返回
Linux应用使用TSIG和DNSSEC加固域名服务器

Linux应用使用TSIG和DNSSEC加固域名服务器

ID:37859382

大小:87.50 KB

页数:8页

时间:2019-06-01

Linux应用使用TSIG和DNSSEC加固域名服务器_第1页
Linux应用使用TSIG和DNSSEC加固域名服务器_第2页
Linux应用使用TSIG和DNSSEC加固域名服务器_第3页
Linux应用使用TSIG和DNSSEC加固域名服务器_第4页
Linux应用使用TSIG和DNSSEC加固域名服务器_第5页
资源描述:

《Linux应用使用TSIG和DNSSEC加固域名服务器》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、Linux应用使用TSIG和DNSSEC加固域名服务器一、DNS服务器的重要性DNS是因特网建设的基础,几乎所有的网络应用,都必须依赖DNS系统做网址查询的指引动作。如果DNS系统运作不正常,即使Web服务器都完好如初,防火墙系统都善尽其职,相关的后端应用服务器以及数据库系统运作正常,因为无法在期限时间内查得到网址,将会导致电子邮件无法传递,想要使用网域名称去连接某个网页,也会因查不出网络地址,以致联机失败。2001年1月24日,美国微软公司所管理的相关网络系统,遭受网络黑客的拒绝服务攻击后导致全球各地的用户接近24小时的时间无法连上该公司相关的网站

2、,造成该公司相当严重的商业损失。根据以往的经验之中,网络攻击的对象多数主要集中在控制网络路由的设备(路由器,防火墙等)和各类应用服务器(Web、邮件等)。因此,目前多数的网络系统安全保护,通常都集中在路由设备和应用服务器本身。然而,这一次的微软公司被攻击事件,与以往其它网站攻击事件的最大不同,就在于这一次被攻击的对象是DNS服务器而不是WEB服务器本身。这次的事件宣告另一种新型的网络攻击类别,往后将可能成为常态。互联网上DNS服务器的事实标准就是ISC(http://www.isc.org/)公司的BerkeleyInternertNameDomai

3、n(BIND),它具有广泛的使用基础,互联网上的绝大多数DNS服务器都是基于这个软件的。Netcraft在域名服务器上的统计(http://www.netcraft.com/)显示2003年第二季度进行的一个调查发现,在互联网上运行着的DNS服务器中,ISC的BIND占据了95%的市场份额。互联网是由很多不可见的基础构件组成。这其中就包含了DNS,它给用户提供了易于记忆的机器名称(比如sina.com),并且将它们翻译成数字地址的形式。对于那些用于公共服务的机器一般还提供“反向查询”的功能,这种功能可以把数字转换成名字。由于历史的原因,这种功能使用的

4、是被隐藏的“in-addr.arpa”域。对in-addr域的调查,可以让我们更加了解整个Internet是如何运作的。BillManning对in-addr域的调查发现,有95%的域名服务器(2的2000次方个服务器中)使用的是各种版本的“bind”。这其中包括了所有的DNS根服务器,而这些根服务器对整个服务器的正常运转起着至关重要的作用。如何能加强确保DNS系统的运作正常,或者当DNS系统在遭受网络攻击时候,能够让管理者及早发现是日益重要的系统安全的课题。首先我们要了解DNS服务面临的安全问题。二、DNS服务面临的安全问题:DNS服务面临的安全问

5、题主要包括:DNS欺骗(DNSSpoffing)、拒绝服务(Denialofservice,DoS)攻击、分布式拒绝服务攻击和缓冲区漏洞溢出攻击(BufferOverflow)。1、DNS欺骗DNS欺骗即域名信息欺骗是最常见的DNS安全问题。当一个DNS服务器掉入陷阱,使用了来自一个恶意DNS服务器的错误信息,那么该DNS服务器就被欺骗了。DNS欺骗会使那些易受攻击的DNS服务器产生许多安全问题,例如:将用户引导到错误的互联网站点,或者发送一个电子邮件到一个未经授权的邮件服务器。网络攻击者通常通过三种方法进行DNS欺骗。图1是一个典型的DNS欺骗的示

6、意图。图1典型DNS欺骗过程(1)缓存感染黑客会熟练的使用DNS请求,将数据放入一个没有设防的DNS服务器的缓存当中。这些缓存信息会在客户进行DNS访问时返回给客户,从而将客户引导到入侵者所设置的运行木马的Web服务器或邮件服务器上,然后黑客从这些服务器上获取用户信息。(2)DNS信息劫持入侵者通过监听客户端和DNS服务器的对话,通过猜测服务器响应给客户端的DNS查询ID。每个DNS报文包括一个相关联的16位ID号,DNS服务器根据这个ID号获取请求源位置。黑客在DNS服务器之前将虚假的响应交给用户,从而欺骗客户端去访问恶意的网站。(3)DNS复位定

7、向攻击者能够将DNS名称查询复位向到恶意DNS服务器。这样攻击者可以获得DNS服务器的写权限。2、拒绝服务攻击黑客主要利用一些DNS软件的漏洞,如在BIND9版本(版本9.2.0以前的9系列)如果有人向运行BIND的设备发送特定的DNS数据包请求,BIND就会自动关闭。攻击者只能使BIND关闭,而无法在服务器上执行任意命令。如果得不到DNS服务,那么就会产生一场灾难:由于网址不能解析为IP地址,用户将无方访问互联网。这样,DNS产生的问题就好像是互联网本身所产生的问题,这将导致大量的混乱。3、分布式拒绝服务攻击DDOS攻击通过使用攻击者控制的几十台或

8、几百台计算机攻击一台主机,使得服务拒绝攻击更难以防范:使服务拒绝攻击更难以通过阻塞单一攻击源主机的数据流,来

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。