谢家浩
摘 要:在信息时代,网络对我们的影响越来越深远,人们对于网络安全性的衡量,便是通过其访问信息可得性与有效性进行,从目前的网络环境来看,安全问题日益严重。其中一个突出的表现就是DNS服务器的攻击问题,本文主要针对DNS服务器的攻击原理与防范措施进行分析。
关键词:DNS服务器;攻击原理;防范措施
DNS在网络中起着举足轻重的作用,所以它的安全性关系到整个网络的运行状况。而且,随着互联网的不断发展,DNS成为全球最复杂、最庞大的分布式层次数据库系统。一方面因为这些特性和一些设计人员设计时对其安全性的考虑不够全面等因素,给了黑客们攻击和破坏的机会。DNS正在面临着严重的威胁,对此本文就DNS的工作原理,提出了一些常见的安全威胁,并针对这些威胁给出了相应的解决措施。
1 DNS的工作原理
DNS的作用是实现IP地址和域名间的相互转换,即在IP地址和域名之间充当翻译。DNS由Sever和Client两部分组成,工作过程是Client向Server请求域名解析,Server查询自己的数据库。当其存在Client请求的内容时,会发送相应的数据包并输出相应的结果;当不存在相应内容时,它会进行上一层的Server查询,并如此不间断查询直到查询出需要的结果或给出查询失败的结果。根据DNS的具体工作流程我们可以发现DNS体系中存在的一些漏洞:迭代查询会使服务器严重依赖于顶级域和根域服务器。使用无连接明文的UDP协议传送增大了伪造和投毒的机会,而且明文传送会使得DNS的保密性极低。除了这些,还有一些漏洞来自于DNS服务器的软件本身。
2 常见的DNS攻击
网络攻击者看到了通过DNS进行攻击时具有成本小、效率高、并且可以利用少量资源就能发出极大破坏力的攻击,而且攻击可以很容易地逃过监控和防护等便利,而大肆攻击网络的DNS。正因此,DNS成为了Internet安全的重大隐患。对此本文对常见的DNS攻击进行了分析。
2.1 缓存投毒
缓存投毒讲的是黑客利用DNS缓存服务器将用户访问的网站转到其他的网站并达到其相应的目的。主要的投毒方式有两种:一种是通过控制和攻击用户的DNS缓存服务器,从而改变用户访问域名的相应结果,另一种是攻击权威域名服务器,在用户同时将用户和权威域名服务器当作缓存服务器时,将错误的域名导入服务器缓存中。从而使该服务器输出不正确的DNS解析结果。总体来看,缓存投毒针对的是连接这些服务器的用户们。
2.2 DNS欺骗
DNS欺骗也是常见的问题,其本质就是利用冒充域名服务器来攻击的行为,在进行攻击前,黑客需要为用户传输虚假DNS服务器响应结果,诱骗用户来点击恶意网站。在网络攻击者截取了用户发送的请求之后,就会发送给其虚假的IP地址,但是用户却毫不知情,将其作为正确的访问地址来点击,这样,黑客就实现了欺骗用户的目的,非法获取到相关的利益。
2.3 DDoS攻击
DDoS攻击的实现也有两种方式:
一是利用DNS的服务器软件中的各种漏洞,使其拒绝服务或崩溃。
二是把DNS服务器当成“踏板”去攻击其他互联网主机或服务器并使它们拒绝提供服务。
3 DNS攻击的防范措施
针对上述攻击手段我们提出了相应防范措施:
3.1 缓存投毒的防范措施分析
一种是及时更新DNS数据库,并根据服务器的实际运行情况和性能适当的降低服务器缓存记录的TTL值来预防缓存中毒。另一种措施是UDP端口随机化,通过这种方法可以极大提高端口号和UDP号的组合方案而降低缓存投毒的命中几率。
3.2 DNS欺骗的防范措施分析
通过绑定IP地址和网关路由器MAC地址来避免ARP欺骗造成的DNS欺骗。因为这种欺骗利用的是APP欺骗;而针对用户收到的欺骗应答包,我们可以利用它为快速返回给客户端而采用比合法应答包简单的报文特点,来监听DNS应答包,根据相应的算法来鉴别真假,从而避免DNS欺骗。最好的是要对服务器给出适当的安全配置和管理。对一些安全级别要求较高的可以通过绕开DNS服务而直接访问IP地址。这样所有的DNS攻击都可以避免了。
3.3 DDoS攻击防范措施
DDoS防范措施有以下几种:安装相应的防火墙来限制和过滤高DNS流量请求;撤销服务器中允许查询网址的递回选项;冗余备份重要的DNS服务器等等。
4 结语
越来越猖狂的网络攻击已经严重危机到网络的安全。所以我们必须学习和掌握丰富的网络知识并了解黑客们的攻击手段来抵御他们的疯狂攻击。而且在任何时候都要吧网络安全教育放在安全体系的第一位,只有这样才能提高网络用户们的安全意识,再遇到网络攻击是会有一些防范措施来进行防范。对于一些网络初学者也不要过分担心DNS攻击,因为市场上已经推出了大量的网络安全方案,在不久的将来,我们一定会有一个安全的信息的传输媒介。
参考文献:
[1] 刘扬,刘杨,胡仕成,朱東杰.基于ARP与DNS欺骗的重定向技术的研究[J].计算机工程与设计,2007(23).
[2] 李江,张峰,付俊,杨光华.一种基于资源感知的小流量DDoS攻击防御方法[J].电信工程技术与标准化,2013(12).
[3] 杨小红,郑玮琨.IPv6下确定性包标记追踪[J].深圳信息职业技术学院学报,2016(03).
[4] 周予倩.基于防御视角的常见网络攻击技术发展趋势研究[J].计算机光盘软件与应用,2012(22).