如何防止dns緩存區中毒
『壹』 保護DNS伺服器幾種有效方法
DNS軟體是黑客熱衷攻擊的目標,它可能帶來安全問題,在網路安全防護中,DNS的安全保護就顯得尤為重要。本文結合相關資料和自己多年來的經驗列舉了四個保護DNS伺服器有效的方法。以便讀者參考。 1.使用DNS轉發器 DNS轉發器是為其他DNS伺服器完成DNS查詢的DNS伺服器。使用DNS轉發器的主要目的是減輕DNS處理的壓力,把查詢請求從DNS伺服器轉給轉發器, 從DNS轉發器潛在地更大DNS高速緩存中受益。 使用DNS轉發器的另一個好處是它阻止了DNS伺服器轉發來自互聯網DNS伺服器的查詢請求。如果你的DNS伺服器保存了你內部的域DNS資源記錄的話, 這一點就非常重要。不讓內部DNS伺服器進行遞歸查詢並直接聯系DNS伺服器,而是讓它使用轉發器來處理未授權的請求。 2.使用只緩沖DNS伺服器 只緩沖DNS伺服器是針對為授權域名的。它被用做遞歸查詢或者使用轉發器。當只緩沖DNS伺服器收到一個反饋,它把結果保存在高速緩存中,然後把 結果發送給向它提出DNS查詢請求的系統。隨著時間推移,只緩沖DNS伺服器可以收集大量的DNS反饋,這能極大地縮短它提供DNS響應的時間。 把只緩沖DNS伺服器作為轉發器使用,在你的管理控制下,可以提高組織安全性。內部DNS伺服器可以把只緩沖DNS伺服器當作自己的轉發器,只緩沖 DNS伺服器代替你的內部DNS伺服器完成遞歸查詢。使用你自己的只緩沖DNS伺服器作為轉發器能夠提高安全性,因為你不需要依賴你的ISP的DNS服務 器作為轉發器,在你不能確認ISP的DNS伺服器安全性的情況下,更是如此。 3.使用DNS廣告者 DNS廣告者是一台負責解析域中查詢的DNS伺服器。例如,如果你的主機對於domain.com 和corp.com是公開可用的資源,你的公共DNS伺服器就應該為 domain.com 和corp.com配置DNS區文件。 除DNS區文件宿主的其他DNS伺服器之外的DNS廣告者設置,是DNS廣告者只回答其授權的域名的查詢。這種DNS伺服器不會對其他DNS伺服器進行遞歸查詢。這讓用戶不能使用你的公共DNS伺服器來解析其他域名。通過減少與運行一個公開DNS解析者相關的風險,包括緩存中毒,增加了安全。 4.使用DNS解析者 DNS解析者是一台可以完成遞歸查詢的DNS伺服器,它能夠解析為授權的域名。例如,你可能在內部網路上有一台DNS伺服器,授權內部網路域名 internalcorp.com的DNS伺服器。當網路中的客戶機使用這台DNS伺服器去解析techrepublic.com時,這台DNS伺服器通過向其他DNS伺服器查詢來執行遞歸 以獲得答案。 DNS伺服器和DNS解析者之間的區別是DNS解析者是僅僅針對解析互聯網主機名。DNS解析者可以是未授權DNS域名的只緩存DNS伺服器。你可以讓DNS 解析者僅對內部用戶使用,你也可以讓它僅為外部用戶服務,這樣你就不用在沒有辦法控制的外部設立DNS伺服器了,從而提高了安全性。當然,你也可以讓DNS解析者同時被內、外部用戶使用。
『貳』 DNS緩存攻擊問題
緩存中毒攻擊者(cache poisoning)給DNS伺服器注入非法網路域名地址,假如 伺服器接受這個非法地址,那表明 其緩存就被攻擊了,並且 以後響應的域名請求將會受黑客所控。當這些非法地址 進入伺服器緩存,用戶的閱讀 器或者郵件伺服器就會自動跳轉到DNS指定的地址。
解決辦法:
1.用IPCONFIG/displaydns命令欄查看當前dns緩存里的內容。 (可以查看)
2.用ipconfig /flushdns命令刷新dns緩存中的內容。 (可以使用)
3.若要防止dns緩存攻擊,應禁用dns緩存,方法:
禁用客戶端 DNS 緩存
有SB說修改注冊表的辦法無效,因為沒有對應的鍵值。這里我教大家一個不用修改注冊表的方法:打開「開始」——「控制面板」——「管理工具」——「服務」,找到「DNS client"服務,右擊——屬性——把啟動類型改為」禁用「。至此,DNS緩存就已經Game over了。
