學電腦,學計算機 | 手機訪問 | 加入收藏 | 設為首頁 | RSS
當前位置:首頁 > 網絡安全 > 安全資訊 > 正文

DNS欺騙攻擊及其防護

發布時間:2015-06-29 15:03:19  來源:電腦技術學習網
【摘要】: 域名系統(Domain Name System,DNS)是一個將Domain Name和IP Address進行互相映射的Distributed Database.DNS是網絡應用的基礎設施,它的安全性對于互聯網的安全有著舉足輕重的影響。

    域名系統(Domain Name System,DNS)是一個將Domain Name和IP Address進行互相映射的Distributed Database.DNS是網絡應用的基礎設施,它的安全性對于互聯網的安全有著舉足輕重的影響。但是由于DNS Protocol在自身設計方面存在缺陷,安全保護和認證機制不健全,造成DNS自身存在較多安全隱患,導致其很容易遭受攻擊。很多專家就DNS Protocol的安全缺陷提出了很多技術解決方案。例如IETF提出的域名系統安全協議(Domain Name System Security,DNSSEC),其目標就在于解決這些安全隱患。這個Protocol增加了安全認證項目,增強了Protocol自身的安全功能。但是新增加的安全機制需要占用更多的系統和網絡資源,同時要升級Database和System Manggament Software,這些基于DNSSEC協議的軟件還不成熟,距離普及應用還有較長時間。目前,常見的措施是定期升級DNS軟件和加強相關的安全配置,禁用不安全的端口等。本文對以偵聽為基礎的DNS ID欺騙(DNS ID spoofing)進行了探討,并提出了相關的防護解決方案。

    一、DNS SERVER的服務工作過程

    DNS是一種實現Domain Name和IP Address之間轉換的系統,它的工作原理就是在兩者間進行相互映射,相當于起到翻譯作用,所以稱為域名解析系統。DNS System分為Server和Client兩部分,Server的通用Port是53.當Client向Server發出解析請求時,Local DNS Server第一步查詢自身的Database是否存在需要的內容,如果有則發送應答數據包并給出相應的結果;否則它將向上一層DNS Server查詢。如此不斷查詢,最終直至找到相應的結果或者將查詢失敗的信息反饋給客戶機。如果Local DNS Server查到信息,則先將其保存在本機的高速緩存中,然后再向客戶發出應答。日常我們上網是通過Browser方式來申請從Domain Name到IP Address的解析,即Client向DNS Server提交域名翻譯申請,希望得到對應的IP Address.這里以筆者所在院校為例,說明DNS的工作原理。

    例如Client的Address為10.252.2.16,學校DNS Server為218.30.19.40,從此客戶機來訪問西安財經學院網站。在地址欄鍵入學校網站的www.xaufe.edu.cn,通過DNS Server查找其對應的IP Address.這個申請從10.252.2.16的一個隨機PORT發送出去,由218.30.19.40的53綁定端口接收到此申請并進行翻譯,首先在218.30.19.40的高速緩存中查找www.xaufe.edu.cn的IP Address,若存在對應的映射關系,就直接將IP Address發送給客戶機,若緩存中沒有,則218.30.19.40會向上層DNS SERVER查詢,最后將查詢到的結果先發送到218.30.19.40,最后由218.30.19.40將西安財經學院的IP Address(281.195.32.1)返回給Client 10.252.2.16.這樣10.252.2.16就可以和西安財經學院站點建立連接并訪問了。

  二、DNS欺騙攻擊原理

    2.1 欺騙原理

    Client的DNS查詢請求和DNS Server的應答數據包是依靠DNS報文的ID標識來相互對應的。在進行域名解析時,Client首先用特定的ID號向DNS Server發送域名解析數據包,這個ID是隨機產生的。DNS Server找到結果后使用此ID給Client發送應答數據包。Client接收到應答包后,將接收到的ID與請求包的ID對比,如果相同則說明接收到的數據包是自己所需要的,如果不同就丟棄此應答包。根據攻擊者的查詢和應答原理,可使用不同方法實現攻擊,如:

    (1)因為DNS Message僅使用一個簡單的認證碼來實施真實性驗證,認證碼是由Client程序產生并由DNS Server返回結果的,客戶機只是使用這個認證碼來辨別應答與申請查詢是否匹配,這就使得針對ID認證碼的攻擊威脅成為可能。

    (2)在DNS Request Message中可以增加信息,這些信息可以與客戶機所申請查詢的內容沒有必然聯系,因此攻擊者就能在Request Message中根據自己的目的增加某些虛假的信息,比如增加其它Domain Server的Domain Name及其IP Address.此時Client在受到攻擊的Domain Server上的查詢申請均被轉向此前攻擊者在Request Message中增加的虛假Domain Server,由此DNS欺騙得以產生并對網絡構成威脅。

    (3)當DNS Server接收到Domain Name和IP Address相互映射的數據時,就將其保存在本地的Cache中。若再有Client請求查詢此Domain Name對應的IP Address,Domain Server就會從Cache中將映射信息回復給Client,而無需在Database中再次查詢。如果黑客將DNS Request Message的存在周期設定較長時間,就可進行長期欺騙。

    2.2 DNS欺騙攻擊的方式

    DNS欺騙技術常見的有內應攻擊和序列號攻擊兩種。內應攻擊即黑客在掌控一臺DNS Server后,對其Domain Database內容進行更改,將虛假IP Address指定給特定的Domain Name,當Client請求查詢這個特定域名的IP時,將得到偽造的IP.

發表評論 共有條評論
驗證碼:
湖北省福彩30选5开奖