dns缓存投毒
1. “Web渗透测试”第一天:基础入门-概念名词
域名(英语:Domain Name),又称网域,是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称,用于在数据传输时对计算机的定位标识(有时也指地理位置)。由于IP地址具有不方便记忆并且不能显示地址组织的名称和性质等缺点,人们设计出了域名,并通过网域名称系统(DNS,Domain Name System)来将域名和IP地址相互映射,使人更方便地访问互联网,而不用去记住能够被机器直接读取的IP地址数串。
阿里云:阿里云域名注册
域名级数是指一个域名由多少级组成,域名的各个级别被“.”分开,简而言之,有多少个点就是几级域名。顶级域名在开头有一个点,“一级域名”就是在“com top net org”前加一级,“二级域名”就是在一级域名前再加一级,二级域名及其以上级别的域名,统称为子域名,不在“注册域名”的范畴中。
进行渗透测试时,其主域名找不到漏洞时,就可以尝试去测试收集到的子域名,有可能测试子域名网站时会有意向不到的效果,然后可以由此横向到主网站。
域名系统(英文:Domain Name System,缩写:DNS)是互联网的一项服务。它作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网。DNS使用UDP端口53。当前,对于每一级域名长度的限制是63个字符,域名总长度则不能超过253个字符。
本地HOSTS是存储的域名对应的IP地址,当我们访问一个网站输入域名时,首先会在本地的HOSTS文件查找是否有对应的IP地址,如果有就会直接解析成本地的IP进行访问。如果不能查到,那么会向DNS域名系统进行查询,找到对应的IP进行访问。
SDN全称是内容分发网络。其目的是让用户能够更快速的得到请求的数据。简单来讲,cdn就是用来加速的,他能让用户就近访问数据,这样就更更快的获取到需要的数据。
关系:通过dns服务我们可以很快的定位到用户的位置,然后给用户分配最佳cdn节点,但是这种调度方式存在一个问题,例如,当我 是北京联通的用户但是使用的却是深圳电信的ldns的话,调度服务器会给我分配到深圳电信的cdn服务器,这样就产生了错误的调度。
通常也称为域名系统投毒或DNS缓存投毒。它是利用虚假Internet地址替换掉域名系统表中的地址,进而制造破坏。当网络用户在带有该虚假地址的页面中进行搜寻,以访问某链接时,网页浏览器由于受到该虚假条目的影响而打开了不同的网页链接。在这种情况下,蠕虫、木马、浏览器劫持等恶意软件就可能会被下载到本地用户的电脑上。
DNS劫持又称域名劫持,是指在劫持的网络范围内拦截域名解析的请求,分析请求的域名,把审查范围以外的请求放行,否则返回假的IP地址或者什么都不做使请求失去响应,其效果就是对特定的网络不能访问或访问的是假网址。这类攻击一般通过恶意软件来更改终端用户TCP/IP设置,将用户指向恶意DNS服务器,该DNS服务器会对域名进行解析,并最终指向钓鱼网站等被攻击者操控的服务器。
域名劫持就是在劫持的网络范围内拦截域名解析的请求,分析请求的域名,把审查范围以外的请求放行,否则直接返回假的IP地址或者什么也不做使得请求失去响应,其效果就是对特定的网址不能访问或访问的是假网址。一旦您的域名被劫持,用户被引到假冒的网站进而无法正常浏览网页,用户可能被诱骗到冒牌网站进行登录等操作导致泄露隐私数据。
针对DNS的DDoS攻击通过控制大批僵尸网络利用真实DNS协议栈发起大量域名查询请求,利用工具软件伪造源IP发送海量DNS查询,发送海量DNS查询报文导致网络带宽耗尽而无法传送正常DNS查询请求。发送大量非法域名查询报文引起DNS服务器持续进行迭代查询,从而达到较少的攻击流量消耗大量服务器资源的目的。
所有放大攻击都利用了攻击者和目标Web资源之间的带宽消耗差异,由于每个机器人都要求使用欺骗性IP地址打开DNS解析器,该IP地址已更改为目标受害者的真实源IP地址,然后目标会从DNS解析器接收响应。为了创建大量流量,攻击者以尽可能从DNS解析器生成响应的方式构造请求。结果,目标接收到攻击者初始流量的放大,并且他们的网络被虚假流量阻塞,导致拒绝服务。
asp php aspx jsp javaweb pl py cgi 等
不同的脚本语言的编写规则不一样,程序产生的漏洞自然也不一样(代码审计)。
不同的脚本语言的编写规则不一样,程序产生的漏洞自然也不一样(代码审计)。
当第一次攻击之后,会留一个端口让攻击者下次从这个端口进行攻击
网页、线程插入、扩展、C/S后门
方便下次攻击进入
管道(攻击通道)
玩法,免杀
