返回
典型的dns威胁与防御技术研究

典型的dns威胁与防御技术研究

ID:27649716

大小:87.00 KB

页数:9页

时间:2018-12-05

典型的dns威胁与防御技术研究_第1页
典型的dns威胁与防御技术研究_第2页
典型的dns威胁与防御技术研究_第3页
典型的dns威胁与防御技术研究_第4页
典型的dns威胁与防御技术研究_第5页
资源描述:

《典型的dns威胁与防御技术研究》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、典型的DNS烕胁与防御技术研究魏远张平信息工程大学摘要:DNS是互联网中最重要的基础设施,但由于其自身设计缺陷,针对其安全漏洞的网络攻击事件层出不穷。本文介绍了DNS协议基础框架和其存在的安全漏洞,讨论/基于这些漏洞实现的典型攻击方式,包括反射放大攻击,DNS劫持,缓存投毒攻击,DNS隧道等,在分析攻击实现原理和危害的基础上,给出了相应的抗攻击方法和建议。关键词:DNS;域名系统威胁;反射放大攻击;缓存投毒;DNSSEC;0引言互联网已经成为我们生活中必不可少的一部分,而DNS(DomainNameSystem,域名系统)是互联网运行的最重要的基础设施,在全

2、球互联网的运转中扮演基础性作用。互联网中的任何一个事件几乎都开始于一次DNS查询,尽管这一切都是无形屮完成的。DNS的最主要的功能是将人类更好辨识的域名转换为数字化的1P地址。DNS在设计之初,互联网规模并没有如今这么庞大,但随着计算机和互联网技术的逐步发展,DNS固有的安全缺陷逐步暴漏出来,由此引发越来越多的网络安全问题。DNS最主要问题在于通信双方缺乏来源数据真实性和完整性的认证机制,系统无法确认数据发送方是否是合法的发送方,也无法验证数据报是否被篡改,攻击者很容易实现源地址和数据内容的欺骗。本文的重点讨论DNS所面临的典型的威胁,包括基TDNS的分布式

3、拒绝服务攻击,DNS劫持,DNS缓存投毒,DNS隧道等,在分析在典型DNS的攻击技术的实现原理和危害程度的基础上,给出了相应的防御措施和缓解措施,如DNS安全扩展,任拨,响应率限制等。1DNS基础概览DNS是一个全球性的庞大系统,其核心的原件主要包含域名空间(NameSpace)、名称服务器(NameServer)、资源记录(ResourceRecord)、解析器(Resolver)。DNS域名空间类似于Unix文件系统,是一种自上而下的树状组织方式位1,如图1所示。根节点在最顶层,树状结构的第一层包含有“.com”,“.net”等顶级域名,第二层包含通用域

4、名如“baidu.com”,第三层是子域名或者具体主机,当然也可以有第四层甚至更多的层。需要注意的是,每个域名都可以被划分为多个子域名。图1域名空间结构下载原图除了域名空间自身,域名空间所代表的信息需要被存储在某些载体上,名称服务器正是存储这些域名空间的信息的载体。名称服务器通常被划分为权威名称服务器和递归名称服务器。对于一个特定的域名空间,如果一个名称服务器有这个域名空间的所有的信息,则将这个名称服务器称为这个域名空间的权威名称服务器,否则称为递归名称服务器。在DNS系统中,解析器也是一个重要的角色,通常用户所直接使用的也是解析器,例如,谷歌的“8.8.8

5、.8”,国内的“114.114.114.114”等都是最常用的解析器。解析器在用户和名称服务器之间扮演桥梁的作用,其最重要的任务是,接受用户的查询请求,向名称服务器查询具体地址,解析来自于名称服务器的响应,然后再返回结果给用户。对于用户来说,解析器是服务器端,对于名称服务器而言,解析器又是客户端。资源记荣包含和域名相关的各项数据,资源记荣包含很多种类,但常用的是internet类(1N类),这种类包含多种不同的数据类型,表1给出了最常见的几种IN类资源记录。表1常见资源记录下载原表力了更加直观展现DNS:L作流程,下面以访问baidu.com力例说明DNS运

6、转过程:(1)当用户想要接入baidu.com时,问解析器,“请告诉我baidu.com的IP地址?”。(2)解析器接到用户查询请求后,解析器首先会查询自身的缓存记录是否有baidu.com的地址记录,如果有并且尚未过期,则直接返回给用户,如果没有,则解析器会转向根名称服务器,询问根名称服务器,“请告诉我baidu.com的IP地址?”。(1)根名称服务器收到请求后,会根据域名的顶级名称空间判断,发现baidu.com的顶级名称空间是.com,则会通知解析器,“请询问.com名称服务器”。(2)解析器再次转向.com名称服务器,然后问同样的问题。(3).co

7、m名称服务器会根据域名判断,发现baidu.com这个域名的权威名称服务器是ns.baidu.com,它会给解析器回答,“请询问ns.baidu.com名称服务器”。(4)解析器再次转向ns.baidu.com名称服务器,然后问同样的问题,ns.baidu.com属于baidu.com的权威服务器,它拥有baidu.com的所有的信息,当然也知道baidu.com的地址,直接回答出baidu.com的1P地址。(5)最终,解析器得到了baidu.com的1P地址,转发给用户,在自身缓存表中存入或更新,以便下次查询。图2DNS工作流程下载原图值得一提的是,一定

8、要注意到缓存记录,当解析器中有对应域名的缓存记录,并

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。