dns欺骗攻击_dns欺骗攻击有什么危害_如何实施dns欺骗攻击(3)

3.2 防范思路

在侦测到网络中可能有DNS欺骗攻击后，防范措施有：①在客户端直接使用IP Address访问重要的站点，从而避免DNS欺骗; ②对DNS Server和Client的数据流进行加密，Server端可以使用SSH加密协议，Client端使用PGP软件实施数据加密。

对于常见的ID序列号欺骗攻击，采用软件在网络中进行检查，在较短时间内，客户端如果接收到两个以上的应答数据包，则说明可能存在DNS欺骗攻击，将后到的合法包发送到DNS Server并对DNS数据进行修改，这样下次查询申请时就会得到正确结果。

四、DNS防护方案

4.1 进行IP地址和MAC地址的绑定

(1)预防ARP欺骗攻击。因为DNS攻击的欺骗行为要以ARP欺骗作为开端，所以如果能有效防范或避免ARP欺骗，也就使得DNS ID欺骗攻击无从下手。例如可以通过将Gateway Router 的Ip Address和MAC Address静态绑定在一起，就可以防范ARP攻击欺骗。

(2)DNS信息绑定。DNS欺骗攻击是利用变更或者伪装成DNS Server的IP Address，因此也可以使用MAC Address和IP Address静态绑定来防御DNS欺骗的发生。由于每个Network Card的MAC Address具有唯一性质，所以可以把DNS Server的MAC Address与其IP Address绑定，然后此绑定信息存储在客户机网卡的Eprom中。当客户机每次向DNS Server发出查询申请后，就会检测DNS Server响应的应答数据包中的MAC Address是否与Eprom存储器中的MAC Address相同，要是不同，则很有可能该网络中的DNS Server受到DNS欺骗攻击。这种方法有一定的不足，因为如果局域网内部的客户主机也保存了DNS Server的MAC Address，仍然可以利用MAC Address进行伪装欺骗攻击。

4.2 使用Digital Password进行辨别

在不同子网的文件数据传输中，为预防窃取或篡改信息事件的发生，可以使用任务数字签名(TSIG)技术即在主从Domain Name Server中使用相同的Password和数学模型算法，在数据通信过程中进行辨别和确认。dns欺骗攻击因为有Password进行校验的机制，从而使主从Server的身份地位极难伪装，加强了Domain Name信息传递的安全性。

安全性和可靠性更好的Domain Name Service是使用域名系统的安全协议(Domain Name System Security, DNSSEC))，用Digital Signature的方式对搜索中的信息源进行分辨，对DATA的完整性实施校验，DNSSEC的规范可参考RFC2605。因为在设立Domain时就会产生Password，同时要求上层的Domain Name也必须进行相关的Domain Password Signature，显然这种方法很复杂，所以InterNIC域名管理截至目前尚未使用。然而就技术层次上讲，DNSSEC应该是现今最完善的Domain Name设立和解析的办法，对防范Domain Name欺骗攻击等安全事件是非常有效的。dns欺骗攻击

4.3 优化DNS SERVER的相关项目设置

对于DNS Server的优化可以使得DNS的安全性达到较高的标准，常见的工作有以下几种：①对不同的子网使用物理上分开的Domain Name Server,从而获得DNS功能的冗余;②将外部和内部Domain Name Server从物理上分离开并使用Forwarders转发器。外部Domain Name Server可以进行任何客户机的申请查询，但Forwarders则不能，Forwarders被设置成只能接待内部客户机的申请查询;③采用技术措施限制DNS动态更新;④将区域传送(zone transfer)限制在授权设备上;⑤利用事务签名对区域传送和区域更新进行数字签名;⑥隐藏服务器上的Bind版本;⑦删除运行在DNS服务器上的不必要服务，如FTP、telnet和Http;⑧在网络和DNS服务器上使用防火墙,将访问限制在那些DNS功能需要的端口上。

4.4 直接使用IP地址访问

对个别信息安全等级要求十分严格的WEB站点尽量不要使用DNS进行解析。由于DNS欺骗攻击中不少是针对窃取客户的私密数据而来的，而多数用户访问的站点并不涉及这些隐私信息，因此当访问具有严格保密信息的站点时，可以直接使用IP地址而无需通过DNS解析，这样所有的DNS欺骗攻击可能造成的危害就可以避免了。除此，应该做好DNS Server的安全配置项目和升级DNS软件，合理限定DNS Server进行响应的IP地址区间，关闭DNS Server的递归查询项目等。

4.5 对DNS数据包进行监测

本文对DNS解析及DNS欺骗的原理进行了阐述，对DNS欺骗攻击的方式、检测和防范的思路进行了探讨，最后给出了一些预防DNS欺骗的常见方法。相信这些方案的应用，可以大大提高DNS的安全性和可靠性。但网络的发展和应用日新月异，在实践中还要不断紧跟技术变化的步伐，不断学习和总结才能有效抵御各种新类型的DNS故障。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/tongxinshuyu/article-38582-3.html