DNS安全
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了DNS安全相关的知识,希望对你有一定的参考价值。
一、DNS放大攻击
域名系统(Domain Name System,DNS)是因特网的一项核心服务。它作为可以将域名和IP地址相互映射的一个分布式数据库。能够使人更方便地访问互联网,而不用去记忆那些难以记住的IP地址。DNS使用的TCP和UDP端口号都是53,主要使用UDP协议。
通常,DNS响应数据包会比查询数据包大,因此攻击者利用普通的DNS查询请求就能够发起放大攻击,并将攻击流量放大2~10倍。攻击者向广泛的开放DNS解析器发送dig查询请求,将OPT RR字段中的UDP报文大小设置为很大的值(如4096),并将请求的源IO地址伪造成攻击目标的IP地址。DNS解析器收到查询请求后,会将解析结果发送给被攻击目标。当大量的解析结果涌向目标时,就会导致目标网络拥堵和缓慢,造成拒绝服务攻击。
发动DNS放大攻击也需要先进行扫描,以获得带昂的开放DNS解析器的地址,并向这些开发DNS解析器发送位置源地址的查询命令来放大攻击流量。
二、攻击DNS服务
当DNS服务的可用性受到威胁时,互联网上的大量设备都会受影响甚至无法正常运行。针对DNS服务的攻击方式主要有DNS QUERY洪水攻击和DNS NXDOMAIN洪水攻击两种。
1、DNS QUERY洪水攻击。
-------是指向DNS服务器发送大量查询请求以达到拒绝服务效果的一种攻击方法。
这个过程会消耗一定的计算和网络资源。如果攻击者利用大量受控主机不断发送不同域名的解析请求,那么DNS服务器的缓存会被不断刷新,而大量解析请求不能命中缓存又导致DNS服务器必须消耗额外的资源进行迭代查询,导致DNS响应缓慢甚至完全拒绝服务。
2、DNS NXDOMAIN洪水攻击
DNS NXDOMAIN是DNS QUERY洪水攻击的一种变种攻击方式,区别在于后者是向DNS服务器查询一个真实存在的域名,而前者是向DNS服务器查询一个不存在的域名。
在进行DNS NXDOMAIN洪水攻击时,DNS服务器会进行多次域名查询,同时,齐欢唱会被大量NXDOMAIN记录所填满,导致正常用户的DNS解析请求的速度变慢。一部分DNS服务器在获取不到域名的解析结果时,还会再次进行递归查询。进一步增加了DNS服务器的资源消耗。
三、DNS信息污染
客户端发起正常的一次DNS请求,得到的是一个异常或者不真实的DNS信息。(采取udp的连接方式)
原因可能出现在上级DNS服务器,或者是域内存在中间人攻击。
以上是关于DNS安全的主要内容,如果未能解决你的问题,请参考以下文章