DNS与DNS安全幻灯片

1、域名系统DNS，1，2020/6/23，域名解析，2，智能DNS，4，DNS消息，3，DNS配置文件，1，DNS安全性，5，目录，2，2020/6/23，a？ A 202.108.22.5，索引页？ 、DNS服务器、web服务器、DNS配置文件、3、2020/6/23、DNS配置文件、域名系统(DNS )规格，可以通过互联网信息组(IETF )和其他工作组当前提交的与DNS相关的RFC标准已经超过100个，使用4，2020/6/23，初始HOSTS.TXT来存储主机名到IP地址的映射，并存储标准搜索安装(Sri )网络信息集现在的主机文件/etc/hosts文件： 192.168.100.17

2、7 192.168.100.178、DNS配置文件、5、 2020/6/23，答案：树的名称空间名称像地址、机构、文件夹一样，从大到小，通过某种机制从整体到本地划分管理块，随着互联网的扩大，主机名增加，导致域名增加，DNS的概要，6，8、2020/6/23、DNS配置文件、DNS域名服务器此网络上所有主机的域名和对应的地址都存储着。根域名服务器：全球13个，10个位于美国，其馀分别是英国、挪威、日本镜像服务器的顶级域名服务器：“com”， “edu”等权威域名服务器：存储和维护某一地区信息的域名服务器递归域名服务器：缓存权威服务器返回的各种记录，可以减少查询次数，提高查询效率。 向用户(也称为

3、高速缓存域名服务器或本地域名服务器)提供对应于域名的地址，许多是由运营商管理的，9，2020/6/23，域名分析，递归查询：服务器映射目标IP和域名属于递归查询的重复调查，从客户端到本地DNS服务器：服务器收到重复调查的回答，但是，该结果并不一定是目标IP和域名的映射关系，而是其他DNS服务器的地址。DNS服务器之间的交互查询是重复查询域名解析、11、2020/6/23、DNS消息、DNS定义了用于查询和响应的消息格式，12、2020/6/23、DNS消息、Identification字段可以视为消息的ID。 可以匹配在响应中发送的查询的Flag标志字段、QR:消息类型：查询(1)、响应(0)

4、 Opcode:查询类型：标准查询(0)、反向查询(1)、服务器状态请求(2) AA: 如果由进行响应，则RD:查询指示该消息因长度超过允许的范围而被截断；如果递归查询RA:指示消息想被截断；如果递归查询Rcode :值0-5，则响应错误类型，13， 2020/6/23，DNS消息，Question字段是用于定义查询的问题，域名：查询名称，要搜索的域名Type :查询类型，最常用的查询类型是a类型(与搜索域名对应和PTR类型(表示与检索IP地址对应的域名) Class :查询类，通常值为1，表示互联网地址，14，2020/6/23， DNS消息、应答字段定义响应消息域名、Type、class与

5、查询消息相同，TTL :生存时间， 客户端程序保存该资源记录的秒数Resource Data Length :资源数据长度Resource Data :资源数据、服务器侧返回给客户端的记录数据、15，2020/6/23， DNS消息Answer字段包含响应消息、域名、生存周期、网络/协议类型、资源记录类型、资源记录数据、 600 a 202.173.11.10，16， 2020年6月23日， DNS消息. 120 a 74.125.128.120 a 74.125.125.128.128.128.128.120 a 74.125.128.128.128.128.127 AAAA 2404336

6、0 68003333 093域名可以具有多个资源记录(a、AAAA )，其中，同一类型的资源记录的集合是资源记录集(RRset )，RRset是DNS传输的基本单位，即，通过查询与域名对应的信息因此，一个RRset中的所有RR的TTL都是匹配的。 另外，17、2020/6/23、智能DNS、传统的DNS服务器仅为用户分析IP记录，并不确定用户来自哪里，因此所有的用户只能分析固定IP地址。 智能DNS判断用户的路线(例如运营商、地区等)，进行智能处理，并将智能地判断出的IP返回给用户。18、2020/6/23、智能DNS、19、2020/6/23、DNS安全、协议漏洞实现漏洞管理、配置漏洞，DN

7、S提供互联网上的基本服务，安全保护系统不受查询限制DNS服务器受到攻击，在防火墙、入侵检测系统等安全保护系统中很少受到保护。20、2020/6/23、协议脆弱性、DNS没有认证机制、数据传输时未加密、容易被监听或篡改，请求方无法验证数据完整性。分组欺诈攻击，21，2020/6/23，协议厅，缓存中毒攻击，22，2020/6/23，协议厅，直接拒绝服务(DOS )攻击，23，2020/6/23，协议厅，DNS放大攻击只要是开放递归，远程攻击者可以发送经过query_addsoa函数处理的一系列查询，可以结束服务器守护进程并且实际上拒绝服务。 CVE-2007-2926。 如果使用弱的随机数生成器来生成DNS序列号，则攻击者可以估计下一个序列号，并且容易进行高速缓存中毒攻击。 CVE-2009-0696。 如果服务器配置为主域名服务器，攻击者可能会通过向伪造的动态更新消息的前提部分添加ANY类型的记录来拒绝服务。 CVE-2011-4313。 如果在query.c中记录错误，分析器将崩溃。 25、2020/6/23、DNS管理和配置脆弱性、域名注册攻击：非法更改域名注册管理公司的注册域名面向其他Web主机的服务器冗馀故障：很多网站只有一台服务器， 无法实现对灾难备份分析路径的篡改：攻击者使用病毒和特洛伊木马，将受害者使用的域名服务器设置为自己管理的服务器，来自