網絡世界不斷進化發展，網絡犯罪手段也日新月異。DNS污染攻擊就是我們可能未足夠重視的威脅之一。

網絡犯罪的增長對全世界的企業都產生了影響，各公司每年耗費數百萬美元用于預防網絡攻擊。但是，仍有68%的業務主管感到網絡安全風險只增不減。因此，全面了解網絡犯罪和知曉如何加以預防就尤為重要了。

本文著重講述名為DNS污染的網絡犯罪方法，討論該如何保護自己的設備免遭此類攻擊。

DNS污染是什么?

DNS污染攻擊亦稱DNS假冒攻擊，黑客通過DNS污染來模仿另一臺設備、客戶端或用戶。這種偽裝方法使黑客很容易從任何設備竊取信息或中斷互聯網流量。

在DNS污染攻擊中，黑客把域名系統(DNS)更改為“偽造的”DNS，將訪問網站的用戶重定向到完全不一樣的站點。由于虛假站點通常長得跟合法站點很像，用戶往往對此毫無察覺。

DNS污染的機制

域名系統(DNS)是用于聯網計算機、服務或任意資源的層次化命名系統。網絡名稱按域組織，方便在聯網系統叢林中清晰尋徑。

DNS層級通常長這樣：

根域名 -> 頂級域名(TLD，例如.com或.org) -> 域名(如blogspot.com) -> IP地址。

在瀏覽器中鍵入URL并回車時，互聯網上的DNS服務器會將該網站的名稱轉換為IP地址，計算機靠這個地址與托管著用戶所查找網站的系統進行通信。這意味著DNS好似負責保障對話順暢進行的譯員，讓瀏覽器能夠成功載入互聯網資源。

但是，當DNS服務器本身受到攻擊而提供虛假信息的時后，會發生什么情況呢?那樣的話，瀏覽器就會載入危險的非法網站而不是合法網站了。

這類攻擊的原理就是，通過利用頁面載入過程中的弱點，黑客將流量從合法IP地址重定向到了非法IP地址。簡單講，黑客訪問DNS服務器，然后按自己的需要調整DNS服務器的目錄。

因此，只要用戶鍵入域名，就會被重定向到黑客設置的域名，而不是用戶想要訪問的合法域名。這會對用戶形成巨大的風險。

DNS污染的風險

DNS污染會對用戶形成巨大風險，但更危險的是，用戶對此甚至一無所知。DNS投毒至少會形成以下幾種危險。

• 植入惡意軟件。用戶被重定向到虛假網站時，黑客掌握著該網站的權限，會利用權限往設備上安裝惡意軟件。
• 數據盜竊。黑客可通過DNS投毒輕松盜取設備上的個人數據。他們可以盜取金融憑證、登錄憑證、安全號和其他敏感數據等。
• 阻止設備安全更新。通過DNS投毒，黑客甚至可以阻止設備獲取安全更新包，從而長期控制該設備。

如何防止DNS污染攻擊?

防止DNS污染攻擊是使用戶或公司免于遭受網絡犯罪侵害的重要一環。可以應用多種方法避免遭受DNS污染攻擊。

(1) 假冒攻擊檢測工具

NetCut和Arp Monitor等各種DNS假冒攻擊檢測工具可以掃描發送給用戶的DNS數據，確保只有準確的DNS數據能發給用戶。

(2) 端到端加密

這是主流企業最常采取的安全措施，可以確保從一個端點發往另一個端點的DNS數據是完全加密的。加密可以防止網絡罪犯復制數據。

(3) 安裝防火墻

安裝支持在線病毒防護的防火墻或殺毒軟件助益良多。這種防火墻或殺毒軟件可以組織任何惡意軟件或病毒進入你的設備，還可以清除已經出現在設備上的惡意軟件。

(4) 虛擬專用網(VPN)

VPN應用會將你的流量導入加密隧道。此外，大多數強大的VPN服務使用專用DNS服務器。這些服務器通常加密所有用戶請求。因此，VPN可以防止你的瀏覽被黑客或其他實體打斷。

結語

網絡技術的進步也帶來了很多危險。使用互聯網的風險日益增大，危險程度持續上升。因此，為減少或遏止此類威脅，大家都應采納上述預防方法。

原文鏈接：https://mp.weixin.qq.com/s?__biz=MzkxNzA3MTgyNg==&mid=2247491441&idx=1&sn=9dba75b3b741ef054fe05d473939447d&chksm=c1476dccf630e4da907456a4f6cc8f85f8d9d62c745d1d0d34e2e23fc278d9d3390042bbe7f8&mpshare=1&s