本文转自:http://dnsdun001.blog.51cto.com/8867577/1431290

---------------------------------------------------------------------------

DNS是网络能够互联的基础,通过这个域名解析系统用户才能在包罗万象的互联网上轻易的找到自己想要的东西。但是一般用户所不知道的是,这个DNS系统经常被作为网络***的对象,在我们看不见的网络背后有着什么样的汹涌暗流呢?下面给大家介绍进行DNS***的常见六种方式。

 

方式一:利用DNS服务器进行DDOS***

 

DDNS***指借助于客户/服务器技术,将多个计算机联合起来作为***平台,对一个或多个目标发动DoS***,从而成倍地提高拒绝服务***的威力。这是目前最常见的DNS***,也是影响力最大的。据高防专家称,目前能够有效抵挡这种***的方式就是使用高防DNS进行防御。

 

方式二:DNS缓存感染 

 

***者使用DNS请求,将数据放入一个具有漏洞的的DNS服务器的缓存当中。这些缓存信息会在客户进行DNS访问时返回给用户,从而把用户客户对正常域名的访问引导到***者所设置挂马、钓鱼等页面上,或者通过伪造的邮件和其他的server服务获取用户口令信息,导致客户遭遇进一步的侵害。

 

方式三:DNS信息劫持

 

***者在DNS服务器之前将虚假的响应交给用户,从而欺骗客户端去访问恶意的网站。假设当提交给某个域名服务器的域名解析请求的数据包被截获,然后按截获者的意图将一个虚假的IP地址作为应答信息返回给请求者。这时,原始请求者就会把这个虚假的IP地址作为它所要请求的域名而进行连接,显然它被欺骗到了别处而根本连接不上自己想要连接的那个域名。

 

方式四:DNS重定向 

 

DNS重定向是指使所设置的域名不通过DNS服务器解析域名,直接访问域名对应的IP地址。***者如果将DNS名称查询重定向到恶意DNS服务器。那么被劫持域名的解析就完全至于***者的控制之下。

 

方式五:ARP欺骗

 

ARP***就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,***者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人***。

 

方式六:本机劫持

 

在计算机系统被***或流氓软件感染后可能会出现部分域名的访问异常,如访问挂马或者钓鱼站点、无法访问等情况,本机劫持有hosts文件篡改、本机DNS劫持、SPI链注入、BHO插件等方式,虽然并非都通过DNS环节完成,但都会造成无法按照用户意愿获得正确的地址或者内容的后果。

 

总之,DNS被***并不是什么新鲜事物,也并非无法预防,2006年百度被黑事件的发生再次揭示了全球DNS体系的脆弱性,并说明互联网厂商如果仅有针对自身信息系统的安全预案,就不足以快速应对全面而复杂的威胁。目前而言,对付这种DNS***真正有效的方法就是选择高防DNS作为自己网站的域名解析服务