dns緩存投毒
1. 「Web滲透測試」第一天:基礎入門-概念名詞
域名(英語:Domain Name),又稱網域,是由一串用點分隔的名字組成的Internet上某一台計算機或計算機組的名稱,用於在數據傳輸時對計算機的定位標識(有時也指地理位置)。由於IP地址具有不方便記憶並且不能顯示地址組織的名稱和性質等缺點,人們設計出了域名,並通過網域名稱系統(DNS,Domain Name System)來將域名和IP地址相互映射,使人更方便地訪問互聯網,而不用去記住能夠被機器直接讀取的IP地址數串。
阿里雲:阿里雲域名注冊
域名級數是指一個域名由多少級組成,域名的各個級別被「.」分開,簡而言之,有多少個點就是幾級域名。頂級域名在開頭有一個點,「一級域名」就是在「com top net org」前加一級,「二級域名」就是在一級域名前再加一級,二級域名及其以上級別的域名,統稱為子域名,不在「注冊域名」的范疇中。
進行滲透測試時,其主域名找不到漏洞時,就可以嘗試去測試收集到的子域名,有可能測試子域名網站時會有意向不到的效果,然後可以由此橫向到主網站。
域名系統(英文:Domain Name System,縮寫:DNS)是互聯網的一項服務。它作為將域名和IP地址相互映射的一個分布式資料庫,能夠使人更方便地訪問互聯網。DNS使用UDP埠53。當前,對於每一級域名長度的限制是63個字元,域名總長度則不能超過253個字元。
本地HOSTS是存儲的域名對應的IP地址,當我們訪問一個網站輸入域名時,首先會在本地的HOSTS文件查找是否有對應的IP地址,如果有就會直接解析成本地的IP進行訪問。如果不能查到,那麼會向DNS域名系統進行查詢,找到對應的IP進行訪問。
SDN全稱是內容分發網路。其目的是讓用戶能夠更快速的得到請求的數據。簡單來講,cdn就是用來加速的,他能讓用戶就近訪問數據,這樣就更更快的獲取到需要的數據。
關系:通過dns服務我們可以很快的定位到用戶的位置,然後給用戶分配最佳cdn節點,但是這種調度方式存在一個問題,例如,當我 是北京聯通的用戶但是使用的卻是深圳電信的ldns的話,調度伺服器會給我分配到深圳電信的cdn伺服器,這樣就產生了錯誤的調度。
通常也稱為域名系統投毒或DNS緩存投毒。它是利用虛假Internet地址替換掉域名系統表中的地址,進而製造破壞。當網路用戶在帶有該虛假地址的頁面中進行搜尋,以訪問某鏈接時,網頁瀏覽器由於受到該虛假條目的影響而打開了不同的網頁鏈接。在這種情況下,蠕蟲、木馬、瀏覽器劫持等惡意軟體就可能會被下載到本地用戶的電腦上。
DNS劫持又稱域名劫持,是指在劫持的網路范圍內攔截域名解析的請求,分析請求的域名,把審查范圍以外的請求放行,否則返回假的IP地址或者什麼都不做使請求失去響應,其效果就是對特定的網路不能訪問或訪問的是假網址。這類攻擊一般通過惡意軟體來更改終端用戶TCP/IP設置,將用戶指向惡意DNS伺服器,該DNS伺服器會對域名進行解析,並最終指向釣魚網站等被攻擊者操控的伺服器。
域名劫持就是在劫持的網路范圍內攔截域名解析的請求,分析請求的域名,把審查范圍以外的請求放行,否則直接返回假的IP地址或者什麼也不做使得請求失去響應,其效果就是對特定的網址不能訪問或訪問的是假網址。一旦您的域名被劫持,用戶被引到假冒的網站進而無法正常瀏覽網頁,用戶可能被誘騙到冒牌網站進行登錄等操作導致泄露隱私數據。
