树德科技大学硕博士班学位论文格式规范-TWNIC.DOC

PAGE 財團法人台灣網路資訊中心委託研究計劃 期末報告書 計劃名稱：DNS伺服器安全檢測與防護體系之建置與運作 執行期間：九十年八月二十三日至九十二年八月二十二日 執行單位：台灣電腦網路危機處理暨協調中心 計畫主持人：陳嘉玫副教授 HYPERLINK mailto:cchen@.tw cchen@.tw 計畫協同主持人：黃世昆博士 HYPERLINK mailto:skhuang@.tw skhuang@.tw 鄭進興副教授 HYPERLINK mailto:jscheng@.tw jscheng@.tw 連絡人：陳宗裕tychen@.tw 陳秀如 joanon@.tw 沈志昌 hunt@.tw 電話： (07) 5250211 (02)傳真： (07) 5250212 (02)地址： 804高雄市鼓山區蓮海路70號 電腦網路危機處理暨協調中心 PAGE 109 目錄 目錄 i 表目錄 iii 圖目錄 iv 一、 緒論 1 1.1 背景 1 1.2 研究動機與目的 2 1.3 研究方法 5 1.4 研究範圍與主要成果 6 二、 文獻探討 8 2.1 網路現況分析 8 2.2 網路安全探討 10 2.3 網路系統安全檢視 15 三、 DNS安全性探討 21 3.1 DNS伺服器漏洞探討 21 3.2 台灣區DNS狀態調查 27 3.3 常見DNS攻擊方式探討 35 四、 系統需求分析 44 4.1 台灣區DNS系統常見問題 44 4.2 主動式安全掃描 46 4.3 DNS安全資訊 48 4.4 研究架構及預計目標 48 五、 系統建構與實作 50 5.1 系統架構 50 5.1.1 使用者前端驗證 51 5.1.2 Nessus Scan Engine（NSE） 51 5.1.3 NASL（Nessus Attack Script Language） 52 5.1.4 後端結果資料庫 56 5.1.5 檢測種類說明 56 5.2 系統實作 58 5.2.1 使用者驗證機制 59 5.2.2 後端DNS安全檢測系統 61 5.2.3 主機合法性檢測及系統排程 72 5.3 系統應用DNS資源網站 73 5.3.1 DNS資源網站 73 5.3.2 提供DNS資訊 74 5.3.3 問題回應系統 83 5.4 DNS網域檢測設定 83 5.4.1 系統設計 83 5.4.2 檢測方式 83 5.4.3 系統說明 86 Parent檢測 86 NS檢測 88 SOA檢測 90 MX紀錄 93 WWW紀錄 95 5.5 整體網域及主機安全檢測 96 六、 結論與建議 98 6.1 研究統計結果 98 6.2 研究結論 102 6.3 未來相關研究 104 參考文獻 106 表目錄 表1 台灣區網際網路發展狀況比較表 10 表2 弱點報告數量（Vulnerabilities Reported） 14 表3 各弱點掃描工具比較 20 表4 ISC BIND 各版本弱點整理表 24 表5 DNS安全性漏洞分析 25 表6 台灣區DNS版本統計（2002.12） 28 表7 台灣區申請網域數量表（2002.12） 29 表8 .gov.tw分佈表 30 表9 .edu.tw分佈表 31 表10 .net.tw分佈表 32 表11 .idv.tw分佈表 33 表12 .org.tw分佈表 34 表13 台灣區DNS存在漏洞統計表 35 表14 CVE公布BIND弱點通報 35 表15 無法正確查詢之網域比例 45 表16 DNS容錯能力比例 45 表17 轄區傳送及授權錯誤比例 45 表18 DNS版本分佈比例 45 表19 作業系統版本分類統計表 46 表20 安全稽核程式資訊 64 表21 累積掃描情況（不重複） 101 表22 伺服器版本分佈（不重複） 101 表23 DNS漏洞分佈（不重複） 102 圖目錄 圖1 DNS Security in Australia 調查報告 4 圖2 DNS安全檢測執行流程 4 圖3 研究方法架構圖 6 圖4 全球連網主機數 8 圖5 台灣連網主機數 9 圖6 2003年企業IT使用意願調查 11 圖7 CSI/FBI 2002年資訊安全調查 12 圖8 連網阻礙因素認同情形 13 圖9 入侵事件回報數量 14 圖10 Nmap 使用畫面 16 圖11 SAINT 線上掃描功能 17 圖12 ISS Internet Scanner掃描選擇畫面 18 圖13 Nessus掃描結果報表 19 圖14 DNS Security in Australia 調查報告 20 圖15 台灣區DNS版本分佈圖 28 圖16 台