加强DNS安全之——技术详解-茶余饭后-看雪-安全社区|安全招聘|kanxue.com

加强DNS安全之——技术详解

发表于: 2013-12-7 16:55 681

加强DNS安全之——技术详解

時光琉璃

2013-12-7 16:55

681

新闻链接：d8cK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4y4W2j5%4g2J5K9i4c8&6i4K6u0W2j5$3S2A6L8X3q4A6N6r3I4S2j5W2)9J5k6h3y4G2L8g2)9J5c8Y4N6D9j5i4q4Q4x3V1j5&6y4o6t1$3z5o6y4Q4x3X3g2Z5N6r3#2D9
新闻时间：2013-10-22 9:51:08
新闻正文： DNS是整个互联网的基础，无论是个人还是大小互联网公司，都可能因为DNS被恶意篡改而蒙受损失。恶意DNS的影响太大，除了对安全造成巨大隐患还会降低用户访问网络资源的速度，因而连一向忍耐力超强的电信运营商都无法容忍伸向DNS的黑手，第一次因此而大范围启用了BGP牵引。

　　BGP牵引的实质为电信运营商广播出长掩码高优先级路由，表现为直接夺取黑客的公网IP地址，无论黑客的设备躲在全球任何角落都奏效(对付固定IP做恶的能力，如果将安全厂商的软件比作常规武器，电信运营商的BGP牵引就如同核武)，但BGP牵引这招的威力过大、搞不好容易产生后遗症，因而仅能在自身的网络范围内谨慎使用。

　　黑客利用大部分人不修改家用宽带路由器默认用户名密码这一疏忽，引诱人们去浏览其控制的WEB网页从而修改了几百万个家用宽带路由器的DNS，靠DHCP协议从家用宽带路由器自动获取DNS的PC及通过WiFi上网的手机，长期使用黑客的DNS，没有任何网络安全可言，如下图所示：

　　114DNS为电信运营商搭建了专门的BGP-DNS系统，该BGP-DNS系统可直接向电信骨干路由器注入32位掩码的高优先级BGP路由，电信运营商核心路由器接受该BGP路由并在自身的网络内进行受限广播。例如某恶意DNS的IP地址为某国IP_A，BGP-DNS广播出IP_A的32位掩码BGP路由之后，原本流向恶意DNS的流量被将会被BGP-DNS“吸过去”，在阿里、百度、腾讯等公司的授权下，BGP-DNS系统将访问量较大的网页主机名如895K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4c8S2L8$3u0S2L8#2)9J5k6h3y4G2L8g2!0q4x3#2)9^5x3q4)9^5x3i4N6%4N6#2)9J5k6i4c8E0j5h3I4D9i4K6u0W2j5$3!0E0i4@1f1K6i4K6R3H3i4K6R3I4N6%4N6%4i4K6u0W2j5X3q4A6k6s2g2Q4x3X3g2U0L8$3#2Q4c8e0y4Q4z5o6m8Q4z5o6q4#2M7$3g2J5i4K6u0W2M7i4A6G2L8X3g2Q4x3X3g2I4M7g2)9J5k6h3y4G2L8b7`.`. 解析成特别的IP地址，阿里、百度、腾讯各自为此架设了专门的警示WEB服务器。