針對DNS的DDoS攻擊通過控制大批僵屍網路利用真實DNS協議棧發起大量域名查詢請求,利用工具軟體偽造源IP發送海量DNS查詢,發送海量DNS查詢報文導致網路帶寬耗盡而無法傳送正常DNS查詢請求。發送大量非法域名查詢報文引起DNS伺服器持續進行迭代查詢,從而達到較少的攻擊流量消耗大量伺服器資源的目的。
所有放大攻擊都利用了攻擊者和目標Web資源之間的帶寬消耗差異,由於每個機器人都要求使用欺騙性IP地址打開DNS解析器,該IP地址已更改為目標受害者的真實源IP地址,然後目標會從DNS解析器接收響應。為了創建大量流量,攻擊者以盡可能從DNS解析器生成響應的方式構造請求。結果,目標接收到攻擊者初始流量的放大,並且他們的網路被虛假流量阻塞,導致拒絕服務。
asp php aspx jsp javaweb pl py cgi 等
不同的腳本語言的編寫規則不一樣,程序產生的漏洞自然也不一樣(代碼審計)。
不同的腳本語言的編寫規則不一樣,程序產生的漏洞自然也不一樣(代碼審計)。
當第一次攻擊之後,會留一個埠讓攻擊者下次從這個埠進行攻擊
網頁、線程插入、擴展、C/S後門
方便下次攻擊進入
管道(攻擊通道)
玩法,免殺
1. 網站源碼:分腳本類型,分應用方向
2. 操作系統:windows linux
3. 中間件(搭建平台):apache iis tomcat nginx 等
4. 資料庫:access mysql mssql oracle sybase db2 postsql等
Web應用一般是指B/S架構的通過HTTP/HTTPS協議提供服務的統稱。隨著互聯網的發展,Web應用已經融入了我們的日常生活的各個方面。在目前的Web應用中,大多數應用不都是靜態的網頁瀏覽,而是涉及到伺服器的動態處理。如果開發者的安全意識不強,就會導致Web應用安全問題層出不窮。
我們一般說的Web應用攻擊,是指攻擊者通過瀏覽器或者其他的攻擊工具,在URL或者其他的輸入區域(如表單等),向Web伺服器發送特殊的請求,從中發現Web應用程序中存在的漏洞,進而操作和控制網站,達到入侵者的目的。
在做安全測試的時候,我們要從web頁面層開始,因為較為方便,如果從操作系統進行,是十分不容易的。
SQL 注入、上傳、XSS、代碼執行、變數覆蓋、邏輯漏洞、反序列化等
SQL注入
內核漏洞
2. 技術分享 | DNS解析不生效的原因及解決方法
一般情況下,新建或修改域名解析,很快就可以生效。但有時也會存在一些解析較慢或解析長時間不生效的問題。出現這種情況,除了網路不可用、域名被劫持等外部因素外,也可能與域名自身狀態以及解析設置有關。
1.域名過期沒有及時續費
如果域名到期未能及時續費,就會導致原解析失效,所以網站管理者要時刻關注域名的到期情況,及時續費,避免因域名過期導致的解析不生效或者域名被搶注等情況的發生。
2.域名未通過實名認證
根據《中華人民共和國網路安全法》和《中國互聯網路域名管理辦法》的規定,需對com/net/cn等後綴的新注以及存量域名進行實名認證,如果未能通過實名認證,注冊局將暫停域名解析。所以針對這種情況,在域名注冊成功後需要及時提交材料完成實名認證,一般情況下實名認證通過後,域名就會恢復正常解析狀態。
3.域名狀態出現異常
如果出現域名解析長時間不生效,就需要檢查一下域名狀態,可以通過whois工具查看域名當前的狀態是否出現了異常。如果域名的狀態是clienthoold或severhold狀態,說明域名是被禁止解析的,在這種狀態下,即使設置了域名解析,域名也無法被訪問到,此時需要聯系域名服務商了解情況,盡快恢復正常狀態。
