DNS工作特征以及安全防范

2014-07-24 21:58张鑫
新媒体研究 2014年8期
关键词:安全特征

张鑫

摘 要 文章首先针对DNS概念以及工作原理展开了必要的分析,而后进一步对该领域中的安全防范进行了讨论,对于深入了解DNS的工作特征和安全状态有着一定的积极意义。

关键词 DNS;安全;特征

中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2014)08-0134-01

信息时代之下,互联网空前发达。互联网的存在,一方面极大地丰富了人们的日常生活,另一个方面对于推动者社会生产的效率有着毋庸置疑的作用,与此同时,互联网作为一个关键的知识来源,对于人们学习能力的提升和学习领域的扩展同样有着不容忽视的作用。基于互联网如此重要的作用,其安全性就更需要引起重视,而在互联网安全领域中,DNS安全成为了必然的关注重点。

1 DNS概念以及工作原理

域名服务系统(DNS,Domain Name System),其主要职责在于帮助实现从域名到IP地址的映射以及查询服务提供。在互联网中,计算机之间的区分和识别依据IP地址展开,但是为了方便访问和记忆,人类不能依据IP地址对网页进行访问,这就需要DNS服务器提供相应的映射和查询服务,帮助将人类提出的域名访问请求映射成为计算机能够看懂的IP地址,反馈给用户所在的计算机,而后进一步经过互联网展开对于目标主机的访问。

DNS的解析工作流程参见图1。

图1 DNS解析工作流程示意图

从图1中可以看出整个DNS的工作流程。首先由用户发起访问请求,并且由本地DNS服务器接收这一请求。需要注意本地DNS服务器只是DNS数据在用户端的镜像存储,并不是真正的DNS服务器,采取这种镜像存储的意义主要有两个方面,其一在于可以将用户访问需求分散到各个分布镜像数据库,实现用户需求最有效最快速的响应;其二则在于帮助更好地保护DNS根服务器,避免来自于网络的直接攻击,加强安全。如果本地DNS服务器能够满足用户查询请求,即可直接将查询结果反馈给用户。但是对于本地镜像数据而言,通常都只是按照一定的算法存储频繁查询读取的数据,并非全部DNS解析数据,因此当无法满足用户的查询请求的时候,即需要转向根DNS服务器进行解析查询。如果用户查询的是.com域名解析资料,则跟DNS服务器在获取用户查询特征之后,会将com域的DNS解析服务器地址反馈给本地DNS服务器,并且由本地DNS服务器转向访问com域的DNS服务器以获取解析响应,将XXX.com域的DNS服务器地址反馈回来。随后,同样由本地DNS服务器转向访问XXX.com域的DNS服务器,并且最终获取到www.XXX.com域名的IP地址,最后将该IP地址反馈给用户端计算机,由该用户端计算机直接执行对于域名的访问。

2 DNS安全防范分析

DNS解析服务对于用户而言,是实现了整个网络的索引功能,其重要性不言而喻。没有DNS解析服务,用户必然无法依据域名来实现对于诸多网络页面的访问,这对于当前的信息化社会而言,无疑是无法忍受的重创。2009年5月19日,域名免费托管组织DNSPod遭受DDoS攻击,加上暴风影音软件存在的问题,导致了中国六省长时间断网事件;2010年1月12日,百度DNS遭到劫持,导致网站数小时无法访问,习惯了使用百度搜索的人们只能暂时依靠其他引擎进行工作;2010年3月24日,维基百科Wikimedia的DNS在做服务切换时发生配置错误,致使欧洲用户数小时无法访问维基百科网站。这些安全问题,都直接给网络用户以及网站组织本身带来极大的不便,在严重的时候甚至可能会危及国家安全或者影响到国家的经济发展。基于DNS如此重要的地位,必须对其安全状况予以重视,尽可能提升其安全水平。