4. 把殺毒軟體的DNS緩存攻擊檢測關閉,出現這個問題的殺軟一般是NOD的ESS之類的殺軟。
『叄』 DNS伺服器的保護技巧
DNS解析是Internet絕大多數應用的實際定址方式;它的出現完美的解決了企業服務與企業形象結合的問題,企業的DNS名稱是Internet上的身份標識,是不可重覆的唯一標識資源,Internet的全球化使得DNS名稱成為標識企業的最重要資源。
1.使用DNS轉發器
DNS轉發器是為其他DNS伺服器完成DNS查詢的DNS伺服器。使用DNS轉發器的主要目的是減輕DNS處理的壓力,把查詢請求從DNS伺服器轉給轉發器, 從DNS轉發器潛在地更大DNS高速緩存中受益。
使用DNS轉發器的另一個好處是它阻止了DNS伺服器轉發來自互聯網DNS伺服器的查詢請求。如果你的DNS伺服器保存了你內部的域DNS資源記錄的話, 這一點就非常重要。不讓內部DNS伺服器進行遞歸查詢並直接聯系DNS伺服器,而是讓它使用轉發器來處理未授權的請求。
2.使用只緩沖DNS伺服器
只緩沖DNS伺服器是針對為授權域名的。它被用做遞歸查詢或者使用轉發器。當只緩沖DNS伺服器收到一個反饋,它把結果保存在高速緩存中,然後把 結果發送給向它提出DNS查詢請求的系統。隨著時間推移,只緩沖DNS伺服器可以收集大量的DNS反饋,這能極大地縮短它提供DNS響應的時間。
把只緩沖DNS伺服器作為轉發器使用,在你的管理控制下,可以提高組織安全性。內部DNS伺服器可以把只緩沖DNS伺服器當作自己的轉發器,只緩沖 DNS伺服器代替你的內部DNS伺服器完成遞歸查詢。使用你自己的只緩沖DNS伺服器作為轉發器能夠提高安全性,因為你不需要依賴你的ISP的DNS服務 器作為轉發器,在你不能確認ISP的DNS伺服器安全性的情況下,更是如此。
3.使用DNS廣告者(DNS advertisers)
DNS廣告者是一台負責解析域中查詢的DNS伺服器。
除DNS區文件宿主的其他DNS伺服器之外的DNS廣告者設置,是DNS廣告者只回答其授權的域名的查詢。這種DNS伺服器不會對其他DNS伺服器進行遞歸 查詢。這讓用戶不能使用你的公共DNS伺服器來解析其他域名。通過減少與運行一個公開DNS解析者相關的風險,包括緩存中毒,增加了安全。
4.使用DNS解析者
DNS解析者是一台可以完成遞歸查詢的DNS伺服器,它能夠解析為授權的域名。例如,你可能在內部網路上有一台DNS伺服器,授權內部網路域名伺服器。當網路中的客戶機使用這台DNS伺服器去解析時,這台DNS伺服器通過向其他DNS伺服器查詢來執行遞歸 以獲得答案。
DNS伺服器和DNS解析者之間的區別是DNS解析者是僅僅針對解析互聯網主機名。DNS解析者可以是未授權DNS域名的只緩存DNS伺服器。你可以讓DNS 解析者僅對內部用戶使用,你也可以讓它僅為外部用戶服務,這樣你就不用在沒有辦法控制的外部設立DNS伺服器了,從而提高了安全性。當然,你也 可以讓DNS解析者同時被內、外部用戶使用。
5.保護DNS不受緩存污染
DNS緩存污染已經成了日益普遍的問題。絕大部分DNS伺服器都能夠將DNS查詢結果在答復給發出請求的主機之前,就保存在高速緩存中。DNS高速緩存 能夠極大地提高你組織內部的DNS查詢性能。問題是如果你的DNS伺服器的高速緩存中被大量假的DNS信息「污染」了的話,用戶就有可能被送到惡意站點 而不是他們原先想要訪問的網站。
絕大部分DNS伺服器都能夠通過配置阻止緩存污染。WindowsServer 2003 DNS伺服器默認的配置狀態就能夠防止緩存污染。如果你使用的是Windows 2000 DNS伺服器,你可以配置它,打開DNS伺服器的Properties對話框,然後點擊「高級」表。選擇「防止緩存污染」選項,然後重新啟動DNS伺服器。
6.使DDNS只用安全連接
很多DNS伺服器接受動態更新。動態更新特性使這些DNS伺服器能記錄使用DHCP的主機的主機名和IP地址。DDNS能夠極大地減
輕DNS管理員的管理費用 ,否則管理員必須手工配置這些主機的DNS資源記錄。
