通过DNS能发起哪些类型的攻击
通过DNS能发起以下类型的攻击:
内部攻击:攻击者在控制一台DNS服务器后,可以直接操作域名数据库,修改指定域名所对应的IP地址为自己所控制的主机IP地址,当客户发出对指定域名的查询请求后,将得到伪造的IP地址。
序列号攻击:DNS协议格式中定义了用来匹配请求数据包和响应数据包的序列ID,欺骗者利用序列号伪装成DNS服务器向客户端发送DNS响应数据包,它在DNS服务器发送的真实DNS响应数据包之前到达客户端,将客户端带到攻击者所希望到达的网站,从而进行DNS欺骗。
信息插入攻击:攻击者可以在DNS应答报文中随意添加某些信息,指示权威域名服务器的域名及IP地址,那么在被影响的域名服务器上查询该域的请求都会被转向攻击者所指定的域名服务器上去,从而威胁到网络数据的完整性。
缓存中毒:DNS使用超高速缓存,即当一个名称服务器收到有关域名和IP地址的映射信息时,它会将该信息存放在高速缓存中。当再次遇到相同的映射请求时,可以直接使用缓存中的结果。这种映射表是动态更新的,刷新也是有时限的,这样假冒者如果在下次更新之前成功地修改了DNS服务器上的映射缓存,就可以进行DNS欺骗或者DDoS攻击了。
信息泄露:DNS的默认设置是允许任何人进行区传送(区传送一般用于主服务器和辅服务器之间的数据同步,辅服务器可以从主服务器中获取最新区数据文件的副本,也就可以获得整个授权区域内的所有主机信息),区传送可能会造成信息泄露。一旦这些信息泄露,攻击者就可以根据它轻松地推测出主服务器的网络结构,并从这些信息中判断其功能或发现那些防范措施较少的机器。
不安全的动态更新:随着动态主机配置协议(DHCP)的出现,客户计算机由DHCP服务器动态分配IP地址,使原来手动更新其A(Address)记录和PTR(反向解析)记录变得很难管理。因此在RFC2136标准草案中提出了DNS动态更新,使得DNS客户端在IP地址或名称出现更改的任何时候,都可利用DNS服务器来注册和动态更新其资源记录。尽管DNS动态更新协议规定只有经过授权的主机才能动态更新服务器的区文件,但是攻击者还是可以利用IP欺骗伪装成DNS服务器信任的主机对区数据进行添加、删除和替换操作。