对于这种方式,最有效的防御办法就是用户为路由器设置安全系数高的密码,然后定期修改密码。另外,对于不明链接,我们也建议用户不要随便点击。
2.5.3 授权服务器的修改
直接在授权服务器上修改域名和IP地址的映射关系是最直接的一种方式。黑客如果使用这种方式作为攻击的手段,需要通过特殊手段获取授权服务器的管理员权限,此方式的难度系数其实是非常大的。
当然,也有另一种可能,就是出于某种特殊目的,管理员直接修改授权服务器上的域名和IP地址的映射关系,这种类型比较少见,也不是我们能控制的,这里我们不进行详细介绍。
2.5.4 缓存服务器的修改
缓存服务器的修改就是常见的DNS缓存投毒,是一种典型的DNS攻击,下面我们一起来了解一下黑客如何篡改缓存服务器。
前文也提到过:缓存服务器并不知道域名和IP地址的映射关系,一旦缓存服务器从授权服务器获取了映射关系后,会将其在内存中存储一段时间,直到记录老化。老化时间由DNS回应报文中的TTL决定。在这个有效期内如果再有客户端请求这个相同域名的解析,缓存服务器就会直接用缓存中的IP地址进行回应。记录老化以后,如果有客户端再次请求这个域名时,缓存服务器就会重新向授权服务器请求这个域名的解析
缓存投毒攻击就是黑客伪造了恶意的DNS回应报文,导致缓存服务器无意中将恶意的域名和IP地址映射关系存储到自己的缓存中。当客户端再通过缓存服务器请求这个域名解析时,就会被指向恶意主机
缓存投毒攻击过程如下。
① 黑客向DNS缓存服务器发送一个不存在的子域名,请求解析。
② 缓存服务器查找本地缓存项查不到该域名,就会向授权服务器发起查询请求。
③ 在授权服务器回应这个请求前,黑客就会伪造大量的DNS回应报文发向缓存服务器。
为了达到攻击的目的,黑客伪造的DNS回应报文的源IP地址必须是授权服务器的源IP地址,目的端口也必须是缓存服务器的源端口;同时,DNS回应报文的Query ID和DNS请求报文的Query ID也要一致。
源IP地址和目的端口都很好伪造,但是成功伪造Query ID是有一定难度的。因此黑客伪造大量DNS回应报文时,会不断变换Query ID字段,可能就会有一个Query ID字段命中DNS请求报文的Query ID。一旦该Query
ID先于授权服务器被发送给缓存服务器,缓存服务器就会将黑客发送的伪解析IP地址作为解析地址,保存到本地的缓存表中。
④ 之后,当授权服务器再将真正的回应报文发送到缓存服务器时,缓存服务器也不会接收,直接将其丢弃。
在 DNS 缓存服务器中,如果仅仅伪造的子域名的解析地址是假的其实也没有多大影响。毕竟黑客利用投毒的这个子域名通常都是不存在的,正常客户端也不会请求这个不存在的子域名。
但是我们再仔细了解一下图2-30所示的DNS reply报文就会发现:第一个框内是对该子域名的解析地址;第二个框内则是主域名 ddos.com 所在的 DNS 授权服务器和IP 地址的对应关系,授权服务器在回答缓存服务器请求时,也会将这部分内容一起发送过去,缓存服务器不仅仅会存储子域名的解析地址,还会将主域名的解析地址一并更新到自己的缓存列表中。这样后续再有客户端请求这个主域名时,也会一并被指向虚假的IP地址
