DNS系统原理及漏洞利用分析-下 (dnsz)

接上篇《DNS系统原理及漏洞利用分析(上)》

四、DNS缓存

如果每次有任何用户试图访问www.dingxinsec.com.cn，都必须向权限域名 服务器 发起对该域名的查询请求，将会产生大量的网络流量!因此，为了使计算机不用在每一次访问某个域名时都向DNS服务器发起IP查询请求，计算机上通常会存储一个自身的域名-IP映射库，这个映射库被称为“DNS缓存”。

但是，DNS缓存方法也存在一些问题，包括：

DNS缓存有以下几种不同的类型：

五、DNS常见漏洞

1.利用DNS实施探测

一旦攻击者穿透防火墙进入用户内网并控制某台计算机，就可以利用内网的DNS服务查找重要的服务器信息，如邮件服务器、域名服务器等各类有价值的信息。如果攻击者具备足够的技术能力，甚至可能利用内部DNS服务器批量发送用户网络中区的信息，此类攻击被称为“DNS区传输攻击”。

以下给出了在Windows操作系统环境中实现该攻击的流程：

2.利用DNS实施流量重定向

当用户尝试浏览到某个网站时，他们的计算机会在DNS服务器中查询该网站的IP。如果DNS服务器中存有该记录的缓存，则将直接返回该IP。如果没有，它会查询“上游”DNS服务器，并将结果中继给最终用户，同时缓存该信息以供下次使用。

在目前已知的攻击中，攻击者已经能够伪造DNS响应信息，使其看起来像是来自合法的DNS服务器。要达到这一目标，攻击者可以利用DNS的三个弱点：

一旦攻击者成功伪造了DNS响应消息，则其可以实现篡改接收端DNS服务器的缓存。以下就以一个典型的场景说明这一攻击行为可能造成的严重后果：

假设攻击者了解到用户单位使用外部应用程序来处理经费等重要事务。如果攻击者篡改了用户单位DNS服务器的相关记录，则能够将用户诱骗至攻击者伪造的服务器，诱骗用户在攻击者伪造的登陆页面上录入其账号及口令信息。

更有耐心的攻击者还可能将真实流量转发给真实的服务器(充当“中间人”)，因此用户就不会发现攻击正在发生。获取用户的身份信息后，攻击者可以在其他相关系统上尝试使用这些身份信息，或者直接出售这些信息。

3.利用DNS构建隐通道

假设攻击者已经设法进入了用户单位网络，控制了一台内网计算机，并且已经找到了其想要窃取的关键数据。如何在不留任何痕迹的情况下将数据传输到网外?攻击者可能使用一种被称为“DNS隧道”的技术来实现。通常的做法如下：

(1)攻击者在互联网上设置一个DNS域(如attacker.com)，并创建一个权限域名服务器

(2)在被攻击者控制的主机上，攻击者可以将数据分解为小段并将其插入到一系列DNS查询中，如下所示：

(3)用户单位的DNS服务器将接收这些请求，并将这些请求转发回attacker.com的权限域名服务器。攻击者在其权限域名服务器接收到上述流量后，则可以运行程序以提取查询信息的第一部分(.attacker.com前的内容)并将其重新组合，从而将用户网内的数据不留痕迹地传输到网外(此例中传输的数据是“My secret is tHat I know your>

服务器被攻击了要怎么防？

1.切断网络

所有的攻击都来自于网络，因此，在得知系统正遭受黑客的攻击后，首先要做的就是断开服务器的网络连接，这样除了能切断攻击源之外，也能保护服务器所在网络的其他主机。

2.查找攻击源

可以通过分析系统日志或登录日志文件，查看可疑信息，同时也要查看系统都打开了哪些端口，运行哪些进程，并通过这些进程分析哪些是可疑的程序。 这个过程要根据经验和综合判断能力进行追查和分析。 下面的章节会详细介绍这个过程的处理思路。

3.分析入侵原因和途径

既然系统遭到入侵，那么原因是多方面的，可能是系统漏洞，也可能是程序漏洞，一定要查清楚是哪个原因导致的，并且还要查清楚遭到攻击的途径，找到攻击源，因为只有知道了遭受攻击的原因和途径，才能删除攻击源同时进行漏洞的修复。

4.备份用户数据

在服务器遭受攻击后，需要立刻备份服务器上的用户数据，同时也要查看这些数据中是否隐藏着攻击源。 如果攻击源在用户数据中，一定要彻底删除，然后将用户数据备份到一个安全的地方。

5.重新安装系统

永远不要认为自己能彻底清除攻击源，因为没有人能比黑客更了解攻击程序，在服务器遭到攻击后，最安全也最简单的方法就是重新安装系统，因为大部分攻击程序都会依附在系统文件或者内核中，所以重新安装系统才能彻底清除攻击源。

6.修复程序或系统漏洞

在发现系统漏洞或者应用程序漏洞后，首先要做的就是修复系统漏洞或者更改程序Bug，因为只有将程序的漏洞修复完毕才能正式在服务器上运行。

7.恢复数据和连接网络

将备份的数据重新复制到新安装的服务器上，然后开启服务，最后将服务器开启网络连接，对外提供服务。以上就是bluehost中文站给您介绍的服务器被攻击了要怎么防的问题

dns解析错误有什么解决办法吗

1：更换本地DNS的方法目前国内电信运营商通过使用DNS劫持的方法，干扰用户正常上网，使得用户无法访问，（例如弹出广告窗口），所以我一直在使用Google DNS，不仅可以解决中国的电信运营商的流氓行为，还可以解决域名无法访问的情况。 小技巧：点击开始-设置-网络连接-本地连接-属性-TCP/IP协议-使用下面的DNS服务器地址，在框中输入“8.8.8.8”和“8.8.4.4”断开，从新连接网络即可，并且没有电信、联通（原网通）等DNS劫持问题。 2：修改HOSTS文件的方法如果我们希望把某个域名与某个IP绑定，就可以通过修改HOSTS文件的办法：“开始-搜索”，然后查找名叫hosts的文件。 或路径为c:\windows\system32\Drivers\etc都可。 用记事本打开，在下面加入要解析的IP和域名即可。 （修改HOSTS文件则是在实在没有办法的时候在用）小知识：每个windows系统都有个HOSTS文件，它的作用是加快域名解析，方便局域网用户，屏蔽网站，顺利连接系统等功能。 3：清除DNS缓存信息的方法“开始-运行-输入CMD”，在ipconfig /?中有一个名为/flushdns的参数，这个就是清除DNS缓存信息的命令，执行ipconfig /flushdns命令，当出现“successfully flushed the dns resolver cache”的提示时就说明当前计算机的缓存信息已经被成功清除。 接下来所有的DNS缓存都会重新加载。 小知识：DNS解析就是把你的域名解析成一个ip地址，服务商提供的dns解析就是能够将你的域名解析成相应ip地址的主机。 这就是DNS域名解析。

无线网卡和无线路由有什么区别>?

无线上网目前有两种上网方式：一种是无线网卡，另外一种是无线上网卡，两者的概念是完全不同的，无线网卡是要接收无线猫或无线路由器的无线信号，一般还是要安装宽带才可以上网的，有些地方有运营商的无线热点WLAN，也是可以用无线网卡来接收信号上网；另外一种就是无线上网卡业务，目前国内的三家电信运营商都有无线上网卡业务，区分有3G无线上网卡和普通的非3G无线上网卡业务。所以无线上网 还是要配合无线路由器的