- 1、本文档共8页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
Linux应用使用TSIG和DNSSEC加固域名服务器
Linux应用使用TSIG和DNSSEC加固域名服务器
一、DNS服务器的重要性
DNS是因特网建设的基础,几乎所有的网络应用,都必须依赖DNS系统做网址查询的指引动作。如果DNS系统运作不正常,即使Web服务器都完好如 初,防火墙系统都善尽其职,相关的后端应用服务器以及数据库系统运作正常,因为无法在期限时间内查得到网址,将会导致电子邮件无法传递,想要使用网域名称 去连接某个网页,也会因查不出网络地址,以致联机失败。2001年1月24日,美国微软公司所管理的相关网络系统,遭受网络黑客的拒绝服务攻击后导致全球 各地的用户接近24小时的时间无法连上该公司相关的网站,造成该公司相当严重的商业损失。根据以往的经验之中,网络攻击的对象多数主要集中在控制网络路由 的设备(路由器,防火墙等)和各类应用服务器(Web、邮件等)。因此,目前多数的网络系统安全保护,通常都集中在路由设备和应用服务器本身。然而,这一 次的微软公司被攻击事件,与以往其它网站攻击事件的最大不同,就在于这一次被攻击的对象是DNS服务器而不是WEB服务器本身。这次的事件宣告另一种新型 的网络攻击类别,往后将可能成为常态。
互联网上DNS服务器的事实标准就是ISC(/ )公司的Berkeley Internert Name Domain(BIND),它具有广泛的使用基础,互联网上的绝大多数DNS服务器都是基于这个软件的。Netcraft在域名服务器上的统计 (/ )显示 2003年第二季度进行的一个调查发现,在互联网上运行着的DNS服务器中,ISC的BIND占据了95%的市场份额。互联网是由很多不可见的基础构件组 成。这其中就包含了DNS,它给用户提供了易于记忆的机器名称(比如),并且将它们翻译成数字地址的形式。对于那些用于公共服务的机器一 般还提供“反向查询”的功能,这种功能可以把数字转换成名字。由于历史的原因,这种功能使用的是被隐藏的“”域。对in- addr域的调查,可以让我们更加了解整个Internet是如何运作的。Bill Manning对in-addr域的调查发现,有95%的域名服务器(2的2000次方个服务器中)使用的是各种版本的“bind”。这其中包括了所有的 DNS根服务器,而这些根服务器对整个服务器的正常运转起着至关重要的作用。如何能加强确保 DNS 系统的运作正常, 或者当DNS系统在遭受网络攻击时候, 能够让管理者及早发现是日益重要的系统安全的课题。首先我们要了解DNS服务面临的安全问题。
二、DNS服务面临的安全问题:
DNS服务面临的安全问题主要包括:DNS欺骗(DNS Spoffing)、拒绝服务(Denial of service,DoS)攻击、分布式拒绝服务攻击和缓冲区漏洞溢出攻击(Buffer Overflow)。
1、DNS欺骗
DNS欺骗即域名信息欺骗是最常见的DNS安全问题。当一个DNS服务器掉入陷阱,使用了来自一个恶意DNS服务器的错误信息,那么该DNS服务器 就被欺骗了。DNS欺骗会使那些易受攻击的DNS服务器产生许多安全问题,例如:将用户引导到错误的互联网站点,或者发送一个电子邮件到一个未经授权的邮 件服务器。网络攻击者通常通过三种方法进行DNS欺骗。图1是一个典型的DNS欺骗的示意图。
图1 典型DNS欺骗过程
(1)缓存感染
黑客会熟练的使用DNS请求,将数据放入一个没有设防的DNS服务器的缓存当中。这些缓存信息会在客户进行DNS访问时返回给客户,从而将客户引导到入侵者所设置的运行木马的Web服务器或邮件服务器上,然后黑客从这些服务器上获取用户信息。
(2)DNS信息劫持
入侵者通过监听客户端和DNS服务器的对话,通过猜测服务器响应给客户端的DNS查询ID。每个DNS报文包括一个相关联的16位ID号,DNS服务器根据这个ID号获取请求源位置。黑客在DNS服务器之前将虚假的响应交给用户,从而欺骗客户端去访问恶意的网站。
(3)DNS复位定向
攻击者能够将DNS名称查询复位向到恶意DNS服务器。这样攻击者可以获得DNS服务器的写权限。
2、拒绝服务攻击
黑客主要利用一些DNS软件的漏洞,如在BIND 9版本(版本9.2.0以前的 9系列)如果有人向运行BIND的设备发送特定的DNS数据包请求,BIND就会自动关闭。攻击者只能使BIND关闭,而无法在服务器上执行任意命令。如 果得不到DNS服务,那么就会产生一场灾难:由于网址不能解析为IP地址,用户将无方访问互联网。这样,DNS产生的问题就好像是互联网本身所产生的问 题,这将导致大量的混乱。
3、分布式拒绝服务攻击
DDOS 攻击通过使用攻击者控制的几十台或几百台计算机攻击一台主机,使得服务拒绝攻击更难以防范:使服务拒绝攻击更难以通过阻塞单一攻击源主机的数据流,来防范服务拒绝攻击。
您可能关注的文档
最近下载
- 2024年04月上海市商务委员会所属部分事业单位招考聘用笔试历年典型题及考点剖析附带答案含详解.docx
- GB50268--2008给水排水管道工程施工及验收规范.pdf VIP
- 45kta 1,3-丙二醇项目-初步设计说明书(上册-化工工艺系统设计篇).pdf
- 分子生物学智慧树知到课后章节答案2023年下中南大学.docx
- 毕业典礼PPT课件.pptx VIP
- 旅游观光车场内机动车工装、夹具(模具)管理制度.pdf VIP
- 最新大学英语四级考试辅导资料大全.doc VIP
- AQ _2031-2011 金属非金属地下矿山监测监控系统建设规范.pdf
- 北京大学高等代数期末试题2.pdf VIP
- 2023年副主任医师(副高)-中西医结合外科学(副高)考试历年真题集锦附带答案.docx
文档评论(0)