基于DNS攻击的安全分析及其防范.pdfVIP

基于DNS攻击的安全分析及其防范 andPreventionBasedonDNSAttack SecurityAnalysis 王启建+ 高仲合 WANG GAO Qi-fianZhong—k AbstractDNSisabasicnetworkservice．whichtranslatesIPtodomain is name．It§securityveryimpor- some of ofDNSat— tant．Thisdescribesthe of forwardthe paper vulnerabilityDNS，thenput strategiesprevention tack． DNS DNSSECTSIG KeywordsSecurity 3．1．1运行最新版本的BIND 1 引 言 最新版本的BIND能够防范目前已知的攻击，并且我们 Name DNS(Domain System域名系统)是基于域的、分层应该密切关注BIND的安全公告，随时更新BIND补丁∞o。 次的分布式数据库管理系统，主要作用是提供IP地址和主 3．1．2限制用户查询 机名的映射关系及电子邮件的选路信息，从而方便用户使用 Internet。DNS服务是一种基础的网络服务，如果DNS服务 器被入侵者控制，有可能篡改IP地址与主机名的映射关系 ofServ- 和获得其他敏感信息，从而会使主机遭受Dos(Denial ice拒绝服务)攻击，Web欺骗攻击等严重后果。本文通过对 DNS的脆弱性分析，并提出了其防范措施。 {allow=query{202．194．183．O／24}；}；。 3．1．3防止未授权的区域传送 2 DNS的安全脆弱性分析 2．1 Inertnet DNS服务软件本身的Bug。BIND(Berkeley输应用访问控制列表。Allow—transfer子句的格式是： Name Domain)是我们常用的域名软件，Inertnet上的许多服 zone“qtnu．edu．en’’ 务器都是基于BIND的。BIND确实能提供高效的服务，但是 master； {type BIND也存在许多安全性漏洞。 file“qfnu．edu．cn” 2．2 DNS没有提供认证机制，从而DNS请求得到虚假应allow—tranfer{202．194．】78．19}； 答。DNS通过Client／Server方式完成域名解析服务，但是没 有提供认证机制，查询主机不能确认它的应答是否来自它所 务器，其他未授权的服务器试图取得主DNS服务器中的数 查询的服务器。由于DNS使用高速缓存，如果入侵者控制 据，将会被拒绝。从而对主DNS服务器进行了保护。 3．1．4利用防火墙进行保护 了某个DNS服务器，篡改了IP和对应主机的映射关系，从而 进行DNS欺骗攻击。 在堡垒主机上建立一个伪DNS服务器供外部使用，从 2．3 D