NS 如何被利用? 那么这个系统如何让用户变得脆弱? 下面, 我们就一起来看防御黑客常用 3 种 DNS 欺骗手法.
DNS 如何被利用? 那么这个系统如何让用户变得脆弱? 通常解析器会告诉每个 DNS 服务器你正在寻找哪个域名. 此请求有时会包含您的完整 IP 地址. 或者, 如果不是您的完整 IP 地址, 请求中通常会包含您的大部分 IP 地址, 这些 IP 地址可以轻松地与其他信息结合起来以找出您的身份.
以下是防御黑客常用 3 种 DNS 欺骗手法:
1. 避免不可靠的解析器
网络可以逃避提供不可靠的解决方案, 窃取您的数据或欺骗 DNS, 因为很少有用户知道风险或如何保护自己.
即使对于了解风险的用户, 个人用户也很难与他们的 ISP 或其他实体进行协商, 以确保他们的 DNS 数据得到负责任的处理.
寻找一个合适的解析器, 如果我们有一个可以信赖的解决方案来保护用户的隐私. 这意味着 Firefox 可以忽略网络提供的解析器. 安全研究人员表示, 有了这个可靠的解析器, 我们不必担心流氓解析器出售我们的用户数据或用欺骗性 DNS 欺骗我们的用户.
2. 通过 HTTPS 使用 DNS 防止路径上的窃听和篡改
虽然解析器不是唯一的威胁. 路径上路由器可以跟踪和欺骗 DNS, 因为他们可以看到 DNS 请求和响应的内容. 但是互联网已经有了确保路径上路由器不能像这样窃听的技术. 这是我之前提到的加密技术.
通过使用 HTTPS 交换 DNS 数据包, 我们确保没有人能够监视我们用户正在做出的 DNS 请求. 传输尽可能少的数据, 以保护用户免受匿名处理. 除了提供使用 DoH 协议进行通信的可信解析器之外, 寻找安全 DNS 服务商, 使其更安全.
通常情况下, 解析器会将整个域名发送给每个服务器 - 根 DNS,TLD 名称服务器, 二级名称服务器等. 好的 DNS 服务商. 它只会发送与当前正在与之通话的 DNS 服务器相关的部分. 这被称为 QNAME 最小化.
3. 删除域名中没用的解析
解析器通常也会在请求中包含您的 IP 地址的前 24 位. 这有助于 DNS 服务器知道您的位置, 并选择离您更近的 CDN. 但是这些信息可以被 DNS 服务器用来将不同的请求链接在一起.
一些稳定的 DNS 服务商, 是从用户附近的一个 IP 地址发出请求. 这提供了地理位置, 而无需将其绑定到特定用户. 除此之外, 他们正在研究如何以隐私敏感的方式实现更好, 形成非常细粒度的负载平衡.
这样做, 删除域名中不相关的部分并且不包括您的 IP 地址, 意味着 DNS 服务器所收集的关于您的数据要少得多, 从而更好保护你的隐私.
来源: http://netsecurity.51cto.com/art/201807/578524.htm