DNS服务面临的安全12 - 网络信息安全.docxVIP

可以使用dnstop查询DNS服务器状态：软件下载和安装：运行软件：如果想查看通过eth0的DNS网IND的区域(zone)传输是全部开放的，如果没有限制那么DNS服务器允许对任何人都进行区域传输的话查询BIND的版本号，然后黑客就知道这个软件有那些漏洞。因此随意公开版本号是不明智的。隐藏BIND版将BIND的版本号信息覆盖。例如使用下面的配置声明，当有人请求版本信息时，迫使nmaed显示：“UnDNS

可以使用dnstop查询DNS服务器状态：软件下载和安装：运行软件：如果想查看通过eth0的DNS网

IND的区域(zone)传输是全部开放的，如果没有限制那么DNS服务器允许对任何人都进行区域传输的话

查询BIND的版本号，然后黑客就知道这个软件有那些漏洞。因此随意公开版本号是不明智的。隐藏BIND版

将BIND的版本号信息覆盖。例如使用下面的配置声明，当有人请求版本信息时，迫使nmaed显示：“Un

攻击、分布式拒绝服务攻击和缓冲区漏洞溢出攻击（BufferOverflow）。

1.DNS欺骗

DNS欺骗即域名信息欺骗是最常见的DNS安全问题。当一个DNS服务器掉入陷阱，使用了来自一个恶意DNS服务器的错误信息，那么该DNS服务器就被欺骗了。DNS欺骗会使那些易受攻击的DNS服务器产生许多安全问题，例如：将用户引导到错误的互联网站点，或者发送一个电子邮件到一个未经授权的邮件服务器。网络攻击者通常通过两种方法进行DNS欺骗。

（1）缓存感染

黑客会熟练的使用DNS请求，将数据放入一个没有设防的DNS服务器的缓存当中。这些缓存信息会在客户进行DNS访问时返回给客户，从而将客户引导到入侵者所设置的运行木马的Web服务器或邮件服务器上，然后黑客从这些服务器上获取用户信息。

（2）DNS信息劫持

入侵者通过监听客户端和DNS服务器的对话，通过猜测服务器响应给客户端的DNS查询ID。每个DNS报文包括一个相关联的16位ID号，DNS服务器根据这个ID号获取请求源位置。黑客在DNS服务器之前将虚假的响应交给用户，从而欺骗客户端去访问恶意的网站。

（3）DNS重定向

攻击者能够将DNS名称查询重定向到恶意DNS服务器。这样攻击者可以获得DNS服务器的写权限。

2.拒绝服务攻击

黑客主要利用一些DNS软件的漏洞，如在BIND9版本（版本9.2.0以前的9系列）如果有人向运行BIND的设备发送特定的DNS数据包请求，BIND就会自动关闭。攻击者只能使BIND关闭，而无法在服务器上执行任意命令。如果得不到DNS服务，那么就会产生一场灾难：由于网址不能解析为IP地址，用户将无方访问互联网。这样，DNS产生的问题就好像是互联网本身所产生的问题，这将导致大量的混乱。

3、分布式拒绝服务攻击

DDOS攻击通过使用攻击者控制的几十台或几百台计算机攻击一台主机，使得服务拒绝攻击更难以防范：使服务拒绝攻击更难以通过阻塞单一攻击源主机的数据流，来防范服务拒绝攻击。SynFlood是针对DNS

服务器最常见的分布式拒绝服务攻击。SYNFlood攻击利用的是IPv4中TCP协议的三次握手

（Three-WayHandshake）过程进行的攻击。大家知道协议规定，如果一端想向另一端发起TCP连接，

它需要首先发送TCPSYN包到对方，对方收到后发送一个TCPSYN+ACK包回来，发起方再发送TCPACK包回去，这样三次握手就结束了。我们把TCP连接的发起方叫作TCP客户机（TCPClient），TCP连接的接收方叫作TCP服务器（TCPServer）。

值得注意的是在TCP服务器收到TCPSYNrequest包时，在发送TCPSYN+ACK包回TCP客户机前，

务器其他信息。为了让潜在的黑客更难得手，建议不要在DNS配置文件中使用这HINFO和TXT两个资源记ing对目前网络应用,最大的冲击在于冒名者借着提供假的网域名称与网址的对照信息,可以将不知情用户的网d，

务器其他信息。为了让潜在的黑客更难得手，建议不要在DNS配置文件中使用这HINFO和TXT两个资源记

ing对目前网络应用,最大的冲击在于冒名者借着提供假的网域名称与网址的对照信息,可以将不知情用户的网

d，Apache等软件大都是开源软件，而且都在不停升级，稳定版和测试版交替出现。在www.apach

（TCPServer）。值得注意的是在TCP服务器收到TCPSYNrequest包时，在发送