1. 网站源码:分脚本类型,分应用方向
2. 操作系统:windows linux
3. 中间件(搭建平台):apache iis tomcat nginx 等
4. 数据库:access mysql mssql oracle sybase db2 postsql等
Web应用一般是指B/S架构的通过HTTP/HTTPS协议提供服务的统称。随着互联网的发展,Web应用已经融入了我们的日常生活的各个方面。在目前的Web应用中,大多数应用不都是静态的网页浏览,而是涉及到服务器的动态处理。如果开发者的安全意识不强,就会导致Web应用安全问题层出不穷。
我们一般说的Web应用攻击,是指攻击者通过浏览器或者其他的攻击工具,在URL或者其他的输入区域(如表单等),向Web服务器发送特殊的请求,从中发现Web应用程序中存在的漏洞,进而操作和控制网站,达到入侵者的目的。
在做安全测试的时候,我们要从web页面层开始,因为较为方便,如果从操作系统进行,是十分不容易的。
SQL 注入、上传、XSS、代码执行、变量覆盖、逻辑漏洞、反序列化等
SQL注入
内核漏洞
2. 技术分享 | DNS解析不生效的原因及解决方法
一般情况下,新建或修改域名解析,很快就可以生效。但有时也会存在一些解析较慢或解析长时间不生效的问题。出现这种情况,除了网络不可用、域名被劫持等外部因素外,也可能与域名自身状态以及解析设置有关。
1.域名过期没有及时续费
如果域名到期未能及时续费,就会导致原解析失效,所以网站管理者要时刻关注域名的到期情况,及时续费,避免因域名过期导致的解析不生效或者域名被抢注等情况的发生。
2.域名未通过实名认证
根据《中华人民共和国网络安全法》和《中国互联网络域名管理办法》的规定,需对com/net/cn等后缀的新注以及存量域名进行实名认证,如果未能通过实名认证,注册局将暂停域名解析。所以针对这种情况,在域名注册成功后需要及时提交材料完成实名认证,一般情况下实名认证通过后,域名就会恢复正常解析状态。
3.域名状态出现异常
如果出现域名解析长时间不生效,就需要检查一下域名状态,可以通过whois工具查看域名当前的状态是否出现了异常。如果域名的状态是clienthoold或severhold状态,说明域名是被禁止解析的,在这种状态下,即使设置了域名解析,域名也无法被访问到,此时需要联系域名服务商了解情况,尽快恢复正常状态。
一般情况下,当域名处于以下几种状态时,域名是无法被解析的:
Pending delete(域名过期,赎回期)
Redemption period(域名过期,赎回期)
Clienthold(暂停解析)
Serverhold(暂停解析)
Inactive(未设置 DNS)
如果是域名状态出现了问题,需要及时联系域名注册商查明情况并解决。
1.没有设置默认解析线路
如果在进行多线解析时没有设置默认解析线路,也会出现解析不生效或者无法访问的问题。所以这种情况下,需要先添加一条默认解析,这样才能保证当用户网络类型无法确认或者不在设置的网络类型时系统会自动解析到该默认地址上。
2.权威和递归DNS的解析未生效
如果刚修改过域名解析,解析不能及时生效,那么需要检查下权威DNS和递归DNS解析记录是否修改成功。因为在网站访问过程中,直接影响用户端解析生效的是运营商递归服务器,间接影响用户端解析生效的是权威DNS服务器。
首先通过“nslookup +要检测的域名”,查看递归服务器结果,然后再“nslookup +要检测的域名 + dns服务器地址”,查看权威服务器结果。
如果递归服务器未生效,权威服务器已生效,表明域名解析刚添加不久,全球的递归服务器还没有完全同步,需要等域名配置的TTL值失效后再检测是否生效。如果TTL值过后,再次检测递归服务器仍然未生效,则可能是域名劫持或缓存投毒。如果递归和权威服务器都没有生效,则表明域名解析没有添加成功,需要检查情况并重新添加。
3.修改解析服务器未生效
如果是修改了解析服务器,则需要等一定的缓存时间,全球的DNS服务器才能同步生效。一般来说,变更了解析服务器,需要等48小时才能生效。在此期间,由于递归服务器的缓存时间不同,可能会出现有的DNS请求新服务器,有的会请求旧的服务器。所以这种情况下,要耐心等待,不得在此期间对DNS解析记录进行修改,以免影响正常的DNS解析。
…
DNS解析不生效的原因很多,但归根结底不外乎域名状态和解析设置这两种情况,所以我们在遇到解析不生效情况时,仔细检查这两种情况,然后逐一排查就能快速定位故障原因,并针对性进行应对。
3. NOD32检测到DNS 缓存投毒攻击 然后电脑卡死
愿我的答案 能够解决您的烦忧
1,您出现这种情况可能是中病毒或者后台程序过多引起的!
