DNS劫持又叫域名劫持,指攻击者利用其他bai攻击手段 (比如劫持了路由器或域名服务器等),篡改了某个域名的解析结果,使得指向该域名的IP变成了另一个IP,导致对相应网址的访问被劫持到另一个不可达的或者假冒的网址,从而实现非法窃取用户信息或者破坏正常网络服务的目的。
攻击者通常会通过两种方式实现DNS劫持:
1、是直接攻击域名注册商或者域名站点获取控制域名的账户口令,这样可以修改域名对应的IP地址;
2、是攻击权威名称服务器,直接修改区域文件内的资源记录。
对于企业和机构客户而言,遭遇DNS劫持是非常严重的问题,它会导致机构失去对域名的控制,一旦攻击实现,机构的站点将不能访问,或者用户可能会访问到伪造的站点。当用户接入如支付宝,银行等合法站点时遭遇域名劫持,用户将面临个人账户和敏感信息泄露,财产损失等风险。
扩展资料:
针对DNS所暴露的问题所采用的防御和缓解措施大致有以下三种:
1、DNSSEC
安全域名系统(域名系统安全扩展)DNSSEC是专门针对检测仿冒性攻击而设计的。DNSSEC目的是让终端用户的域名解析系统能够获知所解析的域名是否真正有效,从而避免用户在仿冒的网站上将自己的重要信息泄露给攻击者。需要注意的是DNSSEC本身并不提供对DNS数据的加密,而只是提供数据真实性的检验。
2、Anycast
Anycast (任拨)是一种网络路由方式,通过部署Anycast,,提供相同服务的一组服务器可以使用相同的IP地址,客户端的请求数据将会被转发到这组服务器中路由拓扑结构最近的一台主机上。
Anycast可以用来抵抗DDoS攻击,当攻击者通过僵尸网络发动DDoS攻击时候,由于僵尸网络的主机具有不同的IP地址和地理位置,这些来自僵尸网络的流量会被发送到的不同的主机,正因如此,几乎所有的根域名服务器都已经部署了Anycast,这种方式可以理解为用分布式防御对抗分布式攻击。
3、响应率限制
响应率限制是指允许权威服务器可以统计自身所发送的来源于相同的DNS查询所对应的DNS响应的频次,权威服务器可以设置一个发送次数的阈值;
规定在某一段时间内,若发送响应的频次超过设定的阈值,权威名称服务器会停止发送响应,并且持续一段时间,若在这段时间内,权威名称服务器没有收到同样频次的查询,则取消限制。