一般情況下,當域名處於以下幾種狀態時,域名是無法被解析的:
Pending delete(域名過期,贖回期)
Redemption period(域名過期,贖回期)
Clienthold(暫停解析)
Serverhold(暫停解析)
Inactive(未設置 DNS)
如果是域名狀態出現了問題,需要及時聯系域名注冊商查明情況並解決。
1.沒有設置默認解析線路
如果在進行多線解析時沒有設置默認解析線路,也會出現解析不生效或者無法訪問的問題。所以這種情況下,需要先添加一條默認解析,這樣才能保證當用戶網路類型無法確認或者不在設置的網路類型時系統會自動解析到該默認地址上。
2.權威和遞歸DNS的解析未生效
如果剛修改過域名解析,解析不能及時生效,那麼需要檢查下權威DNS和遞歸DNS解析記錄是否修改成功。因為在網站訪問過程中,直接影響用戶端解析生效的是運營商遞歸伺服器,間接影響用戶端解析生效的是權威DNS伺服器。
首先通過「nslookup +要檢測的域名」,查看遞歸伺服器結果,然後再「nslookup +要檢測的域名 + dns伺服器地址」,查看權威伺服器結果。
如果遞歸伺服器未生效,權威伺服器已生效,表明域名解析剛添加不久,全球的遞歸伺服器還沒有完全同步,需要等域名配置的TTL值失效後再檢測是否生效。如果TTL值過後,再次檢測遞歸伺服器仍然未生效,則可能是域名劫持或緩存投毒。如果遞歸和權威伺服器都沒有生效,則表明域名解析沒有添加成功,需要檢查情況並重新添加。
3.修改解析伺服器未生效
如果是修改了解析伺服器,則需要等一定的緩存時間,全球的DNS伺服器才能同步生效。一般來說,變更了解析伺服器,需要等48小時才能生效。在此期間,由於遞歸伺服器的緩存時間不同,可能會出現有的DNS請求新伺服器,有的會請求舊的伺服器。所以這種情況下,要耐心等待,不得在此期間對DNS解析記錄進行修改,以免影響正常的DNS解析。
…
DNS解析不生效的原因很多,但歸根結底不外乎域名狀態和解析設置這兩種情況,所以我們在遇到解析不生效情況時,仔細檢查這兩種情況,然後逐一排查就能快速定位故障原因,並針對性進行應對。
3. NOD32檢測到DNS 緩存投毒攻擊 然後電腦卡死
願我的答案 能夠解決您的煩憂
1,您出現這種情況可能是中病毒或者後台程序過多引起的!
2,建議您清理系統垃圾!,如果您不會手動清理的話,建議您下載並打開騰訊電腦管家-----對電腦先進行一個體檢,然後清理系統垃圾!
3,我看到您的追問想關閉軟體 您可以打開騰訊電腦管家---工具箱---進程管理器---對不需要的軟體進行禁止
4,建議您打開騰訊電腦管家---軟體管家---卸載一些您經常不用的軟體
如果您對我的答案不滿意,可以繼續追問或者提出寶貴意見,謝謝
4. ESET NOD32總是提示檢測到DNS緩存投毒攻擊怎麼辦
大家在用eset的時候經常會遇到eset提示DNS緩存投毒攻擊!首先要了解一個問題:DNS緩存投毒攻擊目前只要你裝了殺軟就不用在意他!但是eset老是提示很煩人怎麼辦呢!在這里我給大家分享一下解決方法。
方法/步驟:
第一步、打開ESET主界面,點擊左側設置。
第二步、點擊最下方的進入高級設置
第三步、點擊左側的網路
第四步、點擊IDS和高級選項
第五步、將攻擊檢測之後顯示通知的選項去掉。然後確定,就OK了,以後它就不會再提示你了!