2,建议您清理系统垃圾!,如果您不会手动清理的话,建议您下载并打开腾讯电脑管家-----对电脑先进行一个体检,然后清理系统垃圾!
3,我看到您的追问想关闭软件 您可以打开腾讯电脑管家---工具箱---进程管理器---对不需要的软件进行禁止
4,建议您打开腾讯电脑管家---软件管家---卸载一些您经常不用的软件
如果您对我的答案不满意,可以继续追问或者提出宝贵意见,谢谢
4. ESET NOD32总是提示检测到DNS缓存投毒攻击怎么办
大家在用eset的时候经常会遇到eset提示DNS缓存投毒攻击!首先要了解一个问题:DNS缓存投毒攻击目前只要你装了杀软就不用在意他!但是eset老是提示很烦人怎么办呢!在这里我给大家分享一下解决方法。
方法/步骤:
第一步、打开ESET主界面,点击左侧设置。
第二步、点击最下方的进入高级设置
第三步、点击左侧的网络
第四步、点击IDS和高级选项
第五步、将攻击检测之后显示通知的选项去掉。然后确定,就OK了,以后它就不会再提示你了!
5. 域名DNS安全有哪些威胁
uery flood 通过不断的发DNS请求报文来耗尽目的DNS资源,形成拒绝服务。具体分类包括源IP是否随机以及目的域名是否随机等。
response flood 通过不断的发DNS响应报文来达到拒绝服务的目的。
udp floodv DNS底层协议为UDP,基于UDP的各种flood攻击也都会给DNS带来危害。
折射攻击(反射攻击) 伪造源IP为第三方,借助DNS的回包来达到DoS掉第三方的目的。属于“借刀杀人”的手段。
放大攻击 折射攻击的一种。通过恶意的构造响应报文来达到流量放大作用,从而对第三方形成带宽攻击。请求报文几十字节,响应报文几千字节,意味着可以形成百倍以上流量放大系数。
缓存投毒 每一台DNS都有缓存,缓存投毒指的是通过恶意手段污染DNS缓存,形成DNS劫持或者拒绝服务。
漏洞攻击 利用各种漏洞来达到入侵并控制DNS服务器目的。漏洞不仅仅指DNS程序本身的,也有可能是机器或者网络其它的“问题点”。
社会工程学手段 所有的系统都需要人的维护,而人永远是安全中最脆弱的一环。
6. 电脑DNS被劫持是怎么回事啊
电脑DNS被劫持会导致打开的网页与相应的网址不符并劫持到另一个网址。
DNS劫持又叫域名劫持,指攻击者利用其他攻击手段,篡改了某个域名的解析结果,使得指向该域名的IP变成了另一个IP,导致对相应网址的访问被劫持到另一个不可达的或者假冒的网址,从而实现非法窃取用户信息或者破坏正常网络服务的目的。
DNS(域名系统)的作用是把网络地址(域名,以一个字符串的形式)对应到真实的计算机能够识别的网络地址(IP地址),以便计算机能够进一步通信,传递网址和内容等。
由于域名劫持往往只能在特定的被劫持的网络范围内进行,所以在此范围外的域名服务器(DNS)能够返回正常的IP地址,高级用户可以在网络设置把DNS指向这些正常的域名服务器以实现对网址的正常访问。所以域名劫持通常相伴的措施——封锁正常DNS的IP。
(6)dns缓存投毒扩展阅读:
DNS被劫持的危害:
攻击者通常会通过两种方式实现DNS劫持,一种是直接攻击域名注册商或者域名站点获取控制域名的账户口令,这样可以修改域名对应的IP地址,另外一种方式是攻击权威名称服务器,直接修改区域文件内的资源记录。
对于企业和机构客户而言,遭遇DNS劫持是非常严重的问题,它会导致机构失去对域名的控制,一旦攻击实现,机构的站点将不能访问,或者用户可能会访问到伪造的站点。
当用户接入如支付宝,银行等合法站点时遭遇域名劫持,用户将面临个人账户和敏感信息泄露,财产损失等风险。
参考资料来源:网络-DNS劫持
7. ESET提示检测到dns缓存投毒攻击,这个周末解决别说些治标不治本的办法,NOD提示的时候不能联网。
不是治标不治本的方法,你不妨先了解一下域名服务器缓存污染也就是诺顿报的这个DNS缓存偷投毒攻击 参考:
