DNS是机器的重要组成部分,可以使Internet顺利进行。如果您将互联网视为高速公路,DNS是指向正确方向的流量的路标。
不幸的是,DNS是在互联网明显较小并且用户更加值得信赖的时代中构思的。因此,多年来发现了许多关于DNS的不同隐私问题。如果您担心您的在线匿名性,那么您了解他们如何与您与互联网的连接进行互动。
大多数VPN提供商声称他们的服务是在线隐私的完整灵丹妙药。然而,现实是,DNS经常在其匿名面纱中造成一个巨大的洞。我将介绍最大的DNS安全漏洞,如何确定最佳的VPN是否正在安全地实施DNS,以及VPN可以和不能防御的VPN。
你可能喜欢
如何检查您的VPN是否有效
耐心VPN的未来是否没有VPN?
“网络阻止永远不会成为解决方案”–Cloudflare猛烈抨击反海盗策略
什么是DNS?
在我进一步前进之前,这可能有助于解释DN的实际是什么。DNS(或域名系统)是一组分布式的服务器集,可集体包含Internet上每个网站的命名系统。
当您查找浏览器地址栏中的网站时,DNS是返回与该域关联的IP地址的系统,以便您的计算机可以开始与之通信。在基本层面上,您可以将其视为通讯录或电话号码查找。自然,DNS的工作方式实际上比这更复杂,但要记住这是一个有用的抽象。
您可以将DNS视为通讯簿或电话号码查找
供互联网使用数字IP地址的网络协议–它不是很友好。您可能可以在头顶命名一些不同的网站URL,但是想象一下,如果您想访问的每个网站,都需要您记住一个12位数字。这是一场噩梦,对吗?
这就是为什么DNS如此重要&ndash的原因;它将方便的URL转换为数字格式可以使用的数字格式,反之亦然。
获得每日洞察力,灵感和收件箱中的交易
报名报名,以获取新闻,评论,意见,顶尖的技术交易等等。与我联系我的新闻和其他品牌的新闻和要约,代表我们值得信赖的合作伙伴或赞助人,或赞助您同意您同意条款,条件和隐私政策的信息,并享年16岁。
例如,想象一下您运营着一个小型电子商务网站,并且您正在改用便宜的托管提供商。作为过程的一部分,您需要将站点移至新服务器上–并获得一个新的IP地址。没有DNS,您必须手动将所有客户通知您的IP地址现在已更改。使用DNS,就像更新您的DNS记录一样简单,将您的域名指向新的IP地址。这一切都无缝地发生,甚至没有客户甚至知道发生了变化。
DNS使Internet成为一个更具用户友好的地方,但是翻译此类域请求也有助于以更微妙的方式维护互联网。
DNS可以将您的请求动态路由到附近地理位置的服务器,以减少滞后,或者将请求发送到IPS池中最不受欢迎的服务器,以帮助负载平衡。DNS Geo-Location实际上是许多内容提供商执行版权限制的方式,这就是为什么一些VPN提供商提供智能DNS服务,该服务可以智能地路由您的请求以无需使用完整的VPN连接而无需使用完整的VPN连接。
DNS如何工作?
