典型的DNS威胁与防御技术研究.DOCVIP

典型的DNS烕胁与防御技术研究 魏远张平 信息工程大学 摘要： DNS是互联网中最重要的基础设施，但由于其自身设计缺陷，针对其安全漏洞 的网络攻击事件层出不穷。本文介绍了 DNS协议基础框架和其存在的安全漏洞， 讨论/基于这些漏洞实现的典型攻击方式，包括反射放大攻击，DNS劫持，缓存 投毒攻击，DNS隧道等，在分析攻击实现原理和危害的基础上，给出了相应的抗 攻击方法和建议。 关键词： DNS;域名系统威胁;反射放大攻击;缓存投毒;DNSSEC; 0引言 互联网已经成为我们生活中必不可少的一部分，而DNS (Domain Name System, 域名系统)是互联网运行的最重要的基础设施，在全球互联网的运转中扮 演基础性作用。互联网中的任何一个事件几乎都开始于一次DNS查询，尽管这一 切都是无形屮完成的。DNS的最主要的功能是将人类更好辨识的域名转换为数字 化的1P地址。DNS在设计之初，互联网规模并没有如今这么庞大，但随着计算 机和互联网技术的逐步发展，DNS固有的安全缺陷逐步暴漏出来，由此引发越来 越多的网络安全问题。DNS最主要问题在于通信双方缺乏来源数据真实性和完整 性的认证机制，系统无法确认数据发送方是否是合法的发送方，也无法验证数 据报是否被篡改，攻击者很容易实现源地址和数据内容的欺骗。 本文的重点讨论DNS所面临的典型的威胁，包括基TDNS的分布式拒绝服务攻击, DNS