麻煩，讓用戶稀里糊涂的就把自己網(wǎng)銀帳號密碼，網(wǎng)游帳號密碼告訴給他人。

　　用這種類似的方法，郵件系統(tǒng)也會受到黑客攻擊。只不過不是給Web服務(wù)器，而是給郵件服務(wù)器非法地址，從而讓系統(tǒng)引導(dǎo)至受到控制的郵件服務(wù)器中。

　　那么，黑客究竟是怎么做到使緩存服務(wù)器接受非法地址呢?當一個DNS緩存服務(wù)器從用戶處獲得域名請求時，服務(wù)器會在緩存中尋找是否有這個地址。如果沒有，它就會上級DNS服務(wù)器發(fā)出請求。

　　在出現(xiàn)這種漏洞之前，攻擊者很難攻擊DNS服務(wù)器：他們必須通過發(fā)送偽造查詢響應(yīng)、獲得正確的查詢參數(shù)以進入緩存服務(wù)器，進而控制合法DNS服務(wù)器。這個過程通常持續(xù)不到一秒鐘，因此黑客攻擊很難獲得成功。

　　但是，現(xiàn)在有安全人員找到該漏洞，使得這一過程朝向有利于攻擊者轉(zhuǎn)變。這是因為攻擊者獲悉，對緩存服務(wù)器進行持續(xù)不斷的查詢請求，服務(wù)器不能給與回應(yīng)。比如，一個黑客可能會發(fā)出類似請求：1q2w3e.google.com，而且他也知道緩存服務(wù)器中不可能有這個域名。這就會引起緩存服務(wù)器發(fā)出更多查詢請求，并且會出現(xiàn)很多欺騙應(yīng)答的機會。

　　當然，這并不是說攻擊者擁有很多機會來猜測查詢參數(shù)的正確值。事實上，是這種開放源DNS服務(wù)器漏洞的公布，會讓它在10秒鐘內(nèi)受到危險攻擊。

　　要知道，即使1q2w3e.google.com受到緩存DNS中毒攻擊危害也不大，因為沒有人會發(fā)出這樣的域名請求，但是，這正是攻擊者發(fā)揮威力的地方所在。通過欺騙應(yīng)答，黑客也可以給緩存服務(wù)器指向一個非法的服務(wù)器域名地址，該地址一般為黑客所控制。而且通常來說，這兩方面的信息緩存服務(wù)器都會存儲。

　　由于攻擊者現(xiàn)在可以控制域名服務(wù)器，每個查詢請求都會被重定向到黑客指定的服務(wù)器上。這也就意味著，黑客可以控制所有域名下的子域網(wǎng)址這非常強大，任何涉及到子域網(wǎng)址的查詢，都可以引導(dǎo)至由黑客指定的任何服務(wù)器上。

　　如何應(yīng)對?

　　為了解決這些問題，用于查詢的UDP端口不應(yīng)該再是默認的53，而是應(yīng)該在UDP端口范圍內(nèi)隨機選擇(排除預(yù)留端口)

　　但是，很多企業(yè)發(fā)現(xiàn)他們的DNS服務(wù)器遠落后于提供網(wǎng)絡(luò)地址轉(zhuǎn)換(network address translation ，NAT)的各種設(shè)備。大部分NAT設(shè)備會隨機選擇NDS服務(wù)器使用的UDP端口，這樣就會使得新的安全補丁會失去效果。IT經(jīng)理也不會在防火墻中開放全方位的UDP端口。更嚴重的是，有安全研究員證明，即使提供64000UDP端口中隨機選擇的保護，DNS服務(wù)器也照樣有可能受到中毒攻擊。

　　現(xiàn)在是時候考慮保護DNS的其他方案了。UDP源端口隨機化選擇是一種比較有用的防護舉措，但是這會打破UDP源端口隨機化給與DNS服務(wù)器的保護，同由此全方位開放端口面臨的風(fēng)險或者降低防火墻性能這兩者間的平衡關(guān)系。還有一種比較有效的防護措施就是，當檢測到面臨潛在攻擊風(fēng)險時，讓DNS服務(wù)器切換到使用TCP連接。

　　如果攻擊者猜測到了必要的參數(shù)以欺騙查詢響應(yīng)，那么就需要額外的防御措施了。這意味著DNS服務(wù)器需要更智能化，能夠準確分析每個查詢響應(yīng)，以便剔除攻擊者發(fā)送的非法應(yīng)答中的有害信息。

