`
大涛学长
  • 浏览: 106268 次
  • 性别: Icon_minigender_1
  • 来自: 北京
社区版块
存档分类
最新评论

《DNS攻击防范科普系列1》—你的DNS服务器真的安全么?

阅读更多
 DNS服务器,即域名服务器,它作为域名和IP地址之间的桥梁,在互联网访问中,起到至关重要的作用。每一个互联网上的域名,背后都至少有一个对应的DNS。对于一个企业来说,如果你的DNS服务器因为攻击而无法使用,整个企业的网站、邮箱、办公系统将全部瘫痪,这意味着对你造成的是成千上万个用户的不可访问,将产生不可估量的影响。你的DNS服务器是否受到过安全威胁,它现在真的安全么? 
![_PR_1](https://yqfile.alicdn.com/1d2d4cc1092329a587d1e41c372e0afe628c07aa.png)

        DNS面临着各种各样的网络安全威胁,它一直是网络基础架构中较弱的一环。 我们先来看看DNS服务器的威胁之一:DDoS攻击。DDoS攻击,即分布式拒绝服务攻击,攻击者通过控制大量的傀儡机,对目标主机发起洪水攻击,造成服务器瘫痪。 DDoS攻击通常分为流量型攻击和应用型攻击。以bps为单位的流量型的攻击,这类攻击会瞬间堵塞网络带宽;以qps为单位的应用层攻击,主要是将服务器的资源耗尽,攻击将造成DNS服务器反应缓慢直至再也无法响应正常的请求。DNS服务易受攻击的原因,除了专门针对DNS服务器发起的;还有就是利用DNS服务的特点,用“DNS放大攻击”对其他受害主机发起攻击。如下就是DNS放大攻击的示意图,DNS方法攻击的危害极大。 
![_PR_2](https://yqfile.alicdn.com/a552132700e657ceb247ed865f9f12e7fe7937a5.png) 
        16年美国针对 DNS 供应商Dyn,爆发来史上最大规模的DDoS攻击,这一攻击造成了半个美国网络瘫痪的严重影响。这次严重的攻击事件,就是DNS放大攻击造成的。 
        接下来,我们再来看看DNS劫持对DNS服务器会造成哪些威胁。DNS劫持是指攻击者在劫持的网络范围内拦截域名解析的请求,篡改了某个域名的解析结果。比如用户本来想访问www.aliyun.com,却被指引到了另一个假冒的地址上,从而达到非法窃取用户信息或其他不正常的网络服务的目的。对用户而言,DNS劫持是很难感知的,因此造成的影响极大。如2013年就爆发过一次大型的DNS钓鱼攻击事件,导致约800万用户感染。攻击者通常会通过两种方式实现DNS劫持,一种是直接攻击域名注册商或者域名站点获取控制域名的账户口令,这样可以修改域名对应的IP地址,另外一种方式是攻击权威名称服务器,直接修改区域文件内的资源记录。如下图,中国电信发现域名劫持时,给访问用户的提醒。 
![_PR_3](https://yqfile.alicdn.com/e6e223cf2f7b99ff8a6ae3ada82da235d383ec4c.png) 
        DNS劫持主要是将NS纪录指向到黑客可以控制的DNS服务器,而DNS投毒却是指一些有意或无意制造出来的域名服务器数据包,利用控制DNS缓存服务器,将域名指引到了不正确的IP地址。一般DNS服务器为了加快解析速度,通常都会把访问过的域名服务器数据暂存起来。待下次其他用户需要解析域名时,如果发现缓存中有该数据,就立刻调出来提供服务。如果DNS的缓存受到了污染,就会把访问的域名指引到错误的服务器上。简单点说,DNS污染是指把自己伪装成DNS服务器,在检查到用户访问某些网站后,使域名解析到错误的IP地址。 
        DNS服务如此重要,当对DNS的解析配置操作时,也必须谨慎小心。这里最后介绍的一种DNS常见威胁,就是人为误操作造成的。大家都知道域名做好解析后并不能立即访问到您的网站,因为解析生效需要时间。由于各地的dns服务器刷新时间不同,各地的大概时间范围为0-24小时。最长的生效时间,达到24小时,如果不小心改错了域名的解析配置,也将造成极大的影响。这就要求我们对域名的管理需要精细化,分配好使用者的权限,存留好操作记录等日志信息。在域名修改配置或进行迁移时,操作一定要谨慎。 
        以上简单介绍了DNS服务器可能遇到的常见威胁。作为互联网最基础、最核心的服务,DNS服务安全至关重要。打垮DNS服务能够间接打垮一家公司的全部业务,或者打垮一个地区的网络服务。面对重重威胁,怎么才能保障好我们的DNS服务器呢?接下来的专题,我们会针对DNS服务器常受到的攻击一一突破,敬请期待。

[原文链接](https://yq.aliyun.com/articles/711961?utm_content=g_1000081476)

本文为云栖社区原创内容,未经允许不得转载。
分享到:
评论

相关推荐

    DNS攻击与防御.pptx

    然而,DNS 也存在各种安全漏洞和攻击方式,攻击者可以利用这些漏洞来实施攻击,危害DNS 服务器和用户的安全。本文将介绍 DNS 攻击和防御的相关知识点。 一、DNS 攻击方式 1. DNS 放大攻击(DNS Amplification ...

