2个回答
展开全部
DNS攻击是很难防御的,因为这种攻击大多数本质都是被动的。
通常情况下,除非发生欺骗攻击,否则不可能知道DNS已经被欺骗,只是打开的网页与想要看到的网页有所不同。在很多针对性的攻击中,用户都无法知道自己已经将网上银行帐号信息输入到错误的网址,直到接到银行的电话告知其帐号已购买某某高价商品时用户才会知道。这就是说,在抵御这种类型攻击方面还是有迹可循。
预防DNS攻击有这几种方法:保护内部设备、不要依赖DNS、使用DNSSEC
1、保护内部设备:
像这样的攻击大多数都是从网络内部执行攻击的,如果网络设备很安全,那么那些感染的主机就很难向你的设备发动欺骗攻击。
2、不要依赖DNS:
在高度敏感和安全的系统,通常不会在这些系统上浏览网页,最后不要使用DNS。如果你有软件依赖于主机名来运行,那么可以在设备主机文件里手动指定。
3、使用入侵检测系统:
只要正确部署和配置,使用入侵检测系统就可以检测出大部分形式的ARP缓存中毒攻击和DNS欺骗攻击。
4、使用DNSSEC:
DNSSEC是替代DNS的更好选择,它使用的是数字前面DNS记录来确保查询响应的有效性,DNSSEC还没有广泛运用,但是已被公认为是DNS的未来方向,也正是如此,美国国防部已经要求所有MIL和GOV域名都必须开始使用DNSSEC。
通常情况下,除非发生欺骗攻击,否则不可能知道DNS已经被欺骗,只是打开的网页与想要看到的网页有所不同。在很多针对性的攻击中,用户都无法知道自己已经将网上银行帐号信息输入到错误的网址,直到接到银行的电话告知其帐号已购买某某高价商品时用户才会知道。这就是说,在抵御这种类型攻击方面还是有迹可循。
预防DNS攻击有这几种方法:保护内部设备、不要依赖DNS、使用DNSSEC
1、保护内部设备:
像这样的攻击大多数都是从网络内部执行攻击的,如果网络设备很安全,那么那些感染的主机就很难向你的设备发动欺骗攻击。
2、不要依赖DNS:
在高度敏感和安全的系统,通常不会在这些系统上浏览网页,最后不要使用DNS。如果你有软件依赖于主机名来运行,那么可以在设备主机文件里手动指定。
3、使用入侵检测系统:
只要正确部署和配置,使用入侵检测系统就可以检测出大部分形式的ARP缓存中毒攻击和DNS欺骗攻击。
4、使用DNSSEC:
DNSSEC是替代DNS的更好选择,它使用的是数字前面DNS记录来确保查询响应的有效性,DNSSEC还没有广泛运用,但是已被公认为是DNS的未来方向,也正是如此,美国国防部已经要求所有MIL和GOV域名都必须开始使用DNSSEC。
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询