当您提出DNS请求时,会发生一系列检查。首先,您的操作系统将参考您的主机文件,以查看是否已经在计算机上已经存在相关的硬编码DNS记录。
通常,您会发现主机文件中至少有一个DNS记录:“ localhost”,该记录转换为本地环回地址127.0.0.1。这使您可以参考自己的计算机网络服务,而无需将它们实际上暴露于网络。您可以设置其他不希望计算机访问127.0.0.1的域,这将覆盖其他任何DNS查找。
当您提出DNS请求时,会发生一系列检查
如果记录不在主机文件中,则针对本地DNS缓存进行下一个检查。这是您最近要求并存储在操作系统中的DNS记录的列表。此缓存可阻止您发送网络流量,以请求您一直访问的网站的DNS记录,从而减少访问Internet所需的带宽。
如果可悲的是,您要求的域中不在DNS缓存中,您的请求也会转发到您连接到的DNS递归解析器服务器。
对于大多数Internet的居民来说,这将是由其ISP运行的DNS服务器之一,由DHCP通过其路由器分配。此设置有其隐私问题 - 但我稍后会涉足这些问题。如果记录在ISP&rsquo os dns缓存中没有,那么递归服务器是时候代表您查找它了。
域名分为几个“区域”,每个区域都由不同的服务器管理。ISP的DNS服务器将保留查询根名称服务器的记录。这些根服务器保留了DNS服务器维护的记录,该记录保持了最高域的记录,例如.com,.org,.org,.co.uk等。与单个域有关。
这是该服务器您的递归DNS服务器实际上查询以获取与域URL关联的确定答案。一旦得到答案,该记录就会传递回您的本地计算机。
DNS致力于信任。您相信递归DNS服务器可以返回一个真实的答案。您的递归DNS服务器信任它指向返回右TLD服务器的根服务器。那些TLD服务器相信每个权威域名名称服务器由具有正确的DNS记录的域所有者运行。不幸的是,使用DNS发起的各种攻击表明,这种方法从根本上存在缺陷。
DNS致力于信任
让我们与SSL进行比较和对比。当您使用最佳SSL连接到站点时,有一个中央权威指示您连接到期望连接到的站点,并且您的连接只能由网站所有者解密。
现在,使用SSL被认为是大多数网站的基本安全性。这只是好习惯。但是,对于DNS不能说同样的话。
在大多数网络配置中,DNS服务器以其词为单位。这背后的想法是,一旦访问实际网站并针对SSL证书进行验证,就可以验证DNS记录的有效性。这种方法正在发生变化,但是许多DNS服务器尚未采用DNSSEC来防止基于信任的攻击。
我将引导您进行一系列攻击,以证明DNS的脆弱性,以及为什么您选择可以防止它们的安全VPN所必需的。
DNS劫持
黑客不一定需要违反DNS服务器来造成巨大损坏。请记住,DNS实际上只是一系列IP指针和记录。如果您可以更改针对特定域名的名称服务器,则可以使用自己的DNS服务器,并控制从那里下游发生的一切。
这正是一群与伊朗相关的攻击者在2017年至2019年之间发起了为期两年的情报收集运动,这损害了中东和非洲的数百个领域。尽管用于损害每个DNS服务器的确切方法各不相同,但仅通过简单地窃取其中一些站点的域注册商的凭据来劫持其中一些方法,并将权威的名称服务器更改为攻击者拥有的权威名称服务器。
这使黑客可以将控制的每个站点的域记录指向一系列透明的代理,这些域名将捕获所有来回发送给该域的流量。他们甚至用证书机构自动发出的新证书代替了SSL证书,让我们加密,这使得网络犯罪分子可以在不提醒受害者的情况下取消他们捕获的任何流量。
像这样的DNS劫持最糟糕的部分是很难检测到它。没有侵入组织的实际网络,因此,除非有人审核DNS记录或注意到已更改的认证,否则很难发现。受损的DNS服务器也可能是高度选择性的,他们将错误的记录发送到哪些用户,从而使普通用户更难识别。
您可能会认为VPN的加密可能会阻止这些攻击–但事实并非如此。当您的数据达到VPN端点时,您的数据将被授权,从那时起,您的流量就是TLS,攻击者已经拥有钥匙。
如果您对VPN加密如何确保数字数据安全的细节感兴趣,请介绍我们的VPN如何工作的指南。