DNS安全系统的构建,其工作繁杂,并且不同的手段必然也会具有不同的针对性。鉴于文章限制,在此仅对两种常见的安全防范手段提出分析。

1)防火墙以及包过滤技术。对于DNS的攻击通常都采用正常的数据包,发出大量解析请求,借以实现对于DNS服务资源的占用从而达到迫使DNS解析系统瘫痪的目的。这就决定了想要通过单纯的防火墙以及杀毒数据流监控,难以实现对于DNS服务器的有效保护。虽然如此,仍然可以通过展开DNS解析请求的分析,获取到攻击行为并且予以抵制。通常在采用防火墙的同时,为DNS服务器本身建立起一个前端的镜像服务器,镜像服务器从主服务器中定期读取数据并且实现同步,但DNS的核心解析工作仍然由主服务器加以执行。从外界看,二者同为根DNS服务器,并不加以区分。在这样的体系之下,防火墙以及嗅探系统的工作在于监控DNS服务器的数据流量,并且根据相应的流量特征做出统计。通常认为日常的解析请求会呈现出一定的稳定特征,如果解析请求过于起伏或者出现暴增的局面,就有理由怀疑受到了人为攻击,并且存在有潜在的安全隐患。

2)DNSSEC安全架构。由于DNS本身在设计之初并未考虑到安全问题,因此在数据完整性和认证机制方面都有所欠缺,基于这样的状况,1993年IETF提出了DNS安全扩展的概念,即DNSSEC。DNSSEC的核心思想是通过公钥密码技术对DNS中的信息创建密码签名,为DNS信息同时提供认证和信息完整性检查。从具体的职能角度看,DNSSEC重点负责密钥分配和消息认证。DNSSEC对于DNS服务器的解析工作过程都做出了相应的安全定义,并且进一步带动了对于客户端的一些要求发展,对于DNS查询/应答、DNS动态更新、DNS域区传输、DNS通知报文等方面的安全特征都提出了新的要求,是当前技术环境中相对比较完善的DNS方案。

3 结论

DNS本身的可靠性和安全性,直接关系到整个互联网的稳定性和安全特征,对于用户的互联网体验也同样至关重要,在某些特殊情况下,甚至会威胁到国家的安全和经济的发展。基于此种考虑,必须以严肃认真的态度对待DNS安全状态,积极关注行业技术发展,以切实提升DNS安全作为唯一准绳,对潜在安全威胁展开清除。

参考文献

[1]孔政,姜秀柱.DNS欺骗原理及其防御方案[J].计算机工程,2010(2).

[2]张小妹,赵荣彩,等.基于DNS的拒绝服务攻击研究与防范[J].计算机工程与设计,2008(1).endprint

摘 要 文章首先针对DNS概念以及工作原理展开了必要的分析,而后进一步对该领域中的安全防范进行了讨论,对于深入了解DNS的工作特征和安全状态有着一定的积极意义。

关键词 DNS;安全;特征

中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2014)08-0134-01

信息时代之下,互联网空前发达。互联网的存在,一方面极大地丰富了人们的日常生活,另一个方面对于推动者社会生产的效率有着毋庸置疑的作用,与此同时,互联网作为一个关键的知识来源,对于人们学习能力的提升和学习领域的扩展同样有着不容忽视的作用。基于互联网如此重要的作用,其安全性就更需要引起重视,而在互联网安全领域中,DNS安全成为了必然的关注重点。

1 DNS概念以及工作原理

域名服务系统(DNS,Domain Name System),其主要职责在于帮助实现从域名到IP地址的映射以及查询服务提供。在互联网中,计算机之间的区分和识别依据IP地址展开,但是为了方便访问和记忆,人类不能依据IP地址对网页进行访问,这就需要DNS服务器提供相应的映射和查询服务,帮助将人类提出的域名访问请求映射成为计算机能够看懂的IP地址,反馈给用户所在的计算机,而后进一步经过互联网展开对于目标主机的访问。

