DNS服务面临的安全11 - 网络信息安全.docxVIP

DNS服务面临的安全11 - 网络信息安全.docx

  1. 1、本文档共12页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多

行处理未来的TCP连接。在linux下以root权限执行:2.增大backlog通过增加backlo管理任务,它对整个网络的运行影响极大。为了保证DNS服务器的安全运行,不仅要使用可靠的服务器软件版本使用nobody身份运行能够降低缓冲区溢出攻击所带来的危险。6.控制区域(zone)传输默认情况下BIND主要分为三个版本:(1)v4

行处理未来的TCP连接。在linux下以root权限执行:2.增大backlog通过增加backlo

管理任务,它对整个网络的运行影响极大。为了保证DNS服务器的安全运行,不仅要使用可靠的服务器软件版本

使用nobody身份运行能够降低缓冲区溢出攻击所带来的危险。6.控制区域(zone)传输默认情况下B

IND主要分为三个版本:(1)v4,1998年多数UNIX捆绑的是BIND4,已经被多数厂商抛弃了,

攻击、分布式拒绝服务攻击和缓冲区漏洞溢出攻击(BufferOverflow)。

1.DNS欺骗

DNS欺骗即域名信息欺骗是最常见的DNS安全问题。当一个DNS服务器掉入陷阱,使用了来自一个恶意DNS服务器的错误信息,那么该DNS服务器就被欺骗了。DNS欺骗会使那些易受攻击的DNS服务器产生许多安全问题,例如:将用户引导到错误的互联网站点,或者发送一个电子邮件到一个未经授权的邮件服务器。网络攻击者通常通过两种方法进行DNS欺骗。

(1)缓存感染

黑客会熟练的使用DNS请求,将数据放入一个没有设防的DNS服务器的缓存当中。这些缓存信息会在客户进行DNS访问时返回给客户,从而将客户引导到入侵者所设置的运行木马的Web服务器或邮件服务器上,然后黑客从这些服务器上获取用户信息。

(2)DNS信息劫持

入侵者通过监听客户端和DNS服务器的对话,通过猜测服务器响应给客户端的DNS查询ID。每个DNS报文包括一个相关联的16位ID号,DNS服务器根据这个ID号获取请求源位置。黑客在DNS服务器之前将虚假的响应交给用户,从而欺骗客户端去访问恶意的网站。

(3)DNS重定向

攻击者能够将DNS名称查询重定向到恶意DNS服务器。这样攻击者可以获得DNS服务器的写权限。

2.拒绝服务攻击

黑客主要利用一些DNS软件的漏洞,如在BIND9版本(版本9.2.0以前的9系列)如果有人向运行BIND的设备发送特定的DNS数据包请求,BIND就会自动关闭。攻击者只能使BIND关闭,而无法在服务器上执行任意命令。如果得不到DNS服务,那么就会产生一场灾难:由于网址不能解析为IP地址,用户将无方访问互联网。这样,DNS产生的问题就好像是互联网本身所产生的问题,这将导致大量的混乱。

3、分布式拒绝服务攻击

DDOS攻击通过使用攻击者控制的几十台或几百台计算机攻击一台主机,使得服务拒绝攻击更难以防范:使服务拒绝攻击更难以通过阻塞单一攻击源主机的数据流,来防范服务拒绝攻击。SynFlood是针对DNS

服务器最常见的分布式拒绝服务攻击。SYNFlood攻击利用的是IPv4中TCP协议的三次握手

(Three-WayHandshake)过程进行的攻击。大家知道协议规定,如果一端想向另一端发起TCP连接,

它需要首先发送TCPSYN包到对方,对方收到后发送一个TCPSYN+ACK包回来,发起方再发送TCPACK包回去,这样三次握手就结束了。我们把TCP连接的发起方叫作TCP客户机(TCPClient),TCP连接的接收方叫作TCP服务器(TCPServer)。

值得注意的是在TCP服务器收到TCPSYNrequest包时,在发送TCPSYN+ACK包回TCP客户机前,

录:以守护进程模式执行,纪录每秒超过3次查询的纪录,显示最多信息,包含APTRMX纪录等。11.建立,攻击者攻击的永远只是其中一台服务器,一来这样增加了攻击者的成本,二来过多的DNS

录:以守护进程模式执行,纪录每秒超过3次查询的纪录,显示最多信息,包含APTRMX纪录等。11.建立

,攻击者攻击的永远只是其中一台服务器,一来这样增加了攻击者的成本,二来过多的DNS请求可以帮助我们追

服务器需要配置包括一组完整的文件:主配置文件(named.conf)、正向域的区文件(named.h

EL4.0为工作平台。1.隔离DNS服务器首先应该隔离BIND服务器,不应该在DNS服务器上跑其他服

ACK包时的连接状态成为半开连接(Half-openConnection

文档评论(0)

胡林老师 + 关注
实名认证
文档贡献者

一线学习资料,欢迎下载

1亿VIP精品文档

相关文档