DNS缓存投毒攻击原赖捻与防御策略.pdfVIP

N TWORN蕊 iNFORMAT~ONSECUR~TY 络 囊编心安全 DNS缓存投毒攻击原理与防御策略 靳冲 一，郝志宇 ，吴志刚 中国科学院计算技术研究所，北京100190 中国科学院研究生院，北京100190 摘 要 ：DNs是Internet最重要的基础设施之一，若遭受攻击将影响lnternet的正常运转，因而其安全性备受关注。本文 分析了传统以及新型 (Kaminsky)DNS缓存投毒 (CachePoisoning)攻击的原理，给出攻击实例，详细描述了攻击流程，验 证了DNS缓存投毒攻击潜在的危害性，并提出若干防御策略。 关键词 ：DNS；缓存投毒；Kaminsky攻击 Principlesand Defense Strategies ofDNS Cache Poisoning JinChong’一 HaoZhiyu’WuZhigang’ ， ， ’InstituteofComputingTechnologyofChineseAcademyofSciences，Beijing100190 GraduateUniversityofChineseAcademyofSciences，Beijing100190 Abstract：DNSiSoneofthemostimportantbasicinfrastructuresoftheInternet，attacksonwhichwill preventtheInternetfrom workingproperly．Therefore，itssecurityisreceivinggreatconcern．This paperanalyzestheprinciplesofbothtraditionalandnove1(Kaminsky)DNSCachePoisoning，presents attacksamplesanddescribesthewholeaRackproceSSindetail．Afterverifyingthepotentialharm Of DNSCachePoisoning．thePapergivesoutseveraldefensestrategies． KevW ords：DNS：cachepoisoning；Kaminskyattack I．概述 受关注 。DNS缓存投毒 (DNS CachePoisoning)是 DNS攻击中危害较大的一种 ，也是当前 DNS攻击领 DNS (DomainNameSystem)是一个多层次的 域的研究热点。它通过使用虚假 lP地址信息替换名 分布式数据库系统 ．其基本功能是完成域名解析 ， 字服务器缓存 中主机记录的真实 IP地址信息来制造 即提供域名和 IP地址之间的映射关系，为互联网 破坏 [6，7]。本文介绍了传统DNS缓存投毒攻击以及 (Internet)用户提供便利。DNS是 Internet的基础 ， 新型的Kaminsky攻击的基本原理 ，并提出了可行的 也是 目前互联网上最成功的应用之一，其安全性备 防御策略。 17 哼国遒意《譬? ∞ 一 …一一 II．传统DNS缓存投毒攻击 服务器地址，首选缓存名字服务器继续向该地址请 求迭代查询 。如此继续，直到得到WWW ict．ac．cn 一 台DNS服务器只记录本地资源的所有授权主 的授权回答 ，保存在本地缓存中，并返回给客户端， 完成此次查询 。 机 ．若想查询非本