(2) 阅读 (907)

dns劫持-凯发官方

词条创建者 

dns劫持是破坏域名系统(dns)解析的做法。这可以通过覆盖计算机的tcp/ip配置以指向受攻击者控制的流氓dns服务器,或通过修改受信任的dns服务器的行为使其不符合互联网标准来实现.

这些修改可能出于网络钓鱼等恶意目的、互联网服务提供商()、基于公共/的在线dns服务器提供商的自我服务目的,以将用户的定向到isp的自己的网络服务器,可以在其中提供广告、收集统计数据或isp的其他目的;并由dns服务提供商以一种审查形式阻止对选定域的访问。

其中的dns服务器的功能是将转换域名为ip地址,该应用程序需要连接到资源,如。此功能在各种正式的互联网标准中定义,这些标准非常详细地定义了协议。dns服务器受到面向internet的计算机和用户的隐式信任,可以将名称正确解析为internet域所有者注册的实际地址。

流氓dns服务器

流氓dns服务器将所需网站(、银行、经纪人等)的域名转换为具有非预期内容的网站的ip地址,甚至是恶意网站。大多数用户依赖于由他们的isp自动分配的dns服务器。也可以通过远程利用路由器固件中的漏洞来更改路由器分配的dns服务器。当用户尝试访问网站时,他们会被发送到虚假网站。这种攻击被称为欺骗。如果他们被重定向到的网站是恶意网站,伪装成合法网站,以欺诈方式获取敏感信息,则称为网络钓鱼。

isp的操纵

对dns劫持的关注涉及对nxdomain响应的这种劫持。internet和intranet应用程序依赖nxdomain响应来描述dns没有指定主机条目的情况。如果要查询无效的域名(例如www.example.invalid),则应该得到nxdomain响应——通知应用程序该名称无效并采取适当的措施(例如,显示错误或不尝试连接到服务器)。但是,如果在这些不合规的isp之一上查询域名,则总是会收到属于该isp的虚假ip地址。在web器中,这种行为可能会令人讨厌或令人反感,因为与此ip地址的连接会显示isp重定向页面。提供者的信息,有时带有广告,而不是正确的错误消息。但是,依赖nxdomain错误的其他应用程序将改为尝试启动与此欺骗ip地址的连接,这可能会暴露敏感信息。

当isp劫持dns时功能中断的示例:

  • 作为windowsserver域成员的漫游膝上型将错误地被引导相信它们已回到公司网络,因为域控制器、电子和其他基础结构等资源似乎可用。因此,应用程序将尝试启动与这些公司服务器的连接,但失败,从而导致性能下降、互联网连接上的不必要流量和超时。
  • 许多小型办公室和没有自己的dns服务器,而是依靠名称解析。许多版本的microsoftwindows默认将dns名称解析优先于netbios名称解析广播;因此,当ispdns服务器返回lan上所需计算机名称的(技术上有效的)ip地址时,连接的计算机使用此错误ip地址并且不可避免地无法连接到lan上所需的计算机。解决方法包括使用正确的ip地址而不是计算机名称,或更改dhcpnodetype注册表值以更改名称解析服务顺序。
  • firefox等浏览器不再具有“按名称浏览”功能(在地址栏中键入关键字会将用户带到最近的匹配站点)。
  • 出于性能原因,现代操作系统中内置的本地dns客户端将缓存dns搜索的结果。如果客户端在家庭网络和vpn之间切换,则可能会缓存错误条目,从而在vpn连接上造成服务中断。
  • dnsbl反垃圾凯发官方的解决方案依赖于dns;因此,错误的dns结果会干扰其操作。
  • 机密用户数据可能会被isp欺骗的应用程序泄露,使其相信他们希望连接的服务器可用。
  • 由于isp决定向用户显示哪些搜索结果,因此用户在浏览器中输入错误url时选择要咨询的搜擎将被删除。
  • 配置为使用具有vpn连接的拆分隧道的计算机将停止工作,因为不应在隧道外通过公共internet解析的intranet名称将开始解析为虚构地址,而不是在私有dns服务器上通过vpn隧道正确解析时从internet接收到nxdomain响应。例如,尝试解析内部邮件服务器的dnsa记录的邮件客户端可能会收到一个错误的dns响应,该响应将其定向到付费结果web服务器,消息排队等待传送数天而尝试重新传输却徒劳无功。
  • 它通过导致web浏览器错误地认为isp配置了来破坏web代理自动发现协议(wpad)。
  • 它破坏了监控软件。例如,如果定期联系服务器以确定其健康状况,则监视器永远不会看到故障,除非监视器尝试验证服务器的加密密钥。

