dns协议分析与安全检测gynfzz.docVIP

DNS协议分析与安全检测DNS协议分析与安全检测 吴海涛,郭丽红 (南京工程学院通信工程学院,江苏南京211167) 摘要:DNS是Internet上解决网上机器命名的一种系统.在Internet上,当一台主机要访问另外一台主机时,必须首先获知其地址, 这就是DNS所要解决的问题.在对DNS的报文格式详细分析的基础上,研究了DNS服务及应用所面临的安全问题及存在的漏洞, 最后提出了一些防范措施和相关建议. 关键词:域名系统;资源记录;DNS安全 TheProtocolAnalysisandSecurityDetectionofDNS WUHai—taOGUOLi—hong (SckoolofColnmuDicatlO#SEn#ineerlh~,N~njin#IRst/tuteofTecknolo#y,Nan/27g,Jjangsu2{67.China) Abstract:DNSisakindofsystemthatsolvesthemachine’snameininternet.Whenamachinewantstovisiteanothermachineininternet .itmustknowanothermachine’saddressatfirst.thisarticleanalysestheDNS’smessageformatindetail.Inthisbasis.researchesthesecurity andloopholeofDNS,atIast,givessomedefandingme~nsandcorrespondingadvice. Keywords:domainnamesystem;resourcerecord;DNSSecurity 域名系统(DNS)是一种用于TCP/IP的分布式数 据库,它是多种Intemet应用的基础,如E-mail,www, telnet等,DNS的应用极为广泛而且非常重要.近几年 来,DNS遭受到了一系列的攻击,导致Internet的通信 受到严重影响.在某些严重的情况下导致数据被骗取,造 成一些公司,机构等遭受巨大损失.因此,众多业内人士 开始关注DNS的安全问题,并且DNS的安全已经成为 互联网安全研究的焦点.本文在分析DNS报文格式基础 上,着重讨论了DNS的安全问题,并且在综合运用多种 网络安全技术的基础上提出了一系列的安全解决方案. 1DNS基本信息 1.1DNS的概念 所谓DNS,是D0mainNaHieSystem的英文缩 写,又称域名系统…,它是一种组织成层次结构的计 算机和网络服务的命名系统.DNS命名用于TCP/IP 网络,如Internet,用来通过用户友好的名称(比如 “www. ”)代替难记的IP地址(比如 “88”),以定位计算机和服务. 1.2DNS的组成 (1)域名空间和资源记录,域名空间是一种树状结构 资源记录是与名字相关的一些数据.从概念上说,每个结 点和域名空间树的叶子结点都有一定的信息,而查询是要 查询出一些与之相关的特定信息. (2)域名服务器是服务器程序,它保留域名树结构和 相应的信息,它可以缓冲各种数据,保存域名树中的任何 部分,但是通常它保存域名空间的一个子集,如果需要查 询其他信息,可以通过指向其他域名服务器的地址寻找. 这个域名服务器是这一部分的认证权威,所有的认证信息 组成一个单元称为区,这些区可以分布于不同的服务器上 以保证数据的冗余. (3)resolver是向域名服务器提出查询请求并将结果 返回给客户的程序,它必须可以访问至少一个域名服务器, 并将结果直接返回给用户或向别的域名服务器进行查询. 1.3DNS服务器的工作原理 客户机将域名查询请求发送到本地DNS服务器, DNS服务器将在本地数据库中查找客户机要求的映射; 如果本地DNS服务器不能在本地找到客户机查询的信息, 则将客户机请求发送到根域名DNS服务器.根域名DNS 服务器负责解析客户机请求的根域部分,它将包含下一级 域名信息的DNS服务器地址返回给客户机的DNS服务 器;客户机的DNS服务器利用根域名服务器解析的地址 一一『_IJc=—f.1f_Il3J 访问下一级DNS服务器,得到维护再下一级域名的DNS 服务器地址;按照上述递归方法逐级接近查找目标,最后 在维护有目标域名的DNS服务器上找到相应的IP地址信 息;客户机的本地DNS服务器将递归查询结果返回客户 机;客户机利用从本地DNS服务器查询得到的IP地址访 问目标主机. 2DNS报文分析 DNS定义了两种报文,一种为查询报文;另一种 是对查询报文的响应,称为响应报文. 2.1查询报文格式 查询报文格式如图1所示. 【_Jl63l 【l 川.致业 十:披q求馥:¨致 _li¨U 图7DNS查