基本介紹
- 中文名:DNS重新綁定攻擊
- 外文名:DNS rebinding
簡介,DNS如何重新綁定的工作,保護,參見,
簡介
DNS重新綁定是計算機攻擊的一種形式。 在這種攻擊中,惡意網頁會導致訪問者運行客戶端腳本客戶端腳本,攻擊網路上其他地方的計算機。 從理論上講,同源策略可防止發生這種情況:客戶端腳本只能訪問為腳本提供服務的同一主機上的內容。 比較域名是實施此策略的重要部分,因此DNS重新綁定通過濫用域名系統(DNS)來繞過這種保護。
這種攻擊可以通過讓受害者的網路瀏覽器訪問專用IP位址的機器並將結果返回給攻擊者來破壞專用網路。 它也可以用於使用受害者機器傳送垃圾郵件,分散式拒絕服務攻擊或其他惡意活動。
DNS如何重新綁定的工作
攻擊者註冊一個域名(如attacker.com),並在攻擊者控制下將其代理給DNS伺服器。 伺服器配置為很短回響時間的TTL記錄,防止回響被快取。 當受害者瀏覽到惡意域時,攻擊者的DNS伺服器首先用託管惡意客戶端代碼的伺服器的IP位址作出回響。 例如,他們可以將受害者的瀏覽器指向包含旨在在受害者計算機上執行的惡意JavaScript或Flash腳本的網站。
惡意客戶端代碼會對原始域名(例如attacker.com)進行額外訪問。 這些都是由同源政策所允許的。 但是,當受害者的瀏覽器運行該腳本時,它會為該域創建一個新的DNS請求,並且攻擊者會使用新的IP位址進行回復。 例如,他們可以使用內部IP位址或網際網路上某個目標的IP位址進行回復。
保護
以下技術可以防止DNS重新綁定攻擊:
- Web瀏覽器可以實現DNS固定:IP位址被鎖定到第一個DNS回響中收到的值。 此技術可能會阻止動態DNS的某些合法使用,並且可能無法對付所有攻擊。 但是,如果IP位址確實發生變化,則安全失敗很重要(停止渲染)因為使用超過TTL過期的IP位址可能會在IP位址合法更改並且現在可以由攻擊者控制過期IP位址時打開相反的漏洞。
- 專用IP位址可以被過濾掉DNS回響。
- 具有此篩選的外部公共DNS伺服器 例如.OpenDNS.
- 本地系統管理員可以配置組織的本地名稱伺服器,以阻止將外部名稱解析為內部IP位址。 這具有允許攻擊者映射正在使用的內部地址範圍的缺點。
- 防火牆或守護進程中的DNS過濾 例如. dnswall.
Firefox NoScript擴展使用其ABE功能提供部分保護(對於專用網路),該功能可阻止從外部地址到本地地址的網頁流量。