在某些但不是大多数情况下,isp提供订户可配置的设置以禁用对nxdomain响应的劫持。正确实施后,此类设置会将dns恢复为标准行为。但是,其他isp使用web浏览器cookie来存储首选项。在这种情况下,底层行为没有得到解决:dns查询继续被重定向,而isp重定向页面被替换为伪造的dns错误页面。当该方案在协议中立的dns系统中实际实施时,除web浏览器之外的应用程序不能使用cookie选择退出该方案,因为选择退出仅针对http协议。

英国,信息专员办公室承认,非自愿dns劫持的做法违反了pecr和ec数据保护指令95/46,这些指令要求明确同意处理通信流量。然而,他们拒绝干预,声称执行法律是不明智的,因为它不会对个人造成重大(或实际上任何)明显的损害。在,2019年有消息称,deutschetelekomag不仅操纵其dns服务器,还传输网络流量(例如用户未使用https时的非安全cookie)给第三方公司,因为web门户t-online用户因dns操作而被重定向到该门户,它不再(不再)归德国电信所有。在用户提起刑事诉讼后,德国电信停止了进一步的dns操作。

负责管理xxx域名的国际机构icann发布了一份备忘录,强调了其关注的问题,并确认:

icann强烈反对在现有gtld、cctld和dns树中注册级域名的任何其他级别中使用dns重定向、通配符、合成响应和任何其他形式的nxdomain替换。

最终用户对cookie等糟糕的“选择退出”选项不满意,已通过寻找避免欺骗nxdomain响应的方法来回应争议。bind和dnsmasq等dns软件提供过滤结果的选项,并且可以从网关或路由器运行以保护整个网络。等公司运行目前不返回欺骗结果的开放式dns服务器。因此,如果用户愿意接受根据google的隐私政策使用该服务,并且可能会暴露于google可以跟踪用户的另一种方法,则用户可以使用google公共dns而不是其isp的dns服务器。这种方法的一个限制是某些提供阻止或重写外部dns请求。开放式dns由cisco所有,是一种类似的流行服务,它不会改变nxdomain响应。

谷歌于2016年4月推出了dns-over-https服务。该方案可以克服传统dns协议的局限性。它执行远程dnssec检查并将结果传输到安全的https隧道中。

还有一些应用程序级别的变通方法,例如noredirectfirefox扩展,可以减轻某些行为。这样的方法只能修复一个应用程序(在本例中为firefox),而不会解决任何其他问题。网站所有者可能能够通过使用某些dns设置来欺骗一些劫机者。例如,在其通配符地址(例如*.example.com)上设置“未使用”的txt记录。或者,他们可以尝试将通配符的cname设置为“example.invalid”,利用根据rfc保证不存在“.invalid”这一事实。这种方法的局限性在于它只能防止对那些特定域的劫持,但它可能会解决由dns劫持引起的一些vpn安全问题。


内容由匿名用户提供,本内容不代表vibaike.com立场,内容投诉举报请联系vibaike.com客服。如若转载,请注明出处:https://vibaike.com/129139/

发表评论

登录后才能评论

词条目录
  1. dns劫持
  2. 技术背景
  3. 流氓dns服务器
  4. isp的操纵
  5. 回应
  6. 补救

轻触这里

关闭目录

目录