5. 域名DNS安全有哪些威脅
uery flood 通過不斷的發DNS請求報文來耗盡目的DNS資源,形成拒絕服務。具體分類包括源IP是否隨機以及目的域名是否隨機等。
response flood 通過不斷的發DNS響應報文來達到拒絕服務的目的。
udp floodv DNS底層協議為UDP,基於UDP的各種flood攻擊也都會給DNS帶來危害。
折射攻擊(反射攻擊) 偽造源IP為第三方,藉助DNS的回包來達到DoS掉第三方的目的。屬於「借刀殺人」的手段。
放大攻擊 折射攻擊的一種。通過惡意的構造響應報文來達到流量放大作用,從而對第三方形成帶寬攻擊。請求報文幾十位元組,響應報文幾千位元組,意味著可以形成百倍以上流量放大系數。
緩存投毒 每一台DNS都有緩存,緩存投毒指的是通過惡意手段污染DNS緩存,形成DNS劫持或者拒絕服務。
漏洞攻擊 利用各種漏洞來達到入侵並控制DNS伺服器目的。漏洞不僅僅指DNS程序本身的,也有可能是機器或者網路其它的「問題點」。
社會工程學手段 所有的系統都需要人的維護,而人永遠是安全中最脆弱的一環。
6. 電腦DNS被劫持是怎麼回事啊
電腦DNS被劫持會導致打開的網頁與相應的網址不符並劫持到另一個網址。
DNS劫持又叫域名劫持,指攻擊者利用其他攻擊手段,篡改了某個域名的解析結果,使得指向該域名的IP變成了另一個IP,導致對相應網址的訪問被劫持到另一個不可達的或者假冒的網址,從而實現非法竊取用戶信息或者破壞正常網路服務的目的。
DNS(域名系統)的作用是把網路地址(域名,以一個字元串的形式)對應到真實的計算機能夠識別的網路地址(IP地址),以便計算機能夠進一步通信,傳遞網址和內容等。
由於域名劫持往往只能在特定的被劫持的網路范圍內進行,所以在此范圍外的域名伺服器(DNS)能夠返回正常的IP地址,高級用戶可以在網路設置把DNS指向這些正常的域名伺服器以實現對網址的正常訪問。所以域名劫持通常相伴的措施——封鎖正常DNS的IP。
(6)dns緩存投毒擴展閱讀:
DNS被劫持的危害:
攻擊者通常會通過兩種方式實現DNS劫持,一種是直接攻擊域名注冊商或者域名站點獲取控制域名的賬戶口令,這樣可以修改域名對應的IP地址,另外一種方式是攻擊權威名稱伺服器,直接修改區域文件內的資源記錄。
對於企業和機構客戶而言,遭遇DNS劫持是非常嚴重的問題,它會導致機構失去對域名的控制,一旦攻擊實現,機構的站點將不能訪問,或者用戶可能會訪問到偽造的站點。
當用戶接入如支付寶,銀行等合法站點時遭遇域名劫持,用戶將面臨個人賬戶和敏感信息泄露,財產損失等風險。
參考資料來源:網路-DNS劫持
7. ESET提示檢測到dns緩存投毒攻擊,這個周末解決別說些治標不治本的辦法,NOD提示的時候不能聯網。
不是治標不治本的方法,你不妨先了解一下域名伺服器緩存污染也就是諾頓報的這個DNS緩存偷投毒攻擊 參考:
http://zh.wikipedia.org/wiki/%E5%9F%9F%E5%90%8D%E6%9C%8D%E5%8A%A1%E5%99%A8%E7%BC%93%E5%AD%98%E6%B1%A1%E6%9F%93#.E5.8F.83.E8.80.83.E8.B3.87.E6.96.99
這個是諾頓特有的,是網路正常現象,完全不用擔心。以前可能你已經屏蔽過了
攻擊時正常的比如8.8.4.4是GOOGLE的 不妨你直接查下攻擊的DNS是屬於哪的
是網路伺服器的事。不是你電腦的事。。不喜歡換個殺毒軟體和防火牆吧。DNS攻擊之後不是斷網了,而是訪問不到目的IP。不懂得話可以來卡飯論壇交流
