返回
南京CCIE培训DNS攻击原理与防范

南京CCIE培训DNS攻击原理与防范

ID:44053714

大小:44.50 KB

页数:4页

时间:2019-10-18

南京CCIE培训DNS攻击原理与防范_第1页
南京CCIE培训DNS攻击原理与防范_第2页
南京CCIE培训DNS攻击原理与防范_第3页
南京CCIE培训DNS攻击原理与防范_第4页
资源描述:

《南京CCIE培训DNS攻击原理与防范》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、南京CCIE培训DNS攻击原理与防范随著网络的逐步普及,网络安全已成为INTERNET路上事实上的焦点,它关系着INTERNET的进一步发展和普及,甚至关系着INTERNET的生存。可喜的是我们那些互联网专家们并没有令广人INTERNET用户失望,网络安全技术也不断出现,使广人网民和企业有了更多的放心,下面就网络安全中的主要技术作一简介,希望能为网民和企业在网络安全方面提供一个网络安全方案参考。DNS的工作原理DNS分为Client和Server,Client扮演发问的角色,也就是问Server—个DomainNa

2、me,而Server必须要回答此DomainName的真正IP地址。而当地的DNS先会查自己的资料库。如果自己的资料库没冇,贝IJ会往该DNS上所设的的DNS询问,依此得到答案Z后,将收到的答案存起來,并回答客户。DNS服务器会根据不同的授权区(Zone),记录所属该网域下的各名称资料,这个资料包括网域下的次网域名称及主机名称。在每一个名称服务器屮都有一个快取缓存区(Cache),这个快取缓存区的主要目的是将该名称服务器所杏询出来的名称及相对的IP地址记录在快取缓存区屮,这样当下一次还有另外一个客户端到次服务器上去

3、查询相同的名称时,服务器就不用在到别台主机上去寻找,而直接可以从缓存区中找到该笔名称记录资料,传回给客户端,加速客户端对名称查询的速度。例如:当DNS客户端向指定的DNS服务器杏询网际网路上的某一台主机名称DNS服务器会在该资料库屮找寻用户所指定的名称如果没有,该服务器会先在白己的快取缓存区小杳询有无该笔纪录,如果找到该笔名称记录后,会从DNS服务器直接将所对应到的IP地址传回给客户端,如果名称服务器在资料记录查不到冃•快取缓存区中也没冇时,服务器首先会才会向别的名称服务器查询所要的名称。例如:DNS客户端向指定的

4、DNS服务器查询网际网路上某台主机名称,当DNS服务器在该资料记录找不到用户所指定的名称吋,会转向该服务器的快取缓存区找寻是否有该资料,当快取缓存区也找不到时,会向最接近的名称服务器去要求帮忙找寻该名称的IP地址,在另一台服务器上也有相同的动作的查询,当查询到后会回复原本耍求查询的服务器,该DNS服务器在接收到另一•台DNS服务器查询的结果后,先将所查询到的主机名称及对■应IP地址记录到快取缓存区中,最后在将所查询到的结果回复给客户端常见的DNS攻击包括:1)域名劫持通过采用黑客手段控制了域名管理密码和域名管理邮箱

5、,然后将该域名的NS纪录指向到黑客可以控制的DNS服务器,然后通过在该DNS服务器上添加相应域名纪录,从而使网民访问该域名时,进入了黑客所指向的内容。这显然是DNS服务提供商的责任,用户束手无策。2)缓存投毒利用控制DNS缓存服务器,把原本准备访问某网站的用户在不知不觉中带到黑客指向的其他网站上。其实现方式有多种,比如可以通过利用网民ISP端的DNS缓存服务器的漏洞进行攻击或控制,从而改变该ISP内的用八访问域名的响应结果;或者,黑客通过利用用户权威域名服务器上的漏洞,如当用户权威域名服务器同时可以被当作缓存服务器

6、使用,黑客可以实现缓存投毒,将错课的域名纪录存入缓存屮,从而使所有使用该缓存服务器的用户得到错误的DNS解析结果。最近发现的DNS重大缺陷,就是这种方式的。只所以说是“重大”缺陷,据报道是因为是协议白身的设计实现问题造成的,儿乎所有的DNS软件都存在这样的问题。3)DDOS攻击一种攻击针对DNS服务器软件本身,通常利用BIND软件程序中的漏洞,导致DNS服务器崩溃或拒绝服务;另一种攻击的目标不是DNS服务器,而是利用DNS服务器作为屮间的“攻击放大器”,去攻击其它互联网上的主机,导致被攻击主机拒绝服务。4)DNS欺

7、骗DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。原理:如果可以冒充域名服务器,然后把查询的IP地址设为攻击者的IP地址,这样的话,用户上网就只能看到攻击者的主页,而不是用户想耍取得的网站的主页了,这就是DNS欺骗的基本原理。DNS欺骗其实并不是真的“黑掉”了对•方的网站,而是冒名顶替、招摇撞骗罢了。现在的Internet上存在的DNS服务器有绝人多数都是用bind來架设的,使用的bind版本主要为bind4.9.5+P1以前版本和bind8.2.2-P5以前版本。这些bind有个共同的特点,就是BIND会缓存(

8、Cache)所冇已经查询过的结果,这个问题就引起了下面的几个问题的存在。DNS欺骗在DNS的缓存还没有过期Z前,如果在DNS的缓存中已经存在的记录,一旦有客户查询,DNS服务器将会直接返回缓存中的记录防止DNS被攻击的若干防范性措施互联网上的DNS放人攻击(DNSamplificationattacks)急剧增长。这种攻击是一种数据包的大量变体能够产生针对一

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。