DNS的解析工作流程参见图1。

图1 DNS解析工作流程示意图

从图1中可以看出整个DNS的工作流程。首先由用户发起访问请求,并且由本地DNS服务器接收这一请求。需要注意本地DNS服务器只是DNS数据在用户端的镜像存储,并不是真正的DNS服务器,采取这种镜像存储的意义主要有两个方面,其一在于可以将用户访问需求分散到各个分布镜像数据库,实现用户需求最有效最快速的响应;其二则在于帮助更好地保护DNS根服务器,避免来自于网络的直接攻击,加强安全。如果本地DNS服务器能够满足用户查询请求,即可直接将查询结果反馈给用户。但是对于本地镜像数据而言,通常都只是按照一定的算法存储频繁查询读取的数据,并非全部DNS解析数据,因此当无法满足用户的查询请求的时候,即需要转向根DNS服务器进行解析查询。如果用户查询的是.com域名解析资料,则跟DNS服务器在获取用户查询特征之后,会将com域的DNS解析服务器地址反馈给本地DNS服务器,并且由本地DNS服务器转向访问com域的DNS服务器以获取解析响应,将XXX.com域的DNS服务器地址反馈回来。随后,同样由本地DNS服务器转向访问XXX.com域的DNS服务器,并且最终获取到www.XXX.com域名的IP地址,最后将该IP地址反馈给用户端计算机,由该用户端计算机直接执行对于域名的访问。

2 DNS安全防范分析

DNS解析服务对于用户而言,是实现了整个网络的索引功能,其重要性不言而喻。没有DNS解析服务,用户必然无法依据域名来实现对于诸多网络页面的访问,这对于当前的信息化社会而言,无疑是无法忍受的重创。2009年5月19日,域名免费托管组织DNSPod遭受DDoS攻击,加上暴风影音软件存在的问题,导致了中国六省长时间断网事件;2010年1月12日,百度DNS遭到劫持,导致网站数小时无法访问,习惯了使用百度搜索的人们只能暂时依靠其他引擎进行工作;2010年3月24日,维基百科Wikimedia的DNS在做服务切换时发生配置错误,致使欧洲用户数小时无法访问维基百科网站。这些安全问题,都直接给网络用户以及网站组织本身带来极大的不便,在严重的时候甚至可能会危及国家安全或者影响到国家的经济发展。基于DNS如此重要的地位,必须对其安全状况予以重视,尽可能提升其安全水平。

DNS安全系统的构建,其工作繁杂,并且不同的手段必然也会具有不同的针对性。鉴于文章限制,在此仅对两种常见的安全防范手段提出分析。

1)防火墙以及包过滤技术。对于DNS的攻击通常都采用正常的数据包,发出大量解析请求,借以实现对于DNS服务资源的占用从而达到迫使DNS解析系统瘫痪的目的。这就决定了想要通过单纯的防火墙以及杀毒数据流监控,难以实现对于DNS服务器的有效保护。虽然如此,仍然可以通过展开DNS解析请求的分析,获取到攻击行为并且予以抵制。通常在采用防火墙的同时,为DNS服务器本身建立起一个前端的镜像服务器,镜像服务器从主服务器中定期读取数据并且实现同步,但DNS的核心解析工作仍然由主服务器加以执行。从外界看,二者同为根DNS服务器,并不加以区分。在这样的体系之下,防火墙以及嗅探系统的工作在于监控DNS服务器的数据流量,并且根据相应的流量特征做出统计。通常认为日常的解析请求会呈现出一定的稳定特征,如果解析请求过于起伏或者出现暴增的局面,就有理由怀疑受到了人为攻击,并且存在有潜在的安全隐患。