希望能幫助到你
8. 請問大俠們,DNS劫持和DNS緩存投毒是一碼事嗎
一碼事倒可以那麼想
但是是不一樣的
DNS緩存投毒是在DNS劫持前面做到的
DNS劫持是對一段網路范圍的,DNS緩存投毒卻是針對你的
DNS劫持是指在劫持的網路范圍內攔截域名解析的請求,分析請求的域名,把審查范圍以外的請求放行,否則返回假的IP地址或者什麼都不做使請求失去響應,其效果就是對特定的網路不能反應或訪問的是假網址。
DNS緩存投毒就是惡意程序修改你電腦上DNS緩存中的內容,一是讓你不能正常上網
9. 什麼是域名污染
「域名污染」又稱「DNS污染」、「域名欺騙」、「域名緩存投毒」。「域名污染」簡單說就是當電腦向域名伺服器發送了「域名查詢」的請求,然後域名伺服器把回應發送給你的電腦,這之間是有一個時間差的。
如果某個攻擊者能夠在域名伺服器的「DNS應答」還沒有到達你的電腦之前,先偽造一個錯誤的「DNS應答」發給你電腦。那麼你的電腦收到的就是錯誤的信息,並得到一個錯誤的IP地址。
(9)dns緩存投毒擴展閱讀:
「域名污染」防除方法:
對付DNS劫持,只需要把系統的DNS設置手動切換為國外的DNS伺服器的IP地址即可解決。
對於DNS污染,一般除了使用代理伺服器和VPN之類的軟體之外,並沒有什麼其它辦法。但是利用我們對DNS污染的了解,還是可以做到不用代理伺服器和VPN之類的軟體就能解決DNS污染的問題。
從而在不使用代理伺服器或VPN的情況下訪問原本訪問不了的一些網站。當然這無法解決所有問題,當一些無法訪問的網站本身並不是由DNS污染問題導致的時候,還是需要使用代理伺服器或VPN才能訪問的。
DNS污染的數據包並不是在網路數據包經過的路由器上,而是在其旁路產生的。所以DNS污染並無法阻止正確的DNS解析結果返回。
但由於旁路產生的數據包發回的速度較國外DNS伺服器發回的快,操作系統認為第一個收到的數據包就是返回結果,從而忽略其後收到的數據包,從而使得DNS污染得逞。
而某些國家的DNS污染在一段時期內的污染IP卻是固定不變的,從而可以忽略返回結果是這些IP地址的數據包,直接解決DNS污染的問題。
參考資料來源:網路—DNS污染
10. 機子遭到DNS緩存投毒攻擊,無法上網.如何解決
首先你在運行里輸入arp
-a
清空緩存,然後輸入ARP
-S
IP
MAC(IP為你的IP,MAC是網卡的物理地址)綁定IP,這樣可以一定程序上防止攻擊,然後按下面的步驟:
1、右鍵點擊「網上鄰居」,選擇「屬性」,然後雙擊「本地連接」(如果是撥號上網用戶,選擇「我的連接」圖標),彈出「本地連接狀態」對話框。
2、點擊[屬性]按鈕,彈出「本地連接
屬性」,選擇「此連接使用下列項目」中的「Internet協議(TCP/IP)」,然後點擊[屬性]按鈕。
3、在彈出的「Internet協議(TCP/IP)」對話框中點擊[高級]按鈕。在彈出的「高級TCP/IP
設置」中,選擇「選項」標簽,選中「TCP/IP篩選」,然後點擊[屬性]按鈕。
4、在彈出的「TCP/IP篩選」對話框里選擇「啟用TCP/IP篩選」的復選框,然後把左邊「TCP埠」上的「只允許」選上。
這樣,您就可以來自己添加或刪除您的TCP或UDP或IP的各種埠了。
添加或者刪除完畢,重新啟動機器以後,您的電腦被保護起來了。
這樣是為了保護埠,我門平時用的電腦不需要開埠,幾個常用的打開就行了,有一點必須說的就是,所有病毒攻擊都是通過埠發關數據的,最好安裝個防火牆,祝你好運朋友!