然而,如果未檢測的DDNS更新,可能會帶來很嚴重的安全問題。一個惡意用戶可以配置主機成為台文件伺服器、Web伺服器或者資料庫伺服器動態更新 的DNS主機記錄,如果有人想連接到這些伺服器就一定會被轉移到其他的機器上。
你可以減少惡意DNS升級的風險,通過要求安全連接到DNS伺服器執行動態升級。這很容易做到,你只要配置你的DNS伺服器使用活動目錄綜合區 (Active Directory Integrated Zones)並要求安全動態升級就可以實現。這樣一來,所有的域成員都能夠安全地、動態更新他們的DNS信息。
7.禁用區域傳輸
區域傳輸發生在主DNS伺服器和從DNS伺服器之間。主DNS伺服器授權特定域名,並且帶有可改寫的DNS區域文件,在需要的時候可以對該文件進行更新 。從DNS伺服器從主力DNS伺服器接收這些區域文件的只讀拷貝。從DNS伺服器被用於提高來自內部或者互聯網DNS查詢響應性能。
然而,區域傳輸並不僅僅針對從DNS伺服器。任何一個能夠發出DNS查詢請求的人都可能引起DNS伺服器配置改變,允許區域傳輸傾倒自己的區域數據 庫文件。惡意用戶可以使用這些信息來偵察你組織內部的命名計劃,並攻擊關鍵服務架構。你可以配置你的DNS伺服器,禁止區域傳輸請求,或者僅允 許針對組織內特定伺服器進行區域傳輸,以此來進行安全防範。
8.使用防火牆來控制DNS訪問
防火牆可以用來控制誰可以連接到你的DNS伺服器上。對於那些僅僅響應內部用戶查詢請求的DNS伺服器,應該設置防火牆的配置,阻止外部主機連接 這些DNS伺服器。對於用做只緩存轉發器的DNS伺服器,應該設置防火牆的配置,僅僅允許那些使用只緩存轉發器的DNS伺服器發來的查詢請求。防火牆策略設置的重要一點是阻止內部用戶使用DNS協議連接外部DNS伺服器。
9.在DNS注冊表中建立訪問控制
在基於Windows的DNS伺服器中,你應該在DNS伺服器相關的注冊表中設置訪問控制,這樣只有那些需要訪問的帳戶才能夠閱讀或修改這些注冊表設置。
鍵應該僅僅允許管理員和系統帳戶訪問,這些帳戶應該擁有完全控制許可權。
10.在DNS文件系統入口設置訪問控制
在基於Windows的DNS伺服器中,你應該在DNS伺服器相關的文件系統入口設置訪問控制,這樣只有需要訪問的帳戶才能夠閱讀或修改這些文件。
應用服務防火牆
針對以上的問題AX有一個解決方式,就是DNS應用服務防火牆,AX在這問題有三個有力的方法,可以有效的緩解這些攻擊所造成的影響:
1、首先將非DNS協定的封包過濾(Malformed Query Filter)
2、再來將經由DNS伺服器查詢到的訊息做緩存(DNS Cache)
3、如果真的遇到大量的正常查詢、AX可以啟動每秒的連線控制(Connection Rate Limit)
Malformed Query Filter:
這種非正常的封包通常都是用來將對外網路的頻寬給撐爆,當然也會造成DNS伺服器的忙碌,所以AX在第一線就將這類的封包過濾,正確的封包傳遞到後方的伺服器,不正常的封包自動過濾掉避免伺服器的負擔。
DNS Cache:
當DNS查詢的回應回到AX時,AX可以預先設定好哪些Domain要Cache哪些不需要Cache,如果有Cache,當下一個同樣的查詢來到AX時,AX就能從Cache中直接回應,不需要再去DNS伺服器查詢,一方面減輕了DNS伺服器的負擔,另一方面也加快了回應的速度。
再者,當企業選用此功能時更能僅設定公司的Domain做Cache,而非關此Domain的查詢一律不Cache或者拒絕回應,這樣更能有效的保護企業的DNS伺服器。
而ISP之類需提供大量查詢的服務,更適合使用此功能,為DNS服務提供更好更快的回應。
Connection RateLimit:
當查詢的流量大到一定的程度時,例如同一個Domain每秒超過1000個請求,此時在AX上可以啟動每秒的連線控制,控制進入到後端DNS伺服器的查詢量,超過的部分直接丟棄,更嚴格的保護DSN伺服器的資源。
