xbox最好用的dns（xbox最好用的手柄）〔xbox 好用的dns〕

我们已经相识 过DDoS攻防的原理 ，探究 过最常见的DNS Request Flood攻击和DNS Reply Flood攻击。本日 华安给大伙说说缓存投毒 。

　　DDoS攻击者的“恶作剧”

Lizard Squad，可算是近来 两年最活泼 的黑客构造 之一了。这个自诩为“DDoS攻击之王 ”的黑客构造 在已往 一段时间里，但是 没少干坏事。2014年的圣诞节 ，Lizard Squad乐成 “调戏”了IT巨头微软和索尼，攻陷了PlayStation Network和Xbox在线服务，影响了环球 数亿用户上网 。

2015年2月 ，Lizard Squad又“调戏”了一把越南Google。越南网民在访问Google主页的时间 ，看到的不是Google搜刮 页面，而是一个夫君 的自照相 。

根据Google的DNS服务商OpenDNS所述 ，这名自称Lizard Squad成员的黑客通过将Google的域名服务器(ns1.google.com, ns2.google.com)修改成CloudFlare的IP(173.245.59.108, 173.245.58.166)来重定向访客 。

不外 Google受攻击可不止这一次，2015年4月，马来西亚的Google也遭受了黑客攻击。这次攻击和越南那次攻击如出一辙，差别 的是 ，这次网民访问主页时，看到的不是自照相 ，而是下面这个黑底红字的页面。

这些变乱 的发生 ，着实 都是由于黑客窜改 了域名和IP地点 的映射关系，将用户访问的域名指向了其他IP地点 。DNS窜改 大概 发生在各个环节，比如 在客户端侧窜改 、在授权服务器端窜改 ，大概 在缓存服务器端窜改 。本日 我们就来聊聊比力 常见的几种窜改 方式。

　　路由器DNS挟制

黑客利用 路由器的弊端 入侵受害者的路由器，窜改 路由器中设置的DNS服务器的地点 ，将DNS服务器地点 指向恶意的DNS服务器。这种窜改 对于一个用户来说是最可骇 的 ，一旦发生了这种环境 ，那么这个用户访问的每一个域名，大概 都会被分析 成其他恶意地点 。

之前的TP-Link路由器的挟制 变乱 ，就是黑客构造了一个恶意Web页面，页面的功能是主动 登录路由器并修改DNS地点 。然后，黑客再构造一个URL发送给受害者，当受害者点击这个链接的时间 就访问了恶意页面。攻击要想乐成 的条件 是黑客必须知道TP-link路由器的登录账号和暗码 ，才华 完成恶意Web页面的构造 。实际 上，大多数人都会利用 TP-link路由器厂商预置的默认暗码 ，以是 这就给了黑客实行 攻击的机遇 ，导致路由器的DNS服务器的IP地点 更改为恶意的IP地点 。

　　▲ 毒了你的路由器，让你上网云里雾里

这种挟制 方式不轻易 被发现，受害者只要输入真实域名大概 合法 网站地点 ，黑客就可将其重定向到一个垂纶 网站上。一旦发生了这种环境 ，那么对于受害者来说结果 黑白 常可骇 的 。受害者访问的每一个域名，大概 都是假的。他看到的淘宝不再是淘宝 ，登录的网银也不再是网银，用户的各种敏感信息都会受到严峻 威胁。

对于这种方式，最有效 的防御办法就是路由器设置安全系数高的暗码 ，然后定期修改暗码 。别的 ，对于不明链接，也不要任意 点击。

　　修改授权服务器

直接在授权服务器上修改域名和IP地点 的映射关系，这是最直接 ，最暴力的一种方式。这种方式假如 作为攻击的本领 的话，必要 黑客通过特别 本领 获取授权服务器的管理员权限，难度系数着实 黑白 常大的 。

固然 ，也有另一种大概 ，就是出于某种特别 目标 ，管理员直接修改授权服务器上的域名和IP地点 映射关系 ，这种范例 比力 少见，也不是我们能控制的，这里就不做具体 先容 。

　　修改缓存服务器

这就是常见的DNS缓存投毒 ，是一种典范 的DNS攻击，也是我们本日 要讲授 的重点。下面我们就一起来看一下黑客怎样 窜改 缓存服务器。

　　▲ DNS缓存服务器：“就如许 被你投毒 ”

前面我们也讲过，缓存服务器并不知道域名和IP地点 的映射关系 ，一旦从授权服务器获取了映射关系后，会存储在内存中一段时间，直到记录 老化 。老化时间由DNS reply报文中的TTL决定。在这个有效 期内假如 再有客户端哀求 这个雷同 域名的分析 ，缓存服务器就会直接用缓存中的IP地点 举行 回应。老化以后 ，假如 有客户端再次哀求 这个域名时，缓存服务器就会重新向授权服务器哀求 。

缓存投毒攻击就是黑客伪造了恶意的DNS reply报文，导致缓存服务器偶然 中将恶意的域名和IP地点 映射关系存储到本身 的缓存中。当客户端再通过缓存服务器哀求 这个域名分析 时 ，就会被指向恶意主机。

为了到达 攻击的目标 ，黑客伪造的DNS reply报文的源IP地点 必须是授权服务器的源IP地点 ；目标 端口也必须是缓存服务器的源端口；同时DNS reply报文的Query ID和DNS request报文的Query ID也要同等 。

源IP地点 和目标 端口都很好伪造，但是Query ID伪造乐成 是有肯定 难度的。以是 黑客伪造大量DNS reply报文时 ，会不绝 变更 Query ID字段。大概 就会有一个Query ID字段掷中 DNS request的Query ID 。一旦先于授权服务器发送给缓存服务器，缓存服务器就会将黑客发送的伪分析 IP地点 作为分析 地点 ，生存 到本地 的缓存表中。

后续当授权服务器再将真正的回应报文发送到缓存服务器时 ，缓存服务器也不会吸取 ，直接扬弃 。

在DNS缓存服务器中，假如 仅仅gh1.ddos.com的分析 地点 是假的 ，这个着实 也没有多大影响 。毕竟 黑客利用 投毒的这个子域名gh1.ddos.com通常都是不存在的，正常客户端也不会哀求 这个不存在的子域名。

但是我们再细致 看一下下面这个DNS reply报文就会发现，蓝框内是对子域名gh1.ddos.com的分析 地点 ，而红框内则是主域名ddos.com地点 的DNS授权服务器和IP地点 的对应关系。授权服务器在答复 缓存服务器哀求 时 ，也会将这部分 内容一起发送已往 。而缓存服务器不但 仅存储子域名的分析 地点 ，还会将主域名的分析 地点 一并更新到本身 的缓存列表中 。

如许 后续再有客户端哀求 这个主域名时，也会一并被指向卖弄 的IP地点 。

对于缓存投毒 ，Anti-DDoS体系 采取 会话查抄 模式举行 防御。在防御过程中，查抄 DNS reply报文的会话五元组信息（源IP地点 、目标 IP地点 、源端标语 、目标 端标语 、协议），Query ID和域名是否和缓存服务器发出的DNS request报文同等 。

　　▲ Anti-DDoS匹配会话信息 ，投毒报文被拒之门外

好啦，到本日 为止，我们基于DNS类攻击和防御的连载告一段落了。从DNS报文底子 到DNS类攻防原理 ，再到网络中怎样 利用 DNS底子 办法 架构制造DDoS攻击，各人 是不是有了一个全新的认识 ？

　　点击“阅读原文”，解密缓存投毒！