《DNS与DNS安全》PPT课件.ppt

域名系统DNS,域名解析,2,智能DNS,4,DNS报文,3,DNS简介,1,DNS安全,5,目录,A?,A,index页面?,DNS服务器,web服务器,DNS简介,DNS简介,域名系统(DNS)规范以Internet工程任务组(IETF)和其他工作组所发布的已批准的RFC为基础，目前提出的DNS相关的RFC标准已超过100件,早期，使用HOSTS.TXT存储主机名到IP地址的映射，由SRI(StanfordResearchInstitute)的网络信息中心负责维护，各个主机通过FTP进行更新。目前仍然保留hosts文件/etc/hosts文件：,DNS简介,答案：树状的名字空间名字如同地址，机构，文件夹一样，由大到小，由整体到局部通过某种机制，划分管理区块,随着互联网的扩大，主机数量增加，导致域名数量的增加，带来两个问题：,DNS简介,DNS简介,DNS简介,DNS对于用户：方便理解和记忆。,DNS简介,DNS域名服务器：保存有该网络中所有主机的域名和对应地址。根域名服务器：全球共13个，10个位于美国，其余个分别位于英国、挪威、日本镜像服务器顶级域名服务器：“com”、“edu”等权威域名服务器：存储并维护某个区的信息的域名服务器递归域名服务器：可以将权威服务器返回的各种记录进行缓存从而减少查询次数和提高查询效率，因而也被称为缓存域名服务器或本地域名服务器；为用户提供域名对应的地址，多由运营商掌控,域名解析,递归查询：服务器必需回答目标IP与域名的映射关系，从客户端到本地DNS服务器属于递归查询；迭代査询：服务器收到一次迭代查询回复一次结果，这个结果不一定是目标IP与域名的映射关系，也可以是其它DNS服务器的地址；DNS服务器之间就是的交互查询就是迭代查询,域名解析,DNS报文,DNS定义了一个用于查询和响应的报文格式,DNS报文,Identification字段可以看作是报文的ID，用于在应答中匹配发出的查询；Flag标志字段,QR:消息类型：查询(1)，响应(0)Opcode:查询类型：标准查询(0)，反向查询(1)，服务器状态请求(2)AA:授权回答：响应来自缓存服务器(0)还是授权服务器(1)TC:置1时，表示报文由于长度超过了允许的范围被截断RD:查询中置1时表示期望递归查询RA:响应中置1时表示可用递归查询Rcode：取值0-5表示响应出错类型,DNS报文,Question字段用来定义查询的问题,Domainname：查询名，要查找的域名；Type：查询类型，一般最常用的查询类型是A类型（表示查找域名对应的IP地址）和PTR类型（表示查找IP地址对应的域名）Class：查询类，通常值为1，表示是互联网地址,DNS报文,Answer字段定义响应报文,Domainname、Type、class与查询报文中的相同,TTL：生存时间，客户程序保存该资源记录的秒数ResourceDataLength：资源数据长度ResourceData：资源数据，服务器端返回给客户端的记录数据,DNS报文,Answer字段定义响应报文,域名,生存周期,网络/协议类型,资源记录类型,资源记录数据,.6001A0,DNS报文,.1201A.1201A.1201A.1201A.1201A.1471AAAA2404:6800:4005:c00:93一个域名可以有多种资源记录（A，AAAA）每种资源记录可以有多条一个域名，多个相同类型的资源记录的集合成为资源记录集（RRset），RRset是DNS传输的基本单元，也就是说查询一个域名对应的某种信息，DNS系统不会返回一条RR，而是返回一个RRset。因此一个RRset中所有的RR的TTL是一致的。,智能DNS,传统的DNS服务器只负责为用户解析出IP记录，而不去判断用户从哪里来，这样会造成所有用户都只能解析到固定的IP地址上。智能DNS会判断用户的来路（如运营商、地区等），而做出一些智能化的处理，然后把智能化判断后的IP返回给用户。,智能DNS,DNS安全,协议漏洞实现漏洞管理、配置漏洞,DNS提供Internet上的基本服务，安全防护系统不会对查询进行任何限制，所以对DNS的攻击都可以伪装成正常的查询访问。DNS服务器完全暴露在攻击之下，基本无法受到一些安全防护系统如防火墙、入侵检测系统的保护。,协议漏洞,DNS缺乏认证机制，数据传送时未加密，容易被截获和篡改，请求端无法验证数据完整性。,数据包欺骗攻击,协议漏洞,缓存中毒攻击,协议漏洞,直接DOS（拒绝服务）攻击,协议漏洞,DNS放大攻击,DNS实现漏洞,DNS服务器的实现软件也存在着多种漏洞,例：Bind软件存在的漏洞CVE-2007-2241。如果开放递归，远程攻击者可以发送一连串的由query_addsoa函数处理的查询，使服务器后台程序退出，造成事实上的拒绝服务。CVE-2007-2926。使用弱的随机数生成器生成DNS序列号，攻击者容易猜测下一个序列号以进行缓存中毒攻击。CVE-2009-0696。当服务器配置成一个主域名服务器时，攻击者通过在伪造的动态更新消息的前提部分添加一个ANY类型的记录可以引起服务器拒绝服务。CVE-2011-4313。当在query.c中记录一个错误时，会引起解析器崩溃。,DNS管理和配置漏洞,域名注册攻击：通过对域名注册管理公司中的注册域名记录进行非法改变使之指向其他Web主机；服务器冗余失效：许多站点仅有一台服务器，无法实现容灾备份解析路径篡改：攻击者会利用病毒、木马将受害者使用的域名服务器设置为自己控制的服务器，受害者发出的域名请求都将传送至这个