http://zh.wikipedia.org/wiki/%E5%9F%9F%E5%90%8D%E6%9C%8D%E5%8A%A1%E5%99%A8%E7%BC%93%E5%AD%98%E6%B1%A1%E6%9F%93#.E5.8F.83.E8.80.83.E8.B3.87.E6.96.99
这个是诺顿特有的,是网络正常现象,完全不用担心。以前可能你已经屏蔽过了
攻击时正常的比如8.8.4.4是GOOGLE的 不妨你直接查下攻击的DNS是属于哪的
是网络服务器的事。不是你电脑的事。。不喜欢换个杀毒软件和防火墙吧。DNS攻击之后不是断网了,而是访问不到目的IP。不懂得话可以来卡饭论坛交流
希望能帮助到你
8. 请问大侠们,DNS劫持和DNS缓存投毒是一码事吗
一码事倒可以那么想
但是是不一样的
DNS缓存投毒是在DNS劫持前面做到的
DNS劫持是对一段网络范围的,DNS缓存投毒却是针对你的
DNS劫持是指在劫持的网络范围内拦截域名解析的请求,分析请求的域名,把审查范围以外的请求放行,否则返回假的IP地址或者什么都不做使请求失去响应,其效果就是对特定的网络不能反应或访问的是假网址。
DNS缓存投毒就是恶意程序修改你电脑上DNS缓存中的内容,一是让你不能正常上网
9. 什么是域名污染
“域名污染”又称“DNS污染”、“域名欺骗”、“域名缓存投毒”。“域名污染”简单说就是当电脑向域名服务器发送了“域名查询”的请求,然后域名服务器把回应发送给你的电脑,这之间是有一个时间差的。
如果某个攻击者能够在域名服务器的“DNS应答”还没有到达你的电脑之前,先伪造一个错误的“DNS应答”发给你电脑。那么你的电脑收到的就是错误的信息,并得到一个错误的IP地址。
(9)dns缓存投毒扩展阅读:
“域名污染”防除方法:
对付DNS劫持,只需要把系统的DNS设置手动切换为国外的DNS服务器的IP地址即可解决。
对于DNS污染,一般除了使用代理服务器和VPN之类的软件之外,并没有什么其它办法。但是利用我们对DNS污染的了解,还是可以做到不用代理服务器和VPN之类的软件就能解决DNS污染的问题。
从而在不使用代理服务器或VPN的情况下访问原本访问不了的一些网站。当然这无法解决所有问题,当一些无法访问的网站本身并不是由DNS污染问题导致的时候,还是需要使用代理服务器或VPN才能访问的。
DNS污染的数据包并不是在网络数据包经过的路由器上,而是在其旁路产生的。所以DNS污染并无法阻止正确的DNS解析结果返回。
但由于旁路产生的数据包发回的速度较国外DNS服务器发回的快,操作系统认为第一个收到的数据包就是返回结果,从而忽略其后收到的数据包,从而使得DNS污染得逞。
而某些国家的DNS污染在一段时期内的污染IP却是固定不变的,从而可以忽略返回结果是这些IP地址的数据包,直接解决DNS污染的问题。
参考资料来源:网络—DNS污染
10. 机子遭到DNS缓存投毒攻击,无法上网.如何解决
首先你在运行里输入arp
-a
清空缓存,然后输入ARP
-S
IP
MAC(IP为你的IP,MAC是网卡的物理地址)绑定IP,这样可以一定程序上防止攻击,然后按下面的步骤:
1、右键点击“网上邻居”,选择“属性”,然后双击“本地连接”(如果是拨号上网用户,选择“我的连接”图标),弹出“本地连接状态”对话框。
2、点击[属性]按钮,弹出“本地连接
属性”,选择“此连接使用下列项目”中的“Internet协议(TCP/IP)”,然后点击[属性]按钮。
3、在弹出的“Internet协议(TCP/IP)”对话框中点击[高级]按钮。在弹出的“高级TCP/IP
设置”中,选择“选项”标签,选中“TCP/IP筛选”,然后点击[属性]按钮。
4、在弹出的“TCP/IP筛选”对话框里选择“启用TCP/IP筛选”的复选框,然后把左边“TCP端口”上的“只允许”选上。
这样,您就可以来自己添加或删除您的TCP或UDP或IP的各种端口了。
添加或者删除完毕,重新启动机器以后,您的电脑被保护起来了。
这样是为了保护端口,我门平时用的电脑不需要开端口,几个常用的打开就行了,有一点必须说的就是,所有病毒攻击都是通过端口发关数据的,最好安装个防火墙,祝你好运朋友!