HTTPS如何防止DNS欺騙？

HTTPS加密 能夠有效幫助服務器應對DNS欺騙、DNS劫持、ARP攻擊等安全威脅。DNS是什麼？DNS如何被利用？HTTPS如何防止DNS欺騙？

DNS如何工做？

若是您想訪問www.example.com，您的瀏覽器須要找到該特定Web服務器的IP地址。它首先要查詢系統的hosts文件，這是一個文本文件，其中包含任何域名的IP地址，這些域名被有效地「硬編碼」到該系統中。可是，大多數時候該網址不在系統的hosts文件中，那您的瀏覽器將詢問DNS服務器（多是一個在您組織網絡上的解析器，也多是由ISP運營或由Google、OpenDNS等組織運營的外部公共解析器）。

簡而言之，若是解析器最近被要求提供該域名的IP地址，它將在其緩存中包含該信息，並將直接提供該信息。可是若是它沒有在緩存中（或者由於它以前從未被要求提供該信息，或者由於信息已「過時」並從緩存中刪除），那麼它會將請求引用到根服務器，能夠告訴解析器在哪裏獲取有關.com頂級域的信息。

而後它會詢問服務器從哪裏獲取有關example.com的信息，而後轉到稱爲權威服務器的服務器上，該服務器將爲其提供example.com域中任何服務器的IP地址（例如Web和電子郵件服務器）。

 

什麼是DNS欺騙

DNS欺騙就是攻擊者冒充域名服務器的一種欺騙行爲。原理：若是能夠冒充域名服務器，而後將查詢的IP地址設爲攻擊者的IP地址，這樣的話用戶上網就只能看到攻擊者的主頁，而想要取得的example.com網站主頁了，這就是DNS欺騙的基本原理。

DNS欺騙就是利用DNS協議設計時的一個很是重要的安全缺陷。首先欺騙者向目標機器發送構造的APR應答包，ARP欺騙成功後，嗅探到對方發出的DNS請求數據包，分析數據包取得ID和端口號後，向目標發送本身構造後的一個DNS返回包，對方收到DNS應答包，發現ID和端口號所有正確，即把返回數據包中的額域名和對應的IP地址保存近DNS緩存表中，然後來當真實的DNS應答包返回時則被丟棄。

HTTPS如何防止DNS欺騙？

有效的HTTPS證書表示，該服務器在獲取證書時就已經由受信任的證書頒發機構（如：沃通CA）驗證域名全部權。爲了確保攻擊者沒法使用DNS欺騙將用戶引導到http://能夠截獲流量的普通鏈接，網站可使用HTTP嚴格傳輸安全（HSTS）來指示瀏覽器始終要求其域的HTTPS鏈接。這意味着想要成功欺騙DNS解析的攻擊者，還必須建立有效的HTTPS鏈接。這使得DNS欺騙與攻擊HTTPS同樣具備挑戰性和昂貴性。

若是攻擊者欺騙DNS但不破壞HTTPS，則用戶將從其瀏覽器收到明顯的警告消息，以防止他們訪問可能的惡意站點。若是該站點使用HSTS，則訪問者將沒法選擇忽略並單擊警告。

HTTPS和HSTS協同工做以保護域免受DNS欺騙。

攻擊HTTPS鏈接有多難？

對HTTPS鏈接的攻擊一般分爲3類：

• 經過密碼分析或其餘協議弱點來破壞HTTPS鏈接的質量。
• 攻破客戶端計算機，例如將惡意根證書安裝到系統或瀏覽器信任庫中。
• 一般經過操縱或破壞證書頒發機構來獲取主要瀏覽器信任的「流氓」證書。

這些都是可能的，但對於大多數攻擊者而言，這些攻擊都很是困難而且須要大量費用。重要的是，它們都是有針對性的攻擊，而且不能隨時對任何鏈接到任何網站的用戶執行。相比之下，普通的HTTP鏈接能夠被網絡鏈接中涉及的任何人輕易攔截和修改，所以攻擊能夠大規模且低成本地進行。

 

沃通CA提供HTTPS證書，支持Windows、安卓、iOS、JDK以及Firefox、Chrome等各種瀏覽器、操做系統和移動終端，爲用戶與服務器之間創建加密鏈接，保護數據傳輸安全、防止中間人攻擊的同時，幫助服務器更有效地防止DNS欺騙等安全威脅。