即使您使用的是VPN&rsquo的DNS服务器,它也会不会带来任何差异–权威服务器已被妥协,这将一直传播回您使用的任何DNS服务器&Hellip;除了,不是真的。
有一种屏蔽这次攻击的方法。还记得我们在谈论SSL的时候吗?好吧,您可以将相同的原理应用于DNS。输入DNSSEC。
DNSSEC应用了为SSL/TLS提供动力的相同的不对称密钥加密,并具有一个单个扭曲,可以强制执行在DNS分布的层次结构中渗入的信任网络。每个证书均由在分辨率链中上方存在的名称服务器签名,表明名称服务器在其上方的区域信任。
如果您的VPN提供商运行自己的DNS解析器(他们应该!),那么他们应该打开DNSSEC。但是,域所有者还需要使DNSSEC启用,以便从DNSSEC提供的密码执行的信任链中受益。
DNS拦截
DNS劫持具有非常怪异的含义,但DNS攻击也更靠近家。假设您在机场时使用了公共Wi-Fi访问点。坐在出发大厅的另一端是一个黑客监视该路由器上的所有流量。
DNS请求不会默认情况下加密,因此,在这种情况下,黑客可以将所有DNS请求分析到DNS服务器并捕获它们,并返回将您引导到他们选择的任何网站的DNS响应。
好消息是,高质量的VPN可以保护您免受DNS拦截的侵害
此攻击也不只是对HTTP的作用。它还可以允许攻击者将您提出的任何DNS请求重定向到任何支持Internet的服务,例如SSH,RDP等。
这甚至给SSL带来了一个问题,该问题应该可以防止窃听。具有监视和更改本地网络流量的攻击者可以进行SSL剥离攻击,从而阻止您通过将连接降低到HTTP来使用SSL来验证连接的内容。SSL剥离的复杂性超出了本文的范围;但这可以做到。
好消息是,优质VPN可以保护您免受此类攻击。只要您的VPN客户端严格强制执行DNS请求仅通过加密隧道提出,您本地网络上存在的黑客可以拦截您的DNS请求。
DNS中毒
攻击者不需要与您的网络处于同一网络上,以操纵您可以访问的DNS记录。高级攻击者还可以从事称为DNS中毒的练习,在那里他们通过远程发送虚假数据来操纵存储在DNS服务器上的记录。
攻击者可以使用多种方法来执行DNS缓存毒药攻击,但是攻击的一般形状是,他们利用特定DNS服务器如何远程毒化记录的怪癖。他们无法直接访问DNS服务器,就像DNS劫持攻击中一样。
为了解释DNS缓存中毒的工作原理,我们需要重新审视DNS如何再次起作用。DNS记录有两种口味:权威和非授权。
您的ISP DNS服务器返回非授权记录,因为它是递归DNS服务器。它不保留一个区域的规范DNS记录:它只是从其他地方捕获了记录。只有存储在区域所有者的DNS记录是权威的。
为了确保非授权记录在更新权威记录时不会导致连接永久失败,所有缓存的记录都具有“持续时间”。这是由权威区持有人设定的,范围从几秒钟到几周不等。一旦DNS记录概述了其TTL,就必须再次向权威区所有者要求它。
DNS请求使用UDP而不是TCP更快地提出请求
DNS请求还使用UDP而不是TCP来更快地制作DNS请求并减少开销。但是,这意味着DNS请求不涉及与DNS服务器建立连接。相反,您只需发送请求并等待回复即可。
在UDP上运行DNS的问题是,最快的正确答案是停留在缓存中的答案,直到TTL到期为止。如果黑客可以比权威区所有者的真实答案更快地获得对请求服务器的错误答案,那么由于已经缓存,真实的答案就简单地丢弃了。
为了在整个Internet上停止中间攻击,DNS服务器使用一个名为查询ID的字段来确保查询与收件人匹配。这样可以防止黑客仅向递归DNS服务器提出DNS请求,然后在Real DNS服务器有机会返回之前对错误结果进行垃圾邮件。
尽管这使得过程变得更加困难,但查询ID空间只有16位宽(约65,000个可能的值),这意味着,如果您反复向同一域提出请求,则可以在真实答案有机会返回之前猜测查询ID。
这听起来很糟糕,但是攻击的一个很大的限制是,您一次只能毒害单个领域的记录。您还只能在TTL到期和缓存新的权威响应之间猜测。鉴于TTL通常至少一天很长,您将等待几年才能获得幸运的单个域名。
但是,丹·卡明斯基(Dan Kaminsky)在2008年发表的研究表明,您不仅可以毒害DNS记录本身,而且还可以毒化DNS解析器的权威记录。