2)DNSSEC安全架构。由于DNS本身在设计之初并未考虑到安全问题,因此在数据完整性和认证机制方面都有所欠缺,基于这样的状况,1993年IETF提出了DNS安全扩展的概念,即DNSSEC。DNSSEC的核心思想是通过公钥密码技术对DNS中的信息创建密码签名,为DNS信息同时提供认证和信息完整性检查。从具体的职能角度看,DNSSEC重点负责密钥分配和消息认证。DNSSEC对于DNS服务器的解析工作过程都做出了相应的安全定义,并且进一步带动了对于客户端的一些要求发展,对于DNS查询/应答、DNS动态更新、DNS域区传输、DNS通知报文等方面的安全特征都提出了新的要求,是当前技术环境中相对比较完善的DNS方案。

3 结论

DNS本身的可靠性和安全性,直接关系到整个互联网的稳定性和安全特征,对于用户的互联网体验也同样至关重要,在某些特殊情况下,甚至会威胁到国家的安全和经济的发展。基于此种考虑,必须以严肃认真的态度对待DNS安全状态,积极关注行业技术发展,以切实提升DNS安全作为唯一准绳,对潜在安全威胁展开清除。

参考文献

[1]孔政,姜秀柱.DNS欺骗原理及其防御方案[J].计算机工程,2010(2).

[2]张小妹,赵荣彩,等.基于DNS的拒绝服务攻击研究与防范[J].计算机工程与设计,2008(1).endprint

摘 要 文章首先针对DNS概念以及工作原理展开了必要的分析,而后进一步对该领域中的安全防范进行了讨论,对于深入了解DNS的工作特征和安全状态有着一定的积极意义。

关键词 DNS;安全;特征

中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2014)08-0134-01

信息时代之下,互联网空前发达。互联网的存在,一方面极大地丰富了人们的日常生活,另一个方面对于推动者社会生产的效率有着毋庸置疑的作用,与此同时,互联网作为一个关键的知识来源,对于人们学习能力的提升和学习领域的扩展同样有着不容忽视的作用。基于互联网如此重要的作用,其安全性就更需要引起重视,而在互联网安全领域中,DNS安全成为了必然的关注重点。

1 DNS概念以及工作原理

域名服务系统(DNS,Domain Name System),其主要职责在于帮助实现从域名到IP地址的映射以及查询服务提供。在互联网中,计算机之间的区分和识别依据IP地址展开,但是为了方便访问和记忆,人类不能依据IP地址对网页进行访问,这就需要DNS服务器提供相应的映射和查询服务,帮助将人类提出的域名访问请求映射成为计算机能够看懂的IP地址,反馈给用户所在的计算机,而后进一步经过互联网展开对于目标主机的访问。

DNS的解析工作流程参见图1。

图1 DNS解析工作流程示意图

从图1中可以看出整个DNS的工作流程。首先由用户发起访问请求,并且由本地DNS服务器接收这一请求。需要注意本地DNS服务器只是DNS数据在用户端的镜像存储,并不是真正的DNS服务器,采取这种镜像存储的意义主要有两个方面,其一在于可以将用户访问需求分散到各个分布镜像数据库,实现用户需求最有效最快速的响应;其二则在于帮助更好地保护DNS根服务器,避免来自于网络的直接攻击,加强安全。如果本地DNS服务器能够满足用户查询请求,即可直接将查询结果反馈给用户。但是对于本地镜像数据而言,通常都只是按照一定的算法存储频繁查询读取的数据,并非全部DNS解析数据,因此当无法满足用户的查询请求的时候,即需要转向根DNS服务器进行解析查询。如果用户查询的是.com域名解析资料,则跟DNS服务器在获取用户查询特征之后,会将com域的DNS解析服务器地址反馈给本地DNS服务器,并且由本地DNS服务器转向访问com域的DNS服务器以获取解析响应,将XXX.com域的DNS服务器地址反馈回来。随后,同样由本地DNS服务器转向访问XXX.com域的DNS服务器,并且最终获取到www.XXX.com域名的IP地址,最后将该IP地址反馈给用户端计算机,由该用户端计算机直接执行对于域名的访问。

