DNS欺骗的类型是什么？

Question

我在这里看到了一篇关于DNS欺骗有多种类型的帖子，它说："DNS欺骗指的是伪造DNS记录的广泛类型的攻击。DNS欺骗有许多不同的方式:危害DNS服务器、安装DNS缓存中毒攻击(例如针对易受攻击的服务器的Kaminsky攻击)、安装中间人攻击(如果您可以访问网络)、猜测序列号(可能会发出多个请求)、做一个虚假的基站并谎报DNS服务器的使用，而且可能还有更多。“

但是，当我谷歌‘类型DNS欺骗’，我没有得到有用的答案。

有人能向我解释一下这些不同类型的DNS欺骗以及它们是如何工作的吗？

Answer 1

有许多不同的方式来执行DNS欺骗：

损害DNS服务器

这个听起来很简单。如果攻击者控制的DNS服务器位于受害者正在使用的解析链中，则攻击者可以控制解析到的IP地址域。

最初的妥协是通过攻击者用来破坏服务器的任何正常方法--密码猜测、弱SSH密钥、重用凭据、漏洞、泄露的细节等等。一旦他们有了控制，他们就可以做他们喜欢做的事，包括DNS响应。

安装DNS缓存中毒攻击(例如针对易受攻击的服务器的Kaminsky攻击)

如果攻击者能够向服务器发送足够的响应以覆盖16位查询ID地址空间，则攻击者可以将受害者的DNS服务器缓存作为这些恶意响应之一。现在，每当受害者的机器查询主机名时，它将解析为攻击者的选择之一，而不是真正的域名。这通常是通过使用随机源端口来增加熵池来缓解的。

安装中间人攻击(如果您可以访问网络)

再说一遍，听起来很简单。如果可以拦截DNS响应，则可以更改数据流中的If。

猜一个序列号(可能会提出很多请求)

这本质上是Kaminsky攻击，尽管您可以直接针对受害者而不是受害者的DNS解析器执行它。

做一个虚假的基站，谎报要使用的DNS服务器，可能还有更多。

是真的。最后，DNS是一种网络服务，就像任何其他服务一样。它未经认证和未加密的特性意味着它是窃听和MitM攻击的游戏。

其他攻击向量可以包括将主机文件删除到受害者的计算机上，这是将其流量重定向到特定域的一种非常简单的方法。类似的一种攻击是badusb攻击，其中USB设备充当网卡，并直接向受害者的计算机提供流氓DNS设置。

Answer 2

我认为您在这个主题上使用了错误的关键字。这是针对DNS服务器的各种不同的攻击，其中之一就是DNS欺骗。

DNS安全威胁和缓解

由于域名系统的开放性、分布式设计及其对用户数据报协议(UDP)的使用，DNS容易受到各种形式的攻击。公共或“开放”递归DNS解析器尤其危险，因为它们不将传入的数据包限制在一组允许的源IP地址上。我们主要关注两种常见的攻击:欺骗攻击，导致DNS缓存中毒。各种类型的DNS欺骗和伪造攻击比比皆是，目的是将用户从合法网站重定向到恶意网站。这些攻击包括所谓的Kaminsky攻击，其中攻击者掌握了整个DNS区域的权威控制权.在这里输入预先格式化的文本，拒绝服务(DoS)攻击。攻击者可能对解析器本身发起DDoS攻击，或者劫持解析器以在其他系统上发起DoS攻击。使用DNS服务器通过利用较大DNS记录/响应大小对其他系统发起DoS攻击的攻击称为放大攻击。

继续在这里阅读：https://developers.google.com/speed/public-dns/docs/security#introduction_dns_安全性_威胁_和_缓解