　　DNS被恶意篡改过的用户，例如DNS被篡改为IP_A的用户去访问f8bK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4c8S2L8$3u0S2L8#2)9J5k6h3y4G2L8g2!0q4y4W2)9&6y4#2!0n7y4W2!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4W2)9&6y4#2!0m8x3q4!0q4y4W2!0n7x3#2)9&6y4g2!0q4y4g2)9^5y4W2)9^5c8q4!0q4y4#2)9&6b7#2)9^5b7W2!0q4y4g2)9^5z5q4!0n7x3q4!0q4y4W2!0n7y4#2)9&6z5q4!0q4y4g2!0m8c8g2)9&6c8q4!0q4y4#2)9&6b7g2)9^5y4q4!0q4y4W2!0m8c8q4!0m8x3#2!0q4y4g2!0n7z5q4!0n7z5q4!0q4y4#2!0n7c8q4)9&6x3g2!0q4z5g2!0m8x3g2!0n7y4g2!0q4x3#2)9^5x3q4)9^5x3g2!0q4y4g2)9^5c8q4!0n7y4q4!0q4y4#2)9&6b7#2)9^5b7W2!0q4y4g2)9^5z5q4!0n7x3q4!0q4y4q4!0n7b7g2)9^5y4W2!0q4y4W2!0n7y4#2)9&6z5q4!0q4y4g2!0m8c8g2)9&6c8q4!0q4y4#2)9&6b7g2)9^5y4q4!0q4z5q4!0m8c8q4!0m8y4W2!0q4y4#2!0m8y4q4!0n7b7g2!0q4y4#2!0n7c8q4)9&6x3g2!0q4z5g2!0m8x3g2!0n7y4g2!0q4y4g2!0m8y4W2)9^5x3W2!0q4y4q4!0n7z5q4)9^5b7W2!0q4y4g2)9&6b7W2!0n7c8g2!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4#2)9&6y4q4!0m8z5q4!0q4y4W2)9^5z5q4!0n7y4#2!0q4y4g2)9^5c8W2!0m8c8W2!0q4y4W2)9^5b7#2)9^5z5g2!0q4z5q4!0m8c8q4!0m8y4W2!0q4y4#2!0m8y4q4!0n7b7g2!0q4z5g2!0m8x3g2!0n7y4g2!0q4z5g2)9&6c8q4!0m8x3W2!0q4y4#2)9&6b7g2)9^5y4q4!0q4y4g2!0n7b7#2)9&6y4g2!0q4y4g2!0m8c8W2!0n7b7#2!0q4y4q4!0n7c8W2!0m8c8g2!0q4y4g2!0m8y4q4)9^5c8q4!0q4y4g2)9^5y4g2!0n7y4W2!0q4y4g2!0m8c8g2!0n7y4W2!0q4y4#2)9&6y4q4!0m8z5q4!0q4y4g2!0m8c8g2!0n7c8q4!0q4y4g2!0n7z5q4!0m8y4W2!0q4z5q4!0n7y4#2!0m8c8W2!0q4y4#2)9&6y4q4!0n7x3g2!0q4y4g2)9&6z5g2!0m8z5q4!0q4y4#2)9&6b7g2)9^5y4p5c8z5f1#2!0q4x3#2)9^5x3q4)9^5x3W2!0q4y4#2)9&6b7W2!0m8c8g2!0q4y4g2)9^5z5g2)9^5c8q4!0q4c8W2!0n7b7#2)9^5b7@1c8z5f1#2!0q4z5q4!0m8x3W2!0m8b7W2!0q4y4W2)9^5x3g2!0n7y4W2!0q4y4W2)9^5y4q4)9^5c8W2!0q4y4#2!0m8c8W2!0m8x3g2!0q4y4W2)9&6y4q4!0n7z5g2!0q4z5q4!0n7c8W2)9^5y4#2!0q4y4#2)9&6b7g2)9^5y4q4!0q4y4g2!0m8y4q4!0m8y4#2!0q4z5g2)9^5x3#2!0m8z5q4!0q4y4g2)9^5z5q4)9^5y4W2!0q4y4q4!0n7z5q4!0m8c8q4!0q4y4g2)9&6b7W2!0n7c8q4!0q4y4#2)9&6y4q4!0n7y4g2!0q4y4q4!0n7c8W2!0m8x3g2!0q4y4#2)9&6y4q4!0m8z5q4!0q4y4W2)9^5z5q4!0n7y4#2!