您可以将这次攻击的时间从数年减少到几秒钟
从本质上讲,这将使您能够托管一个区域的权威DNS服务器,并欺骗递归的ISP DNS服务器访问它,这意味着您现在可以控制该特定区域的所有DNS记录。通过垃圾邮件DNS请求在特定域中要求新的子域,该域将迫使DNS服务器重新要求授权指针,您可以减少从几年到几秒钟进行此攻击所花费的时间。
从这里开始,指导任何通过该中毒的DNS解析器向您的服务器而不是原始目的地要求域的任何人。
重要的是,这意味着您可以将请求重定向到任何子域。此攻击作用的原因之一是因为DNS记录是使用UDP上的特定端口发送的,该端口在请求之间不会改变。由于没有超出客户端ID号的交易检查,因此它是先到先得的。
这种攻击的一种解决方案是随机将UDP端口发送发送响应
对此攻击的一种解决方案是将UDP端口随机化发送响应,从而大大增加了在合法响应返回之前需要发送的可能组合数量。大多数DNS提供商都对服务器进行了更新以防止此攻击,但是缓存中毒的基本问题仍然存在。这很难做。
这次攻击表明,攻击者不一定需要拥有所讨论的DNS服务器来操纵DNS记录。因此,您使用的DNS解析器必须进行修补,以保持最新的新技术,以重新发明DNS缓存中毒技术。
另外,使用带有加密DNS服务器的VPN提供商意味着您将不必担心您的ISP&rsquo's DNS服务器很容易受到缓存攻击。
DNS反射
DNS服务器不仅用于进行恶意重定向;他们还滥用通过将发送到目标的流量乘以扩大现有的DDOS攻击。
传统的DDOS攻击涉及一个计算机网络,每个计算机都由Botmaster控制,他们的Internet连接将目标计算机泛滥,以剥夺数据包的目标,以否认与该计算机的其他连接。
在DDOS攻击方面,有两种主要策略:基于协议和基于体积的攻击。在基于协议的攻击中,攻击者试图通过连接尝试填充所有目标的连接插槽,而连接尝试将永远无法完成;通常通过发送TCP握手链的初始部分,然后忽略响应。握手响应时间需要一定时间,并且连接插槽再次变得自由,因此将所有这些绑定是防止服务器响应的有效方法。在基于体积的攻击中,这一切都是为了发送尽可能多的数据以防止资源忙碌或网络管道饱和。对于这些类型的攻击,UDP比TCP优先,这是DNS发挥作用的地方。DNS反射攻击大大减少了攻击者要发送的数据以执行DDOS攻击所需的数据量。
但是,在DNS反射攻击中,分辨率请求被发送到打开的DNS服务器错误配置,以接受开放Internet上任何计算机的响应。
这里的关键机制是,黑客可以在发送给这些开放服务器的数据包上伪造收件人的IP地址。因此,当对DNS请求的响应到达时,而不是被直接指向原始计算机,它是针对受害者的。
这意味着开放DNS服务器是一个严重的威胁,因为黑客很容易利用它们来发射强大的DDOS攻击,同时保持匿名。
即使是发送到递归DNS服务器的几个相对较小的数据包也会提示更大的响应。单个DNS记录并不是特别大,但是整个区域传输的数量级可能比原始DNS请求大。
涉及的服务器和计算机越多,潜在损坏就越大。
如果尚未缓存该请求,则将递归请求发送给更多DNS服务器,从而进一步放大了攻击的影响。这种类型的攻击的令人震惊的方面是其可伸缩性–涉及的服务器和计算机越多,潜在损坏就越大。
值得庆幸的是,VPN也保护了这些攻击,因为黑客只能在他们知道您的IP地址时DDOS。
当您使用VPN时,不仅伪装了家庭IP,而且VPN提供商可能已经投资于高功率DDOS保护。即使在不太可能被DDOS攻击离线撞倒的情况下,您需要做的就是重新连接到另一台VPN服务器,您将成为A-OK。
DNS重新装订
我今天将DNS漏洞的最终类型是DNS重新攻击。简而言之,它的目的是绕过现代互联网浏览器实施的相同原始政策。
该策略是Javascript的一种沙盒,确保来自特定网站的脚本只能访问与该网站相关的资源,例如其cookie。没有相同的原始策略,攻击者将能够使用恶意代码来读取其他网站的数据。
攻击者试图通过利用您的浏览器作为执行恶意Javascript的枢纽来利用这种保障,该点可以访问网站范围之外的资源。
