- 1、本文档共9页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
全面提升BINDDNS服务器安全网站的一篇约稿,
全面提升BIND DNS 服务器安
作者:曹江华
此 文 是 it168 网 站 的 一 篇 约 稿 , 希 望 网 友 指 正 。 原 文 链 接 :
http://publish.it 168.com/2005/ 1228/20051228077401.shtml
一、DNS 服务器的重要性
DNS 是因特网建设的基础,几乎所有的网络应用, 都必须依赖 DNS 系统做网址查询的
指引动作。如果 DNS 系统运作不正常, 即使 Web 服务器都完好如初, 防火墙系统都善尽
其职, 相关的后端应用服务器以及数据库系统运作正常, 因为无法在期限时间内查得到网址,
将会导致电子邮件无法传递, 想要使用网域名称去连接某个网页, 也会因查不出网络地址,
以致联机失败。2001 年 1 月24 日, 美国微软公司所管理的相关网络系统, 遭受网络黑客的
拒绝服务攻击后导致 球各地的用户 接近 24 小 的时间 无法连上该公司相关的网站,
造成该公司相当严重的商业损失。根据以往的经验之中, 网络攻击的对象 多数主要集中在
控制网络路由的设备(路由器, 防火墙等)和各类应用服务器(Web、邮件 等) 。因此, 目前多数
的网络系统安 保护, 通常都集中在路由设备和应用服务器本身。然而, 这一次的微软公司
被攻击事件, 以往其它网站攻击事件的最大不同, 就在于这一次被攻击的对象是 DNS 服
务器 而不是 WEB 服务器本身。这次的事件宣告另一种新型的网络攻击类别, 往后将可能
成为常态。 就这个观点而言, 如何能加强确保 DNS 系统的运作正常, 或者当DNS 系统在
遭受网络攻击 候, 能够让管理者及早发现, 然后加以排除, 诸如此类, 正是日益重要的系
统安全的重要课题。互联网上DNS 服务器的事实标准就是ISC 的BIND ,Netcraft 在DNS
服务器上的统计(/ )显示 2003 年第二季度进行的一个调查发现,在互
联网上运行着的DNS 服务器中,ISC 的bind 占据了95% 的市场份额。互联网是由很多不可
见的基础构件组成。这其中就包含了 DNS ,它给用户提供了易于记忆的机器名称( 比如
) ,并且将它们翻译成数字地址的形式。对于那些用于公共服务的机器一般还提供
“反向查询”的功能,这种功能可以把数字转换成名字。由于历史的原因,这种功能使用的
是被隐藏的“ ”域。对in-addr 域的调查,可以让我们 加了解整个Internet 是如
何运作的。Bill Manning 对in-addr 域的调查发现,有95% 的域名服务器(2 的2000 次方个服
务器中)使用的是各种版本的 “bind ”。这其中包括了所有的 DNS 根服务器,而这些根服务
器对整个服务器的正常运转起着至关重要的作用。
二、DNS 服务面临的安 隐患:
DNS 服务面临的安 隐患主要包括:DNS 欺骗(DNS Spoffing )、拒绝服务 (Denial of
service,DoS )攻击、分布式拒绝服务攻击和缓冲区漏洞溢出攻击 (Buffer Overflow )。
1.DNS 欺骗
DNS 欺骗即域名信息欺骗是最常见的DNS 安 问题。当一个DNS 服务器掉入陷阱,使用
了来自一个恶意DNS 服务器的错误信息,那么该DNS 服务器就被欺骗了。DNS 欺骗会使
那些易受攻击的DNS 服务器产生许多安 问题,例如:将用户引导到错误
文档评论(0)