科技创新南京CCIE培训DNS攻击原理与防范.docVIP

南京CCIE培训 DNS攻击原理与防范 　　随着网络的逐步普及，网络安全已成为INTERNET路上事实上的焦点，它关系着INTERNET的进一步发展和普及，甚至关系着INTERNET的生存。可喜的是我们那些互联网专家们并没有令广大INTERNET用户失望，网络安全技术也不断出现，使广大网民和企业有了更多的放心，下面就网络安全中的主要技术作一简介，希望能为网民和企业在网络安全方面提供一个网络安全方案参考。 　　DNS的工作原理 　　DNS分为Client和Server，Client扮演发问的角色，也就是问Server一个Domain Name，而Server必须要回答此Domain Name的真正IP地址。而当地的DNS先会查自己的资料库。如果自己的资料库没有，则会往该DNS上所设的的DNS询问，依此得到答案之后，将收到的答案存起来，并回答客户。 　　DNS服务器会根据不同的授权区（Zone），记录所属该网域下的各名称资料，这个资料包括网域下的次网域名称及主机名称。 　　在每一个名称服务器中都有一个快取缓存区（Cache），这个快取缓存区的主要目的是将该名称服务器所查询出来的名称及相对的IP地址记录在快取缓存区中，这样当下一次还有另外一个客户端到次服务器上去查询相同的名称 时，服务器就不用在到别台主机上去寻找，而直接可以从缓存区中找到该笔名称记录资料，传回给客户端，加速客户端对名称查询的速度。例如： 　　当DNS客户端向指定的DNS服务器查询网际网路上的某一台主机名称 DNS服务器会在该资料库中找寻用户所指定的名称 如果没有，该服务器会先在自己的快取缓存区中查询有无该笔纪录，如果找到该笔名称记录后，会从DNS服务器直接将所对应到的IP地址传回给客户端 ，如果名称服务器在资料记录查不到且快取缓存区中也没有时，服务器首先会才会向别的名称服务器查询所要的名称。例如： 　　DNS客户端向指定的DNS服务器查询网际网路上某台主机名称，当DNS服务器在该资料记录找不到用户所指定的名称时，会转向该服务器的快取缓存区找寻是否有该资料 ，当快取缓存区也找不到时，会向最接近的名称服务器去要求帮忙找寻该名称的IP地址 ，在另一台服务器上也有相同的动作的查询，当查询到后会回复原本要求查询的服务器，该DNS服务器在接收到另一台DNS服务器查询的结果后，先将所查询到的主机名称及对应IP地址记录到快取缓存区中 ，最后在将所查询到的结果回复给客户端 　　常见的DNS攻击包括： 　　1） 域名劫持 　　通过采用黑客手段控制了域名管理密码和域名管理邮箱，然后将该域名的NS纪录指向到黑客可以控制的DNS服务器，然后通过在该DNS服务器上添加相应域名纪录，从而使网民访问该域名时，进入了黑客所指向的内容。 　　这显然是DNS服务提供商的责任，用户束手无策。 　　2） 缓存投毒 　　利用控制DNS缓存服务器，把原本准备访问某网站的用户在不知不觉中带到黑客指向的其他网站上。其实现方式有多种，比如可以通过利用网民ISP端的DNS缓存服务器的漏洞进行攻击或控制，从而改变该ISP内的用户访问域名的响应结果；或者，黑客通过利用用户权威域名服务器上的漏洞，如当用户权威域名服务器同时可以被当作缓存服务器使用，黑客可以实现缓存投毒，将错误的域名纪录存入缓存中，从而使所有使用该缓存服务器的用户得到错误的DNS解析结果。 　　最近发现的DNS重大缺陷，就是这种方式的。只所以说是“重大”缺陷，据报道是因为是协议自身的设计实现问题造成的，几乎所有的DNS软件都存在这样的问题。 　　3）DDOS攻击 　　一种攻击针对DNS服务器软件本身，通常利用BIND软件程序中的漏洞，导致DNS服务器崩溃或拒绝服务；另一种攻击的目标不是DNS服务器，而是利用DNS服务器作为中间的“攻击放大器”，去攻击其它互联网上的主机，导致被攻击主机拒绝服务。 　　4） DNS欺骗 　　DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。 　　原理：如果可以冒充域名服务器，然后把查询的IP地址设为攻击者的IP地址，这样的话，用户上网就只能看到攻击者的主页，而不是用户想要取得的网站的主页了，这就是DNS欺骗的基本原理。DNS欺骗其实并不是真的“黑掉”了对方的网站，而是冒名顶替、招摇撞骗罢了。 　　现在的Internet上存在的DNS服务器有绝大多数都是用bind来架设的，使用的bind版本主要为bind 4.9.5+P1以前版本和bind 8.2.2-P5以前版本。这些bind有个共同的特点，就是BIND会缓存（Cache）所有已经查询过的结果，这个问题就引起了下面的几个问题的存在。 　　DNS欺骗 　　在DNS的缓存还没有过期之前，如果在DNS的缓存中已经存在的记录，一旦有客户查询，DNS服务器将会直接返回缓存中的记录 　　防止