DNS 代表“域名系统”,可以被描述为互联网的索引。它可以将域名(如 kaspersky.com)转换为浏览器加载互联网资源(例如,类似本文的文章)所需的相应 IP 地址,从而使用户能够访问信息。作为一个系统,DNS 用于跟踪、编目和管理世界各地的网站。
为了更详细地了解什么是 DNS,我们需要看一下 DNS 的工作原理。但是,首先需要澄清与此主题相关的术语:
互联网协议 (IP) 地址是分配给每台唯一计算机和服务器的编号。计算机使用这些 ID 来相互定位和“交谈”。
域(或域名)是人类用来记住、识别和连接到特定网站及其服务器的文本名称。例如,像“www.kaspersky.com”这样的域被用作了解实际目标服务器 ID(即 IP 地址)的简单方法。
域名系统服务器(DNS 服务器或 DNS 名称服务器)是构成“DNS 查找”过程的四种服务器类型的集合。它们包括解析名称服务器、根名称服务器、顶级域 (TLD) 名称服务器和权威名称服务器。为了更好地理解,让我们详细说明每种服务器的用途:
- 解析名称服务器(或递归解析器)是 DNS 查找过程的转换组件。它旨在接收来自客户端的查询(通过 Web 浏览器或应用程序),然后将这些查询传送到一系列 Web 服务器(如下所列)以查找域名的目标 IP 地址。它可以使用先前缓存的数据进行响应,或将查询发送到根名称服务器。在查找过程中,解析名称服务与下面的服务器持续通信。
- 根名称服务器(根服务器)是所有 DNS 查找的起点。如果将 DNS 想象成一个层次结构,那么“根区域”将位于顶部。根服务器是在根区域中运行的 DNS 名称服务器。它在查找过程中通常用作参考点。
- 顶级域 (TLD) 名称服务器位于根区域下面一级。它是查找过程的下一个阶段,包含所有含有常见“域扩展名”(即 .com、.net 等)的域名的信息。
- 权威名称服务器是查找过程的最后一个部分,包含特定于所搜索域名的信息。它可以为解析名称服务器提供正确的 IP 地址。
现在我们已建立 DNS 定义并对 DNS 及其服务器有了大致的了解,我们可以探索它的确切工作原理了。
DNS 的工作原理
当您在浏览器上通过域名搜索网站时,您开始了一个称为“查找”的过程。整个查找过程有 6 个阶段:
- 您的 Web 浏览器和操作系统 (OS) 会尝试检索隶属于该域名的 IP 地址。如果以前访问过该 IP 地址,可以将其从计算机的内部存储或内存缓存中检索出来。
- 如果两个组件都不知道目标 IP 地址是什么,则过程继续。
- 操作系统向解析名称服务器查询 IP 地址。此查询通过域名系统服务器链开始搜索,查找域的匹配 IP。
- 查询首先到达根名称服务器,后者将查询定向到 TLD 服务器(通过解析器)。
- TLD 服务器随后将您的查询传递到或指向权威名称服务器(同样,通过解析器)。
- 最终,解析器通过与权威名称服务器的通信找到 IP 地址并将其传递给操作系统,操作系统将其传回 Web 浏览器,为您提供您请求的网站或页面。
DNS 查找过程是整个互联网都使用的重要框架。不幸的是,犯罪分子可能会滥用 DNS 中的漏洞,这意味着您需要了解可能通过重定向进行的欺诈,通常称为“欺骗”和“污染”。为了帮助您避免这些威胁,让我们解释一下什么是 DNS 欺骗和 DNS 污染以及它们的原理。
DNS 欺骗和污染定义
域名系统 (DNS) 污染和欺骗是利用 DNS 服务器漏洞将流量从合法服务器转移到虚假服务器的网络攻击类型。一旦您访问了一个欺诈性页面,您可能会对如何解决它感到困惑,尽管您是唯一可以解决的人。您需要确切地了解它的原理才能保护您自己。
DNS 欺骗以及 DNS 缓存污染属于更具欺骗性的网络威胁。如果不了解互联网如何将您连接到网站,您可能会被欺骗,以为网站本身被入侵。在某些情况下,可能只是您的设备被入侵。更糟糕的是,网络安全套件只能阻止部分与 DNS 欺骗相关的威胁。
DNS 缓存污染和欺骗的原理
关于 DNS,最突出的威胁是两方面的:
- DNS 欺骗是产生结果的威胁,它模仿合法的服务器目的地,以重定向域的流量。毫无戒备的受害者最终会访问恶意网站,这是各种 DNS 欺骗攻击方法的结果。
- DNS 缓存污染是 DNS 欺骗的用户端方法,其中,您的系统将欺诈性 IP 地址记录在本地内存缓存中。这会导致 DNS 专门为您检索不良网站,即使问题得到解决或从未在服务器端存在过也是如此。
DNS 欺骗或缓存污染攻击的方法
在各种 DNS 欺骗攻击方法中,以下是一些较为常见的方法:
中间人欺骗:攻击者位于您的 Web 浏览器和 DNS 服务器之间。一个工具被用来同时对您的本地设备进行缓存污染和对 DNS 服务器进行服务器污染。结果是重定向到攻击者自己的本地服务器上托管的恶意网站。