　　相關(guān)閱讀：2018網(wǎng)絡(luò)安全事件：

　　一、英特爾處理器曝“Meltdown”和“Spectre漏洞”

　　2018年1月，英特爾處理器中曝“Meltdown”(熔斷)和“Spectre” (幽靈)兩大新型漏洞，包括AMD、ARM、英特爾系統(tǒng)和處理器在內(nèi)，幾乎近20年發(fā)售的所有設(shè)備都受到影響，受影響的設(shè)備包括手機、電腦、服務(wù)器以及云計算產(chǎn)品。這些漏洞允許惡意程序從其它程序的內(nèi)存空間中竊取信息，這意味著包括密碼、帳戶信息、加密密鑰乃至其它一切在理論上可存儲于內(nèi)存中的信息均可能因此外泄。

　　二、GitHub 遭遇大規(guī)模 Memcached DDoS 攻擊

　　2018年2月，知名代碼托管網(wǎng)站 GitHub 遭遇史上大規(guī)模 Memcached DDoS 攻擊，流量峰值高達1.35 Tbps。然而，事情才過去五天，DDoS攻擊再次刷新紀錄，美國一家服務(wù)提供商遭遇DDoS 攻擊的峰值創(chuàng)新高，達到1.7 Tbps!攻擊者利用暴露在網(wǎng)上的 Memcached 服務(wù)器進行攻擊。網(wǎng)絡(luò)安全公司 Cloudflare 的研究人員發(fā)現(xiàn)，截止2018年2月底，中國有2.5萬 Memcached 服務(wù)器暴露在網(wǎng)上 。

　　三、蘋果 iOS iBoot源碼泄露

　　2018年2月，開源代碼分享網(wǎng)站 GitHub(軟件項目托管平臺)上有人共享了 iPhone 操作系統(tǒng)的核心組件源碼，泄露的代碼屬于 iOS 安全系統(tǒng)的重要組成部分——iBoot。iBoot 相當于是 Windows 電腦的 BIOS 系統(tǒng)。此次 iBoot 源碼泄露可能讓數(shù)以億計的 iOS 設(shè)備面臨安全威脅。iOS 與 MacOS 系統(tǒng)開發(fā)者 Jonathan Levin 表示，這是 iOS 歷史上最嚴重的一次泄漏事件。

　　四、韓國平昌冬季奧運會遭遇黑客攻擊

　　2018年2月，韓國平昌冬季奧運會開幕式當天遭遇黑客攻擊，此次攻擊造成網(wǎng)絡(luò)中斷，廣播系統(tǒng)(觀眾不能正常觀看直播)和奧運會官網(wǎng)均無法正常運作，許多觀眾無法打印開幕式門票，最終未能正常入場。

　　五、加密貨幣采礦軟件攻擊致歐洲廢水處理設(shè)施癱瘓

　　2018年2月中旬，工業(yè)網(wǎng)絡(luò)安全企業(yè) Radiflow 公司表示，發(fā)現(xiàn)四臺接入歐洲廢水處理設(shè)施運營技術(shù)網(wǎng)絡(luò)的服務(wù)器遭遇加密貨幣采礦惡意軟件的入侵。該惡意軟件直接拖垮了廢水處理設(shè)備中的 HMI 服務(wù)器 CPU，致歐洲廢水處理服務(wù)器癱瘓 。

　　Radiflow 公司稱，此次事故是加密貨幣惡意軟件首次對關(guān)鍵基礎(chǔ)設(shè)施運營商的運營技術(shù)網(wǎng)絡(luò)展開攻擊。由于受感染的服務(wù)器為人機交互(簡稱HMI)設(shè)備，之所以導(dǎo)致廢水處理系統(tǒng)癱瘓，是因為這種惡意軟件會嚴重降低 HMI 的運行速度。

DNS緩存中毒相關(guān)文章：

1.路由器的上網(wǎng)斷斷續(xù)續(xù)怎么樣解決

2.dns無法解析怎么處理

3.能ping通打不開網(wǎng)頁的解決方法步驟

4.怎么處理dns配置異常不能上網(wǎng)

5.電腦qq登不上網(wǎng)頁打不開怎么辦