相信許多人期待在日新月異的網際網路中看到創新的網路技術,並能提供更好的網路應用服務。而確保DNS服務的不間斷持續運作並讓DNS服務所提供的資訊是正確的,這也是一切網路應用服務的基礎
熱門事件
北京2014年1月21日,全國大范圍出現DNS故障,下午15時20分左右,中國頂級域名根伺服器出現故障,大部分網站受影響,此次故障未對國家頂級域名.CN造成影響,所有運行服務正常。
『肆』 dns緩存中毒
DNS緩存中毒是一種利用域名系統中的漏洞將Internet流量從合法伺服器轉移到虛假伺服器的攻擊。DNS緩存中毒是非法修改DNS伺服器記錄以用不同地址替換網站地址的過程。
『伍』 怎麼樣防止DNS伺服器被攻擊3大方法
用戶在防火牆日誌中發現大量的DNS緩存攻擊記錄這是電信搞鬼,強制性推廣廣告以扭轉盈利下滑的局面,所以被檢測為DNS緩存投毒在DOS下鍵入ipconfig/flushdns命令清除DNS緩存惡意程序修改你電腦上DNS緩存中的內容,一是讓你不能正常上網,比如把.cn的IP地址修改為127.0.0.1,這樣無論如何也不能找到新浪網了,二是將某些惡意IP地址放進DNS緩存,比如把.cn對應的IP地址修改為惡意網站地址,當你在地址欄輸入.cn的時候,訪問的卻是惡意網站。由於操作系統在進行DNS解析的時候首先查詢DNS緩存,如果在緩存中能查到,就不會再找DNS伺服器了。這樣一旦dns緩存被修改,你去修改DNS伺服器之類的網路參數也是無效的。用IPCONFIG/displaydns命令欄查看當前dns緩存里的內容。用ipconfig/flushdns命令刷新dns緩存中的內容。若要防止dns緩存攻擊,應禁用dns緩存,方法:禁用客戶端DNS緩存1.啟動注冊表編輯器(Regedit)。2.在注冊表項中HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters3.第一行(默認)。鍵入1,然後單擊確定。4.退出注冊表編輯器。
『陸』 我的電腦最近出現提示 「檢測到DNS緩存中毒攻擊 」 地址是202.103.24.68 怎樣解決
首先確認是否是區域網環境,如果不是區域網不用開啟這個防禦,如果是區域網環境建議您檢查相關防火牆arp設置中綁定的網關的ip地址和mac地址是否是正確的網關的地址,如果不是正確的,修改成正確的,如果是正確的說明您的區域網中有arp攻擊,建議您使用抓包工具抓包,發現發包源對發包的計算機進行處理。
『柒』 DNS緩存中毒或受到攻擊了怎麼辦
DNS緩存投毒幾乎可以完全避免,前提是對DNS伺服器進行了合理的配置。這包括強制伺服器檢查其他非權威的伺服器轉發的DNS響應信息,並丟棄任何返回的與最初的查詢不相關DNS響應記錄。許多最新的DNS伺服器在默認配置下已經不再受此類攻擊影響。
『捌』 如何防止 DNS 緩存污染
首先你要確定你遇到的問題確實是dns污染造成的.現在一般的vpn在默認設置下連接到了伺服器後dns查詢都是通過vpn的.如果你用的是chrome的話,在每次連接vpn後它都會自動清除dns緩存,所以不存在dns污染問題.
其次,使用冷門dns也是沒用的.牆會在滿足
1.發往53埠的dns查詢
2.使用udp協議
3.查詢中包含關鍵詞
這三個條件時搶先返回一個虛假IP.所以不管冷門與否,只要你使用的是使用53埠udp查詢的境外dns伺服器,就不可避免的會被dns污染.
如果你只是要解決dns污染的話,我建議你使用
1.goagent的dns功能,它能過濾已知的由GFW返回的虛假IP.
2.Dnsmasq或BIND,自架dns伺服器,將經常訪問且被污染的域名forward到非標埠.例如opendns的5353埠.
3.使用chengr28/Pcap_DNSProxy · GitHub 這個軟體,方法可以去看說明.
還有一些其他方法,但原理都大同小異,都是相當於在本地架設dns伺服器以返回正確的ip地址.解決dns污染是正常訪問的第一步,但並不能滿足你所有的請求,所以你需要配合其他的手段.當然,不喜歡折騰的話買個靠譜的vpn就完事了,幾乎是一勞永逸.