欺诈性应答和DNS劫持威胁-如何应对DNS服务器的DNS缓存污染 (欺诈性质)

DNS（Domain Name System）是互联网的基础设施之一，但也容易受到各种安全威胁的侵害，包括DNS缓存污染、欺诈性应答和DNS劫持等。本文将探讨这些威胁的本质以及如何采取有效的防范措施，以保护网络安全并确保用户的数据和通信安全。

1.DNS缓存污染：

DNS缓存污染是一种常见的攻击手段，攻击者通过向DNS缓存服务器发送伪造的响应，使得合法域名的解析结果被替换为恶意网站的IP地址。为了应对这种威胁，可采取以下措施：

2. 欺诈性应答：

欺诈性应答是指攻击者向DNS查询发出者发送伪造的响应，将合法域名解析为恶意网站的IP地址。为了应对这种威胁，可采取以下措施：

3. DNS劫持：

DNS劫持是指攻击者篡改了DNS查询结果，将合法域名解析为攻击者控制的恶意网站地址。为了应对这种威胁，可采取以下措施：

通过采取上述措施，可以有效地防范DNS缓存污染、欺诈性应答和DNS劫持等安全威胁，保护网络和用户数据的安全，确保互联网的正常运行和使用。

如何防范服务器缓存投毒和域名劫持

展开全部直接问我就是了啊！那这么麻烦啊！！谈到网络安全，你可能熟悉网页欺诈的危险，但是知道域欺骗（pharming）威胁吗？对于一家在线公司来说，这种风险是致命的! 简单来说，域欺骗就是把原本准备访问某网站的用户，在不知不觉中，劫持到仿冒的网站上，例如用户准备访问某家知名品牌的网上商店，黑客就可以通过域欺骗的手段，把其带到假的网上商店，同时收集用户的ID信息和密码等。 这种犯罪一般是通过DNS服务器的缓存投毒（cache poisoning）或域名劫持来实现的。 最近几个月里，黑客已经向人们展示了这种攻击方式的危害。 今年3月，SANS Institute发现一次将1300个著名品牌域名改变方向的缓存投毒攻击，这些品牌包括ABC、American Express、Citi和Verizon Wireless等；1月份，Panix的域名被一名澳大利亚黑客所劫持；4月，Hushmail的主域名服务器的IP地址被修改为连接到一家黑客粗制滥造的网站上。 跟踪域欺骗事件的统计数据目前还没有。 不过，反网页欺诈工作组（APWG）已经把域欺骗归到近期工作的重点任务之中。 专家们说，缓存投毒和域名劫持问题早已经引起了相关机构的重视，而且，随着在线品牌的不断增多，营业额的不断增大，这一问题也更加突出，人们有理由担心，骗子不久将利用这种黑客技术欺骗大量用户，从而获取珍贵的个人信息，引起在线市场的混乱。 虽然，域欺骗在技术上和组织上解决起来十分复杂。 但是在目前情况下，我们还是可以采取一些措施，来保护企业的DNS服务器和域名不被域名骗子所操纵。 破解困境 DNS安全问题的根源在于Berkeley Internet Domain （BIND）。 BIND充斥着过去5年广泛报道的各种安全问题。 VeriSign公司首席安全官Ken Silva说，如果您使用基于BIND的DNS服务器，那么请按照DNS管理的最佳惯例去做。 SANS首席研究官Johannes认为：“目前的DNS存在一些根本的问题，最主要的一点措施就是坚持不懈地修补DNS服务器，使它保持最新状态。 ” Nominum公司首席科学家、DNS协议原作者Paul Mockapetris说，升级到BIND 9.2.5或实现DNSSec，将消除缓存投毒的风险。 不过，如果没有来自Cisco、F5 Networks、Lucent和Nortel等厂商的DNS管理设备中提供的接口，完成这类迁移非常困难和耗费时间。 一些公司，如Hushmail，选择了用开放源代码TinyDNS代替BIND。 替代DNS的软件选择包括来自Microsoft、PowerDNS、JH Software以及其他厂商的产品。 不管您使用哪种DNS，请遵循BlueCat Networks公司总裁Michael Hyatt提供的以下最佳惯例： 1、在不同的网络上运行分离的域名服务器来取得冗余性。 2、将外部和内部域名服务器分开（物理上分开或运行BIND Views）并使用转发器（forwarders）。 外部域名服务器应当接受来自几乎任何地址的查询，但是转发器则不接受。 它们应当被配置为只接受来自内部地址的查询。 关闭外部域名服务器上的递归功能（从根服务器开始向下定位DNS记录的过程）。 这可以限制哪些DNS服务器与Internet联系。 3、可能时，限制动态DNS更新。 4、将区域传送限制在授权设备上。 5、利用事务签名对区域传送和区域更新进行数字签名。 6、隐藏服务器上的BIND版本。 7、删除运行在DNS服务器上的不必要服务，如FTP、telnet和HTTP。 8、在网络外围和DNS服务器上使用防火墙服务。 将访问限制在那些DNS功能需要的端口/服务上。 让注册商承担责任 域欺骗的问题从组织上着手解决也是重要的一环。 不久前，有黑客诈骗客户服务代表修改了Hushmail的主域名服务器的IP地址。 对于此时，Hushmail公司的CTO Brian Smith一直忿忿不已，黑客那么容易就欺骗了其域名注册商的客户服务代表，这的确令人恼火。 Smith说：“这件事对于我们来说真正糟透了。 我希望看到注册商制定和公布更好的安全政策。 但是，我找不出一家注册商这样做，自这件事发生后，我一直在寻找这样的注册商。 ” 总裁Alex Resin在因注册商方面的问题，导致今年1月Panix域名遭劫持时，也感受到了同样强烈的不满。 首先，他的注册商在没有事先通知的情况下，将他的域名注册卖给了一家转销商。 然后，这家转销商又把域名转移给了一个社会工程人员——同样也没有通知Resin。 Resin说：“域名系统需要系统的、根本的改革。 现在有很多的建议，但事情进展的不够快。 ” 等待市场需求和ICANN领导阶层迫使注册商实行安全的转移政策，还将需要长时间。 因此，Resin, Smith和ICANN首席注册商联络官Tim Cole提出了以下减少风险的建议： 1、要求您的注册商拿出书面的、可执行的政策声明。 将如果需要转移域名的话，要求他们及时与您联系的条款写在书面文件中。 2、锁定域名，要求注册商在得到解锁的口令或其他身份信息后才允许转移。 3、使您保存在注册商那里的正式联系信息保持最新状态。 4、选择提供24×7服务的注册商，这样他们可以在发生违规事件时迅速采取行动。 5、如果发生未经授权的转移，立即与有关注册商联系。 6、如果您的问题没有得到解决，去找您的域名注册机构（例如，VeriSign负责和的注册）。 7、如果您在拿回自己的域名时仍遇到问题，与ICANN联系（）。 8、如果拥有一个大型域，那就像Google那样，成为自己的注册商或者自己的转销商，利用的开放API，OpenSRS，来控制您的所有域名。