2 DNS安全防范分析

DNS解析服务对于用户而言,是实现了整个网络的索引功能,其重要性不言而喻。没有DNS解析服务,用户必然无法依据域名来实现对于诸多网络页面的访问,这对于当前的信息化社会而言,无疑是无法忍受的重创。2009年5月19日,域名免费托管组织DNSPod遭受DDoS攻击,加上暴风影音软件存在的问题,导致了中国六省长时间断网事件;2010年1月12日,百度DNS遭到劫持,导致网站数小时无法访问,习惯了使用百度搜索的人们只能暂时依靠其他引擎进行工作;2010年3月24日,维基百科Wikimedia的DNS在做服务切换时发生配置错误,致使欧洲用户数小时无法访问维基百科网站。这些安全问题,都直接给网络用户以及网站组织本身带来极大的不便,在严重的时候甚至可能会危及国家安全或者影响到国家的经济发展。基于DNS如此重要的地位,必须对其安全状况予以重视,尽可能提升其安全水平。

DNS安全系统的构建,其工作繁杂,并且不同的手段必然也会具有不同的针对性。鉴于文章限制,在此仅对两种常见的安全防范手段提出分析。

1)防火墙以及包过滤技术。对于DNS的攻击通常都采用正常的数据包,发出大量解析请求,借以实现对于DNS服务资源的占用从而达到迫使DNS解析系统瘫痪的目的。这就决定了想要通过单纯的防火墙以及杀毒数据流监控,难以实现对于DNS服务器的有效保护。虽然如此,仍然可以通过展开DNS解析请求的分析,获取到攻击行为并且予以抵制。通常在采用防火墙的同时,为DNS服务器本身建立起一个前端的镜像服务器,镜像服务器从主服务器中定期读取数据并且实现同步,但DNS的核心解析工作仍然由主服务器加以执行。从外界看,二者同为根DNS服务器,并不加以区分。在这样的体系之下,防火墙以及嗅探系统的工作在于监控DNS服务器的数据流量,并且根据相应的流量特征做出统计。通常认为日常的解析请求会呈现出一定的稳定特征,如果解析请求过于起伏或者出现暴增的局面,就有理由怀疑受到了人为攻击,并且存在有潜在的安全隐患。

2)DNSSEC安全架构。由于DNS本身在设计之初并未考虑到安全问题,因此在数据完整性和认证机制方面都有所欠缺,基于这样的状况,1993年IETF提出了DNS安全扩展的概念,即DNSSEC。DNSSEC的核心思想是通过公钥密码技术对DNS中的信息创建密码签名,为DNS信息同时提供认证和信息完整性检查。从具体的职能角度看,DNSSEC重点负责密钥分配和消息认证。DNSSEC对于DNS服务器的解析工作过程都做出了相应的安全定义,并且进一步带动了对于客户端的一些要求发展,对于DNS查询/应答、DNS动态更新、DNS域区传输、DNS通知报文等方面的安全特征都提出了新的要求,是当前技术环境中相对比较完善的DNS方案。

3 结论

DNS本身的可靠性和安全性,直接关系到整个互联网的稳定性和安全特征,对于用户的互联网体验也同样至关重要,在某些特殊情况下,甚至会威胁到国家的安全和经济的发展。基于此种考虑,必须以严肃认真的态度对待DNS安全状态,积极关注行业技术发展,以切实提升DNS安全作为唯一准绳,对潜在安全威胁展开清除。

参考文献

[1]孔政,姜秀柱.DNS欺骗原理及其防御方案[J].计算机工程,2010(2).

[2]张小妹,赵荣彩,等.基于DNS的拒绝服务攻击研究与防范[J].计算机工程与设计,2008(1).endprint

猜你喜欢
安全特征
抓特征解方程组
春天来啦(2则)
抓特征 猜成语
不存在的特征