手机数码--DNS的三种武器化攻击

在“网络”的早期阶段，只有通过了解其唯一的32位Ip地址才能联系到参与该网络的每个计算机系统。随着网络成长为我们今天所知的互联网，必须进行一些改变，以允许这个相互连接的计算机系统相互通信房子拆迁如何计算赔偿，并让他们的操作人员了解这些地址拆迁不给拆迁款怎么办。

1983年，paulMockpetris，Jonpostel和ZawSingSu提出了DNS(域名服务器)的概念，通过将简单的DNS域名翻译成相应的Ip地址来寻找网站的新命名法。30多年来，DNS一直是透明的机制，它使互联网的全球现象能够融入我们现代生活的方方面面。您可能会问，为什么攻击者会使用这个系统来攻击我们?答案比你想象的要复杂得多，但问题在增加。我们的建议继续使用古老的技术，并且不应采用本应保护我们的安全升级。

以下分享攻击者将DNS作为攻击管道以及攻击工具本身的关键技术。以及您在自己的环境中可以做的三件事，以帮助保护自己免受这些攻击，并帮助保护互联网安全租的厂房拆迁补偿标准。

攻击1：洪水和漏水龙头

2014年初，Akamai在亚太地区的垂直游戏中发现了对其中一位客户的攻击。攻击在峰值时达到320gbps，每秒产生超过7150万个数据包。但是，这种攻击的独特之处在于攻击者还针对该组织的DNS服务器产生了前所未有的每秒210万次合法DNS查询请求。

DNS弹性始终处于任何在线系统可靠服务的最前沿，但现代商业生态系统中的其他故障开始出现。即使DNS提供商保持在线并且可以响应所有这些DNS查询，现代“云服务”计费模型也无法从正常服务中抽象出此查询泛滥。因此，受害组织对其成功响应的所有查询负责。我把这种类型的攻击称为“泄漏的水龙头”，因为它利用了现代“使用付费”云计费结构的可变性。对CDN客户的“英雄形象”等进行GET洪流(合法请求)，如果CDN完成其工作并提供此流量，请猜猜是什么?你得付钱了!这也是必须管理的风险。但是让我们回到DNS。

攻击2：劫持域名的密钥

很多头条新闻中的攻击是DNS劫持。这不是什么新鲜事，但我将简要解释它是如何发生的。由于域/托管服务提供商管理访问权限以更改DNS托管设置的操作缺陷，攻击者使用众所周知的社交工程方法“欺骗”提供商允许对组织的DNS记录进行非法更改。下面是一个网络钓鱼电子邮件，用于诱骗域名所有者使用其注册商要求更改其DNS记录所需的确切信息来回复攻击者。

一个常见的变化是获取该域的“A”记录，并将其指向攻击者拥有的全部不同的Ip地址，其中包含叠加在公司网站副本上的“YOU’VEBeeNpWND”消息。在过去的几年里，这种情况发生在许多不同的组织中，从美国政府所有的网站到豪华汽车制造商的网站。

降低这种攻击风险的关键是在两个方面进行更改。第一种方法是通过设置客户端和注册商设置来禁止未经授权的更改来更改DNS。第二个问题与您允许通过注册商对DNS区域进行更改的过程有关。就像获得EVSSL(扩展验证)SSL/TLS证书需要完成“更严格”的一系列流程和文书工作一样，您也可以向注册商查看在对您的任何更改进行更改之前的流程和控制措施：区域设置。

攻击3：攻击ApEX域

ApEX记录类似于TLD(顶级域)，它指的是紧跟在“点”符号后面的部分。主要区别在于TLD指的是域名的.COM/.NET，其中只有请求该DNS区域记录的TOp才能找到域名的ApEX记录。它通常也被称为根域，因为它不包含子域部分。因此，通常请求为。本站原创内容未经允许不得转载，或转载时需注明出处：：西部数码资讯门户raquo;DNS的三种武器化攻击