DNS 服务器劫持:犯罪分子直接重新配置服务器,将所有发出请求的用户定向到恶意网站。一旦将欺诈性 DNS 条目注入 DNS 服务器,对欺骗域的任何 IP 请求都将被定向到虚假网站。
通过垃圾邮件进行 DNS 缓存污染:在通过垃圾邮件发送的 URL 中经常可以找到 DNS 缓存污染的代码。这些电子邮件会试图通过恐吓用户来使其点击所提供的 URL,并以此感染他们的计算机。电子邮件和不可信网站中的横幅广告和图片也可以将用户引导至此代码。一旦被污染,您的计算机就会将您带到伪装成真实网站的虚假网站。真正的威胁就是这样引入您的设备的。
DNS 污染和欺骗的风险
以下是 DNS 污染和欺骗的一些常见风险:
- 数据盗窃
- 恶意软件感染
- 安全更新暂停
- 审查
DNS 欺骗会带来多种风险,每种风险都会将您的设备和个人数据置于危险境地。
数据盗窃对于 DNS 欺骗攻击者来说尤其有利可图。银行网站和热门的在线零售商都很容易受到攻击,这意味着任何密码、信用卡或个人信息都有可能遭到窃取。重定向将指向旨在收集您信息的网络钓鱼网站。
恶意软件感染是 DNS 欺骗的另一种常见威胁。欺骗将您重定向,目的地可能是一个充斥着恶意下载的网站。路过式下载是一种自动感染系统的简单方法。最终,如果您不使用互联网安全软件,您将暴露于间谍软件、键盘记录器或蠕虫之类的风险中。
安全更新暂停可能是 DNS 欺骗引起的。如果欺骗网站包括互联网安全供应商,合法的安全更新将不会被执行。结果,您的计算机可能受到病毒或特洛伊木马等额外威胁。
审查在世界某些地区实际上是很常见的风险。例如,中国利用对 DNS 的修改来确保在该国境内访问的所有网站都经过批准。这种被称为“防火长城”的国家级封锁是说明 DNS 欺骗有多强大的一个示例。
具体来说,消除 DNS 缓存污染很困难。由于清理受感染的服务器并不能使台式机或移动设备去除问题,设备仍将返回到欺骗网站。此外,连接到受感染服务器的干净台式机将再次受到损害。
如何防止 DNS 缓存污染和欺骗
在寻求防止 DNS 欺骗的手段时,用户端防护是有限的。网站所有者和服务器提供商更有能力保护自己和用户。为了适当地保证所有人的安全,双方都必须尽量避免欺骗。
以下是网站所有者和 DNS 服务提供商防止这些攻击的手段:
- DNS 欺骗检测工具
- 域名系统安全扩展
- 端到端加密
以下是端点用户防止这些威胁的手段:
- 从不点击不认识的链接
- 定期扫描计算机查找恶意软件
- 刷新 DNS 缓存解决污染问题
- 使用虚拟专用网络 (VPN)
网站所有者和 DNS 服务器提供商的预防技巧
作为网站所有者或 DNS 服务器提供商,保卫用户的责任牢牢掌握在您的手中。您可以实施各种防护工具和协议来阻止威胁。在这些资源中,使用以下一些资源是明智的:
- DNS 欺骗检测工具:相当于端点用户安全产品,这些检测工具会先主动扫描所有收到的数据,然后再发出。
- 域名系统安全扩展 (DNSSEC):DNSSEC 系统本质上是一个 DNS“经验证为真实”标签,有助于保持 DNS 查找的真实性和无欺骗性。
- 端到端加密:针对 DNS 请求和回复发送的加密数据可将犯罪分子拒之门外,因为他们无法复制合法网站的唯一安全证书。
用户的预防技巧
用户特别容易受到这些种类的威胁的影响。要避免成为 DNS 污染攻击的受害者,您应该遵循以下简单提示:
- 从不点击不认识的链接。这包括电子邮件、短信或社交媒体中的链接。缩短 URL 的工具可以进一步伪装链接目的地,因此请尽可能避免使用这些工具。要想特别安全,请始终选择在地址栏中手动输入 URL。但只有您已确认该 URL 是官方的并且合法之后再这样做。
- 定期扫描计算机查找恶意软件。虽然您可能无法检测到 DNS 缓存污染,但安全软件将帮助您发现并消除任何由此产生的感染。由于欺骗网站可以投送所有类型的恶意程序,因此您应该始终扫描病毒、间谍软件和其他隐藏问题(反过来也是可能的,恶意软件可能会传递欺骗信息)。始终使用本地程序,而不要使用托管版本,因为污染可能会假冒基于 Web 的结果。
- 如有必要,刷新 DNS 缓存解决污染问题。缓存污染会在系统中长期存在,除非清除受感染的数据。此过程很简单,只需打开 Windows 的“运行”程序,然后输入命令“ipconfig /flushdns”。Mac、iOS 和 Android 也有刷新选项。通常可通过“网络设置重置”选项、切换飞行模式、设备重启或特定的本机 Web 浏览器 URL 来调用。请查找您的具体设备的方法以获得指导。
- 使用虚拟专用网络 (VPN)。该服务为您提供加密隧道来传输所有 Web 流量,并使用仅支持端到端加密请求的专用 DNS 服务器。结果是您的服务器更加能抵御 DNS 欺骗和无法中断的请求。
不要让自己容易受到 DNS 欺骗和恶意软件攻击。立即使用卡巴斯基家庭安全产品保护自己。
相关的文章和链接:
相关产品:
