DNS被攻擊怎麼辦？

很對人對DNS欺騙攻擊有一定的誤解，認為DNS欺騙攻擊就是黑別人的網站。其實不然，到底DNS欺騙攻擊是什麼？如何應對DNS欺騙攻擊呢？

DNS欺騙攻擊其實就是冒充域名伺服器，把用戶的查詢地址更換成攻擊者的IP地址，然後攻擊者將自己的主頁取代用戶的主頁，這樣訪問用戶主頁的時候只會顯示攻擊者的主頁，這就是DNS欺騙的原理。DNS欺騙並不是「黑掉」了用戶的主頁，而是替換成攻擊者的主頁，將用戶的主頁隱藏起來無法訪問而已。

DNS攻擊是很難防禦的，因為這種攻擊大多數本質都是被動的。

通常情況下，除非發生欺騙攻擊，否則不可能知道DNS已經被欺騙，只是打開的網頁與想要看到的網頁有所不同。在很多針對性的攻擊中，用戶都無法知道自己已經將網上銀行帳號信息輸入到錯誤的網址，直到接到銀行的電話告知其帳號已購買某某高價商品時用戶才會知道。這就是說，在抵禦這種類型攻擊方面還是有跡可循。

預防DNS攻擊有這幾種方法：保護內部設備、不要依賴DNS、使用DNSSEC。

1、保護內部設備

像這樣的攻擊大多數都是從網路內部執行攻擊的，如果網路設備很安全，那麼那些感染的主機就很難向你的設備發動欺騙攻擊。

2、不要依賴DNS

在高度敏感和安全的系統，通常不會在這些系統上瀏覽網頁，最後不要使用DNS。如果你有軟體依賴於主機名來運行，那麼可以在設備主機文件裏手動指定。

3、使用入侵檢測系統

只要正確部署和配置，使用入侵檢測系統就可以檢測出大部分形式的ARP緩存中毒攻擊和DNS欺騙攻擊。

4、使用DNSSEC

DNSSEC是替代DNS的更好選擇，它使用的是數字前面DNS記錄來確保查詢響應的有效性，DNSSEC還沒有廣泛運用，但是已被公認為是DNS的未來方向，也正是如此，美國國防部已經要求所有MIL和GOV域名都必須開始使用DNSSEC。

SSL證書是HTTP明文協議升級HTTPS加密協議的重要渠道，是網路安全傳輸的加密到通道。關於更多SSL證書的資訊，請關注GDCA（數安時代）。GDCA致力於網路信息安全，已通過WebTrust 的國際認證，是全球可信任的證書籤發機構。GDCA專業技術團隊將根據用戶具體情況為其提供最優的產品選擇建議，並針對不同的應用或伺服器要求提供專業對應的HTTPS解決方案。

文章轉載：https://www.trustauth.cn/wiki/18397.html

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！