簡單來說就是冒充域名服務器對申請域名服務的客戶端給出假冒的IP地址,從而誘使其訪問假冒的網址的行為。域名欺騙是安全漏洞的一種非常常見的形式,其中,網絡犯罪分子試圖偽造公司的商業電子郵件域,以偽造發件人的地址來進行一系列惡意活動。攻擊者在發送的電子郵件中創建可信的“發件人”字段,以增加其看起來合法并因此被收件人打開的機會。
預防DNS型欺騙攻擊的方法有以下這些:
使用較新的DNS軟件,因為其中有些可以支持控制訪問方式記錄DNS信息,域名解析服務器只對那些合法的請求做出響應。內部的請求可以不受限制地訪問區域信息,外部的請求僅能訪問那些公開的信息。
直接用IP訪問重要的服務,這樣至少可以避開DNS欺騙攻擊,但需要記住自己要訪問的IP地址。
正確配置區域傳輸。即只允許相互信任的DNS服務器之間才允許傳輸解析數據。
配合使用防火墻。使用防火墻可使得DNS服務器位于防火墻的保護之內,只開放相應的服務端口和協議。
保護DNS服務器所存儲的信息。部分注冊信息的登錄方式仍然采用一些比較過時的方法,如采用電子郵件的方式就可以升級DNS注冊信息,這些過時的方法需要添加安全措施,如采用加密的口令,或者采用安全的瀏覽器平臺工具來提供管理域代碼記錄的方式。
系統管理員也可以采用分離DNS的方式,內部的系統與外部系統分別訪問不同的DNS系統,外部的計算機僅能訪問公共的記錄。
回答所涉及的環境:聯想天逸510S、Windows 10。
簡單來說就是冒充域名服務器對申請域名服務的客戶端給出假冒的IP地址,從而誘使其訪問假冒的網址的行為。域名欺騙是安全漏洞的一種非常常見的形式,其中,網絡犯罪分子試圖偽造公司的商業電子郵件域,以偽造發件人的地址來進行一系列惡意活動。攻擊者在發送的電子郵件中創建可信的“發件人”字段,以增加其看起來合法并因此被收件人打開的機會。
預防DNS型欺騙攻擊的方法有以下這些:
使用較新的DNS軟件,因為其中有些可以支持控制訪問方式記錄DNS信息,域名解析服務器只對那些合法的請求做出響應。內部的請求可以不受限制地訪問區域信息,外部的請求僅能訪問那些公開的信息。
直接用IP訪問重要的服務,這樣至少可以避開DNS欺騙攻擊,但需要記住自己要訪問的IP地址。
正確配置區域傳輸。即只允許相互信任的DNS服務器之間才允許傳輸解析數據。
配合使用防火墻。使用防火墻可使得DNS服務器位于防火墻的保護之內,只開放相應的服務端口和協議。
保護DNS服務器所存儲的信息。部分注冊信息的登錄方式仍然采用一些比較過時的方法,如采用電子郵件的方式就可以升級DNS注冊信息,這些過時的方法需要添加安全措施,如采用加密的口令,或者采用安全的瀏覽器平臺工具來提供管理域代碼記錄的方式。
系統管理員也可以采用分離DNS的方式,內部的系統與外部系統分別訪問不同的DNS系統,外部的計算機僅能訪問公共的記錄。
回答所涉及的環境:聯想天逸510S、Windows 10。