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4g2)9^5c8W2!0m8b7g2!0q4y4W2)9&6b7#2)9^5z5g2!0q4y4q4!0n7c8W2!0m8c8g2!0q4y4g2!0m8y4q4)9^5c8q4!0q4y4g2)9^5y4g2!0n7y4W2!0q4z5q4!0n7y4#2!0m8c8W2!0q4y4#2)9&6y4q4!0n7x3g2!0q4y4g2)9&6z5g2!0m8z5q4!0q4y4#2)9&6b7g2)9^5y4p5c8z5f1#2!0q4y4g2!0n7z5g2!0n7y4W2!0q4z5g2)9^5y4#2)9^5c8q4!0q4y4g2)9&6x3q4!0m8c8W2m8o6i4@1f1@1i4@1t1&6i4K6S2n7i4@1f1#2i4K6V1H3i4K6S2q4i4@1g2r3i4@1u0o6i4K6S2o6i4@1f1$3i4K6R3&6i4K6S2p5i4@1f1^5i4K6R3K6i4@1u0p5i4@1f1#2i4K6S2q4i4@1u0n7i4@1f1$3i4@1t1%4i4K6V1^5i4@1f1#2i4@1q4q4i4K6W2p5i4@1f1^5i4@1t1@1i4@1q4p5i4@1f1%4i4K6R3&6i4@1p5&6i4@1g2r3i4@1u0o6i4K6S2o6i4@1f1^5i4@1u0r3i4@1q4n7i4@1f1@1i4@1u0p5i4@1u0r3i4@1f1%4i4K6V1@1i4@1p5^5i4@1f1$3i4K6R3^5i4@1t1%4i4@1f1$3i4K6S2r3i4K6V1H3i4@1f1#2i4K6S2p5i4K6R3%4i4@1f1%4i4@1u0p5i4K6V1I4i4@1f1%4i4@1u0n7i4K6W2o6i4@1f1#2i4@1q4q4i4K6R3&6i4@1f1#2i4K6R3#2i4@1p5^5i4@1g2r3i4@1u0o6i4K6S2o6i4@1f1#2i4K6V1H3i4K6S2o6i4@1f1$3i4K6V1%4i4@1t1$3i4@1f1@1i4@1t1&6i4K6W2r3i4@1f1$3i4K6V1@1i4@1t1&6i4@1f1#2i4K6V1$3i4K6R3@1i4@1f1%4i4K6V1@1i4@1p5^5i4@1f1$3i4K6R3^5i4@1t1%4i4@1f1^5i4@1q4q4i4@1u0r3i4@1f1&6i4K6V1%4i4@1q4q4i4@1f1%4i4@1u0p5i4K6V1I4i4@1f1%4i4@1u0n7i4K6W2o6i4@1f1^5i4@1t1#2i4K6R3@1i4@1f1$3i4@1u0m8i4K6V1H3i4@1f1%4i4K6W2m8i4K6R3@1i4@1f1&6i4K6R3H3i4K6W2r3i4@1f1#2i4@1u0m8i4@1p5$3i4K6t1^5i4@1f1#2i4K6W2n7i4@1p5H3i4@1f1$3i4K6R3I4i4@1t1$3i4@1f1$3i4K6R3@1i4K6S2r3c8p5&6e0i4@1f1#2i4@1q4r3i4@1t1&6b7@1c8z5i4@1f1@1i4@1t1&6i4K6W2r3i4@1f1#2i4@1u0q4i4K6R3^5i4@1f1@1i4@1t1^5i4K6S2p5i4@1f1#2i4K6S2r3i4K6S2n7i4@1f1#2i4@1p5#2i4@1u0p5i4K6t1&6i4@1f1K6i4K6R3H3i4K6R3J5

　　为避免DNS再次被黑客篡改，一定要修改家用宽带路由器的默认用户名和密码，否则就算现在修复了，DNS还是很可能再次被黑客篡改

　　建议DNS还没有被篡改的人，抓紧时间去修改家用宽带路由器的默认用户名和密码。从目前电信运营商的BGP-DNS流量来看，晚高峰黑客曾承载高达每秒10万次的DNS请求，这个量太大了，希望大家谨慎。

　　114DNS公布此技术细节，主要目的有二，(1)满足技术人员的探索需求，同时消除部分人对腾讯百度阿里、特别是对电信运营商本次DNS整治工作积极行为的误解;(2)断绝黑客大规模篡改DNS的念想：电信运营商BGP-DNS上的几条命令就可将黑客苦心经营的DNS一锅端。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#资讯

收藏・0

免费・0

支持