攻防论道 | 浅谈DNS重绑定攻击:论道

DNS重绑定攻击是网络安全中不可避免的一个问题，在web访问中，用户每点击一个可疑的链接，DNS重绑定攻击除了利用存在DNS重绑定漏洞的应用外，还可能会控制网络中的其它互联设备论道。

同源策略(SOP Same origin policy)：同源是指“协议+域名+端口”三者相同，即便两个不同的域名指向同一个ip地址，也非同源论道。同源策略是一种约定，由Netscape公司1995年引入浏览器，它是浏览器最核心也最基本的安全功能，现在所有支持JavaScript的浏览器都会使用这个策略。如果缺少了同源策略，浏览器很容易受到XSS、 CSFR等攻击。

师父微信:  sanqingge8

师父微信：   sanqingge8

什么是DNS重绑定攻击论道？

讲DNS重绑定，为什么要先讲同源策略？这是因为DNS重绑定攻击利用了同源策略的漏洞，同源策略中同源是指“协议+域名+端口”三者相同，而不是“协议+IP+端口”论道。在网页浏览过程中，用户在地址栏中输入包含域名的网址。浏览器通过DNS服务器将域名解析为IP地址，然后向对应的IP地址请求资源。

对于域名所有者，他可以设置域名对应的IP地址论道。当用户第一次访问，解析域名获取一个IP地址；然后，域名持有者修改对应的IP地址；用户再次请求该域名，就会获取一个新的IP地址。对于浏览器来说，整个过程访问的都是同一域名，所以认为是安全的。这就是DNS Rebinding攻击。

通过DNS重绑定攻击可以绕过同源策略，攻击内网的其他设备论道。

攻击的主要条件：

1.攻击者可以确保或者控制用户请求的DNS服务器回复特定域名的查询，如hacker.com论道。

2.攻击者诱导用户在浏览器加载hacker.com的域名，可通过网络钓鱼、恶意程序来实现论道。

3. 攻击者控制hacker.com服务器域名对应的IP地址论道。

攻击流程

1.受害者点击hacker.com链接，浏览器发出DNS查询请求，查询hacker.com的IP地址论道。

展开全文

图一 受害者请求域名对应IP地址

2.攻击者控制的DNS服务器收到受害者的DNS请求时，会使用attacker.com的真实IP地址如114.1.1.2进行响应论道。它还将响应的TTL值设置得特别短，以便受害者的机器不会长时间缓存它。

图二 被控DNS服务器正常返回攻击域名IP

3.受害者的浏览器向攻击网站服务器发出请求包含恶意代码）。

图三 请求和响应

4.因为之前DNS TTL设置为的时间很短，缓存很快就失效，所以浏览器继续向恶意权威域名服务器发出查询论道。

图四 再次请求域名解析

5.此时，恶意DNS服务器收到查询后，回复一个内网设备的IP（也可以是一些物联网设备），如192.168.0.1论道。

图五 解析为一个内网的IP

6、因为满足同源策略，浏览器认为是安全的，于是向内网其他设备发送POST恶意请求论道。

图六 发送恶意请求

由聚铭网络自主研发的聚铭网络流量智能分析审计系统（iNFA）具有独特而强大的网络流量审计和分析功能论道。系统结合了失陷分析、威胁情报分析、异常行为分析、未知威胁分析、网络异常分析、域名异常分析、攻击威胁特征分析、隐蔽通道分析以及丰富的整体安全分析报告功能，能有效检测外部攻击、外连威胁、内部非法连接、网络会话模式异常等安全威胁，可对网络钓鱼攻击进行有效地检测防御，新版iNFA系统具备DNS重绑定攻击检测能力，能够进一步维护网络安全阵地。

系统综合利用各类机器学习算法，如NLP方式对钓鱼网站、钓鱼邮件等进行全方位的检测和分析，及时对用户发出安全告警，规避网络钓鱼攻击的进一步得逞与扩散论道。

聚铭网络流量智能分析审计系统是对传统安全防御系统的完善和补充，是企业提升安全防御水平的有力武器和必要工具论道。目前，该产品已广泛应用于电信、能源、医疗、教育、金融等多个行业，在众政企客户现场得到了良好运行，获得了客户的认可与肯定。

标签：论道