DNS 被劫持的原理，以及解决方法 ？

dns劫持原理：IIS7网站监控测网站是否被劫持、域名是否被墙、DNS污染检测等信息。 现行标准中 DNS 查询通常使用 UDP 协议并且没有任何验证机制，并且根据惯例查询者会接受第一个返回的结果而抛弃之后的。 因此只需监控 53 端口（DNS 标准端口）的 UDP查询数据报并分析，一旦发现敏感查询，则抢先向查询者返回一个伪造的错误结果，从而实现 DNS 污染。 DNS污染并无法阻止正确的DNS解析结果返回，但由于旁路产生的数据包发回的速度较国外DNS服务器发回的快，操作系统认为第一个收到的数据包就是返回结果，从而忽略其后收到的数据包，从而使得DNS污染得逞。

怎样应对 DNS 污染

DNS污染 指的是用户访问一个地址，国内的服务器(非DNS)监控到用户访问的已经被标记地址时，服务器伪装成DNS服务器向用户发回错误的地址的行为。 为了减免网络上的交通，一般的域名都会把外间的域名服务器数据暂存起来，待下次有其他机器要求解析域名时，可以立即提供服务。 一旦有关网域的局域域名服务器的缓存受到污染，就会把网域内的电脑导引往错误的服务器或服务器的网址。 戴口罩是个好习惯，可以防止颗粒物、飞沫等有害物质进入自己体内，也可以防止自己生病时影响到身边的人。 只是我们很多人懒，或者大多数口罩戴起来不舒服、不美观，所以不愿意戴。 在香港、日本等经济发达且人口密度较大地区，佩戴白色口罩早已司空见惯，甚至发展成为一种文化。 不用觉得有人用异样的眼光看你就不习惯，我们身边已经有越来越多的人在戴口罩，时间长了就好了。 如果还是有这方面担忧，可以从纯白色的口罩开始尝试，明星都戴简单大方的白色口罩，俨然一种时尚。 推荐一款美国进口的高级医用口罩，普卫欣不仅外观简洁，而且防护功能强大，TM既不用担心突兀又可以安心防过敏。