域名解析网_从百度被攻击事件浅谈 DNS 攻击

昨天上午，百度（）被攻击，网上一片哗然。域名被DNS解析到错误的IP，导致访客打开的其实是另外一个网站。一般来说，黑客是如何通过DNS攻击网站的？

首先我们来简单了解一下互联网上顶级域名（如.com）的DNS工作原理：

对于每个客户端，我们都知道网卡需要设置一个“DNS服务器（DNS）”，这个DNS服务器一般是指定ISP（ ）的DNS服务器。ISP的DNS服务器肯定不会有全球所有域名的DNS条目。当它收到一个客户端的查询，而这个查询不在其本地缓存中，无法解析时，就会查询其“权威DNS服务器（Name）”。通过这种自下而上的递归查询，全局的所有请求最终都会由13台“根DNS服务器（Root Name）”来应答。

这13台根服务器由ICANN（域名和域名分配机构）等组织负责维护，授权全球域名服务商出售域名。任何组织或个人网站运营者从域名服务商处购买域名后，都会获得一个账户，该账户赋予他们修改自己域名在DNS服务器中的条目，指定其解析到特定IP地址的权利。

从上面的描述中，我们不难发现，只要我们能找到办法篡改DNS服务器中的数据，或者冒充DNS服务器，就会导致网站域名被导向错误的IP。这两种情况分别对应两种类型的DNS攻击：DNS篡改和DNS欺骗。

下面我们就来谈谈这两种方法。

请注意：

1、我们只介绍发生在网络和DNS服务器端的篡改和欺骗，至于客户端DNS解析错误（如恶意软件感染）等攻击性问题，不再讲解。

2、欺骗、重定向、劫持等术语很少用来表达同一含义，这里我们根据攻击对象、位置、特点等进行区分描述；

1. DNS 篡改（DNS 或 DNS ）

DNS篡改通常是指直接修改根服务器中的DNS条目。当然，这种篡改更有可能发生在域名注册商存储客户注册配置信息的服务器中，从而导致对应的域名在全球范围内解析错误。（在某些情况下，也可能只篡改中级DNS服务器，这样只有部分域名解析被劫持，只有部分地区受到影响。）

该攻击方式的特点如下：

2. DNS欺骗（DNS）

欺骗DNS的一种方式就是利用漏洞。去年上半年，DNS协议被发现存在一个严重的漏洞，攻击者可以通过欺骗下游服务器，让其相信某个假冒的服务器是其权威服务器。这样，攻击者通过在假冒的服务器中添加虚假的DNS信息，就可以欺骗下游服务器，最终欺骗客户端系统，这个漏洞在安全布丁的早期版本中已经得到解决：

在其他操作系统中也同样可以发现相应的漏洞。还有一种DNS欺骗的思路，利用其他的欺骗手段来达到DNS欺骗的目的。比如先在目标客户机或者DNS服务器的同一个LAN网段进行ARP欺骗，让被攻击的计算机向发起ARP攻击的主机进行DNS查询。但是这种攻击方式必须先侵入到与目标主机处于同一网段的另一台计算机，而互联网上的DNS服务器通常都在ISP的控制之下，想要侵入ISP网络并不容易。更不用说攻击根服务器的难度了。

DNS欺骗攻击的特点如下：

希望以上对于DNS攻击的简单介绍可以让大家有一个大概的了解。

歌曲

安全支持专家