DNS系统是所有互联网应用的基础,在网站运维中起着至关重要的作用,本文起一个抛砖引玉的作用,给大家探讨一下,域名解析的原理,域名解析系统常见的的攻击方法和预防措施。 在开始之前我先让大家重温近两年两个安全业界比较大的新闻;去年五月份发生的六省大规模断网事件,这件事情起因是据说是两个网游私服因争夺用户恶斗,黑客因为在网站的web服务器上找不到破绽,而将攻击指向了私服的DNS提供商DNSpod,黑客以大流量对DNSpod的服务器进行攻击,DNSpod的服务器在大流量的攻击下不堪重负而宕机,影响超过十万个网站,暴风影音也是这十万个网站中的一员,暴风影音软件由于设计缺陷,在域名解析不可用的情况下,不停的向地方的ISP的DNS服务器发起域名解析请求,由于暴风影音的装机量巨大,这种请求衍变成了对地方ISP的DNS服务器的分布式拒绝服务器攻击(ddos),DNS请求的巨大流量如洪水一样将ISP的DNS服务器淹没,最后造成了全国大面积的断网,暴风影音对其软件进行了召回。 今年年初的百度被黑事件,这件事情的主要是因黑客冒充百度的工作人员要求域名注册商修改登录账号,注册商在没有审核的情况下就为黑客修改了域名的登录账号,黑客通过账号修改了百度的DNS服务器,造成百度域名的解析出错。 DNS系统是所有互联网应用的基础,在网站运维中起着至关重要的作用,下面来看看域名解析的原理: 1. 访客向本地ISP的DNS服务器发起一个域名解析请求 2. ISP的DNS服务器向授权的DNS服务器发起域名解析请求 3. 授权的DNS服务器将结果返回给ISP的DNS服务器 4. ISP的DNS将结果返回给用户 5. 用户根据返回结果中的IP地址向网站的服务器发起请求 正是由于DNS管理系统对于网站非常重要,它也逐渐成为黑客的攻击目标,常见的攻击方式有三种 域名劫持,百度被黑就属于这种攻击方法,域名被劫持后,不仅网站内容会被改变,甚至可以导致域名所有权也旁落他人。如果是国内的CN域名被劫持,还可以通过和注册服务商或注册管理机构联系,较快地拿回控制权。如果是国际域名被劫持,恰巧又是通过国际注册商注册,那么其复杂的解决流程,再加上非本地化的服务,会使得夺回域名变得异常复杂。 域名欺骗(缓存投毒),域名欺骗的方式有多种多样,但其攻击现象就是利用控制DNS缓存服务器,把原本准备访问某网站的用户在不知不觉中带到黑客指向的其他网站上,其实现方式可以通过利用网民ISP端的DNS缓存服务器的漏洞进行攻击或控制,从而改变该ISP内的用户访问域名的响应结果。或者黑客通过利用用户权威域名服务器上的漏洞,如当用户权威域名服务器同时可以被当作缓存服务器使用,黑客可以实现缓存投毒,将错误的域名纪录存入缓存中,从而使所有使用该缓存服务器的用户得到错误的DNS解析结果。域名欺骗可以用来钓鱼,盗取用户的cookie,账号密码信息。 ddos攻击。针对DNS服务器的拒绝服务攻击有两种,一种攻击针对DNS服务器软件本身,通常利用BIND软件程序中的漏洞,导致DNS服务器崩溃或拒绝服务;另一种攻击的目标不是DNS服务器,而是利用DNS服务器作为中间的“攻击放大器”,去攻击其他互联网上的主机,导致被攻击主机拒绝服务。 那么如何去预防这些攻击呢?下面是DNS管理的最佳惯例,做好下面这几项就能够很好防范于未然 1.在不同的网络上运行分离的域名服务器来取得冗余性。 2.将外部和内部域名服务器分开(物理上分开或运行BIND Views)并使用转发器(forwarders)。外部域名服务器应当接受来自几乎任何地址的查询,但是转发器则不接受。它们应当被配置为只接受来自内部地址的查询。关闭外部域名服务器上的递归功能(从根服务器开始向下定位DNS记录的过程)。这可以限制哪些DNS服务器与Internet联系。 3. 可能时,限制动态DNS更新。 4. 将区域传送仅限制在授权的设备上。 5. 利用事务签名对区域传送和区域更新进行数字签名。 6. 隐藏运行在服务器上的BIND版本。 7. 删除运行在DNS服务器上的不必要服务,如FTP、telnet和HTTP。 8. 在网络外围和DNS服务器上使用防火墙服务。将访问限制在那些DNS功能需要的端口/服务上。 结语:文章主要讲述了DNS的解析原理,常见的针对DNS的攻击手法和解决之道,本文只是抛砖引玉,希望能给各位读者对于DNS安全的防护有一定的启发,谢谢! 参考文章:解决之道 怎样阻止域名劫持
转载于:https://my.oschina.net/wuhan88/blog/8214
原文链接:https://blog.csdn.net/weixin_33887443/article/details/91921720?ops_request_misc=&request_id=9e07fe24943a4a2881a0008e0f2e7b40&biz_id=&utm_medium=distribute.pc_search_result.none-task-blog-2~blog~koosearch~default-14-91921720-null-null.268%5Ev1%5Econtrol&utm_term=dns%E9%98%B2%E6%8A%A4
原创文章,作者:优速盾-小U,如若转载,请注明出处:https://www.cdnb.net/bbs/archives/22615
