DNS重新绑定攻击(DNS Rebinding Attack)是一种计算机攻击,或者说是基于计算机域名的攻击。此种攻击的实现方式用户访问含有恶意脚本的web页面,导致用户计算上运行恶意脚本,从而影响用户计算机网络中的其它主机。
DNS重绑定攻击是通过受害计算机浏览器来控制该计算机,进而通过该受害主机影响其内部网络,并将重要信息反馈而攻击者。此类攻击多会通过受害主机散布垃圾邮件、进行分布式拒绝服务攻击以及其它恶意活动。
一些网络罪犯还会通过恶意广告来进行DNS重绑定攻击,从而获取用户内部网络的敏感信息。
DNS重新绑定是如何工作的
攻击者首先会注册一个域名(例如anydomain.com),并将该域名委托给受攻击者控制的DNS服务器来解析。此域名会被配置为一个非常小生存时间(Time To Live ——TTL)响应,从而可以阻止DNS缓存中正确值的响应。当有主机访问恶意域名时,攻击者的DNS服务器会首先将含有客户端恶意代码的服务器IP反馈给受害主机,当这些代码在受害主机运行后,就实现了攻击。
例如,攻击者可以将受害者的浏览器访问地址指引到含有恶意JavaScript脚本或者Flash脚本的网站,从而让这些代码有机会在受害者的计算机上执行。
恶意代码会在受害者计算机再次访问初始域名(例如attck.com),由于同源策略的原因,这些访问都被认为是安全的。然而,当用户浏览器再次发起DNS请求时,攻击者会以新的IP地址影响,例如用户内部网络的IP地址或是internet上的任意其它地址。
如何预防DNS重新绑定攻击
以下的一些方法可以有效的避免受到DNS重新绑定攻击:
- 用户路由器使用强密码
- 关闭用户路由器的外网访问权限
- 浏览器实现DNS锁定:即IP地址锁定为DNS响应的第一个值
- 此种方式可能会影响一些DDNS(动态域名)的合法使用,并且不能避免所有攻击。但是如果IP地址确实发生了改变,那么故障保护(停止解析)就显得十分重要,因为超过TTL时限的解析结果较受攻击者控制的DNS解析结果来的更加安全
- 过滤DNS解析结果中的内网IP地址
- 外网的DNS服务器解析结果同样使用内网地址过滤策略
- 系统管理员可以在内部网络部署本地域名服务器,将内网地址解析为内网主机,从而阻止内网地址被解析为外网服务的恶意解析结果。
- 在防火墙中配置DNS过滤策略
- Web服务器拒绝响应含有可疑主机头的HTTP请求
- 火狐浏览器的NoScript扩展可以提供部分防护