在DNS重新启动攻击中,攻击者试图通过使用恶意的权威DNS服务器来控制他们控制的域,试图绕过这一策略。这意味着他们可以在任何给定时间更新与该域相关的DNS记录。
当您访问攻击者的域时,您的浏览器请求与攻击者控制的DNS服务器相关的IP地址。但是,返回的DNS请求的使用时间非常短,因此您可以访问该网站而不会在本地访问该站点。
与网站互动时,向该域提出了其他DNS请求。此时,攻击者更新了其受控DNS服务器中的DNS记录,以指向他们想要访问的资源,例如另一个包含恶意内容或家庭网络中内部资源的网站。这种操作使攻击者能够将浏览器的请求重定向到其所需的目的地,完全绕过同一原始策略。
攻击者更新了DNS记录后,他们可以将iframe嵌入网页中,直到攻击者试图访问的任何资源。
这次攻击可能对企业造成巨大破坏,因为它允许攻击者隧道经过公司防火墙。但是,对于普通的互联网用户也可能有害。
考虑一下:您如何访问路由器?几乎所有路由器都可以从网络上的本地IP访问Web门户网站。如果攻击者通过通过DNS重新启动攻击通过浏览器旋转您的浏览器来访问您的路由器的管理页面,则他们可以开始蛮横的路由器的登录凭证。
一旦进入,他们就可以提取有价值的信息。它不仅会为他们提供连接到网络的所有设备的列表,而且拥有路由器将允许攻击者将DNS设置更改为Rogue Server,强制执行黑名单或删除路由器级屏蔽到网站,甚至安装自定义固件,从而使攻击者完全控制您的Internet流量。
即使黑客无法进入您的路由器,大多数现代家用网络也容纳了无数的物联网设备,与主级路由器相比,它们通常更容易受到攻击。
不幸的是,在假设攻击者无法进入家庭网络以访问它们的情况下,物联网设备通常具有绝对最小的安全功能的最低限度。
浏览器通过称为域固定的机制屏蔽此类攻击。从本质上讲,一旦建立了浏览器会话,就可以固定该域的IP分辨率。即使DNS缓存受到损害,这也可以防止域的IP重新分配中期,从而有效地挫败了这种攻击。
如果VPN提供商可以检测重新攻击或使用DNSSEC,则VPN提供商还可以使您免受此类攻击的安全。
VPN和DNS泄漏
到现在为止,您应该对DNS服务器可以促进的一系列攻击有一个很好的了解。
VPN提供商在减少基于DNS的互联网攻击的盛行方面发挥了重要作用。虽然管理良好的VPN无法使您免受DNS攻击的每一个变种的安全,但可以访问由VPN提供商管理的严格池DNS解析器,从而大大减少了您遇到的潜在威胁的数量。
使用VPN来提高DNS安全性,还有另一个好处。到目前为止,攻击我迄今为止谈到了黑客试图渗透您的系统或拒绝您访问Internet。他们并不是唯一可以使用DNS恶意结束的人;您的ISP只需记录您的DNS请求并查看您要的域,就可以在Internet上监视您的活动。
您的ISP可以通过记录您的DNS请求来监视Internet上的活动
更糟糕的是,如果您的VPN未通过其加密连接发送DNS请求,则每次提出请求时都会暴露您的IP地址。
许多公共Wi-Fi点还使用自己的DNS服务器来启用数据收集以进行营销智能。即使您的VPN客户端使用加密的隧道来传输DNS请求,它可能不会始终如一地将其发送到VPN&rsquo os的DNS服务器,可能会将您的浏览活动曝光到公共Wi-Fi上设置的任何DNS服务器。
不幸的是,有很多VPN提供商不认真对待DNS泄漏。即使VPN提供商确实可以防止VPN泄漏,也不太可能提供自己的DNS服务器。
如果您正在寻找具有DNS保护的VPN,请考虑NORDVPN和ExpressVPN,因为它们都运行自己的私人加密DNS服务器。
这样可以最大程度地减少您与第三方链接的IP的可能性,并通过通过其服务器指导所有DNS请求来防止您的ISP监视您。
作为额外的奖励,由VPN管理的DNS服务维护黑名单,并积极地与已知的恶意软件分销商,网络钓鱼网站和广告网络保持联系。
随着VPN提供商在功能和质量方面变得越来越有竞争力,不同的因素正迅速成为“基础知识良好”。DNS是这些必需品之一。展望未来,VPN提供商必须对自己的,配备良好的DNS解析器进行投资,以保护用户免受基于DNS的攻击和监视的广泛世界。