    DNS域名劫持服务器

    5. **安全与隐私**:由于DNS服务器处理敏感的用户请求,开发者必须考虑安全性,防止中间人攻击和其他潜在的安全漏洞。这包括加密传输、防止缓冲区溢出等。 6. **多线程与并发**:DNS服务器需要处理多个并发请求,...

    dns服务器配置与应用

    DNS 服务器可以受到各种攻击,例如 DNS 缓存污染攻击和 DNS 腐化攻击。为了保护 DNS 服务器的安全性,需要采取相应的安全措施,例如使用防火墙、加密和身份验证。 七、结论 DNS 服务器是互联网基础设施的重要组件...

    本地DNS服务器模拟

    5. **DNS服务器安全**:DNS服务器容易受到各种攻击,如DNS劫持、DNS放大攻击等。因此,本地DNS服务器模拟也应考虑安全措施,如使用加密通信(DNSSEC)、限制查询源和速率控制等。 6. **调试与测试**:本地DNS服务器...

    DNS服务器试题.doc

    DNS服务器的域名解析关系是由域名解析系统自动完成的,它包括一系列的查询和响应过程,确保网络上的设备能够准确、快速地找到目标服务器。理解DNS的工作原理和配置对于网络管理员来说至关重要,因为它直接影响到网络...

    DNS欺骗攻击的检测和防范_闫伯儒1

    综上所述,防范DNS欺骗攻击需要结合多种技术和策略,包括但不限于加强服务器配置、采用安全扩展、使用安全DNS服务和实施监控系统。通过这些方法,可以提高DNS服务的安全性和抗攻击能力,降低DNS欺骗对互联网的影响。...

    DNS服务器的配置和管理

    DNS(Domain Name System)是互联网上的一项核心服务,它负责将...通过以上步骤,你可以成功配置和管理DNS服务器,为用户提供稳定、安全的域名解析服务。学习并实践这些知识,对于网络管理员和IT专业人员来说至关重要。

    DNS服务器配置与管理

    1. 确保服务器已经安装了TCP/IP协议,并将DNS服务器的IP地址设置为静态。 2. 在“网络和拨号连接”中,右键点击“本地连接”,选择“属性”,然后配置“Internet协议(TCP/IP)”。 3. 通过“控制面板”的“添加/...

    windows域控DNS服务器配置

    在Windows域环境中,DNS服务器通常与活动目录(Active Directory)集成,以提供更高效和安全的名称解析服务。管理员需要确保DNS服务器配置正确,以支持域内的身份验证、组策略应用以及其他关键服务的运行。 总的来...

    DNS安全白皮书 -360.pdf

    - DNS放大攻击:攻击者利用开放的DNS服务器发送大量数据包,导致目标网络带宽耗尽。 - 缓存中毒(Cache poisoning):攻击者向DNS缓存中插入虚假记录,导致合法域名被指向恶意IP地址。 - **DNS攻击的影响** - ...

    Centos8 搭建DNS服务器

    2. 准备1台DNS服务器,1台Web服务器,1台测试机。 3. 修改主机名(学号、姓名缩写、主机功能)。 4. 修 改 静 态 IP 前 要 先 关 闭 图 形 化 界 面 中 的 NetworkManager。 5. 关闭防火墙和selinux。 6. 使用Moba...

    【DNS缓存中毒实验】SEED lab:DNS Remote Attack Lab The Kaminsky Attack

    DNS缓存中毒是一种网络安全攻击,攻击者通过篡改DNS服务器的缓存记录,将合法的域名指向错误的IP地址,从而达到欺骗用户的目的。Kaminsky攻击是由Dan Kaminsky在2008年发现并公开的一种特定的DNS缓存中毒技术。这种...

    DNS域名劫持服务器DnsServer-2019.zip

    DNS域名劫持,也称为DNS欺骗或DNS篡改,是指攻击者通过非法手段对DNS服务器进行操作,改变正常的DNS解析记录,使得用户访问特定域名时被导向攻击者指定的IP地址,而非原本的合法网站。这种行为可能导致用户个人信息...

    BUPT大二下,计网课程设计,DNS服务器实验.zip

    例如,DNS服务器需要防范DNS劫持和拒绝服务攻击。此外,通过优化查询算法和数据结构,可以进一步提升服务器的响应速度和并发处理能力。 综上所述,这个“BUPT大二下,计网课程设计,DNS服务器实验”涵盖了DNS服务的...

    用wireshark工具来验证DNS攻击原理

    1. **攻击手法**:攻击者通过DNS缓存中毒的方式,在DNS服务器的缓存中植入恶意的DNS记录。 2. **攻击目标**:主要是利用超长URL来逃避搜索引擎和网络安全监控部门的检测,进而提高恶意网站的访问量。 3. **防御措施*...

    win7 Windows DNS服务器搭建 可创建域名 绝对可用

    虽然Win7默认不包含DNS服务器角色,但你可以尝试安装第三方的DNS服务器软件,如 BIND (Berkeley Internet Name Domain) 或 Microsoft's DNS 服务器组件。安装过程通常涉及下载软件包(例如setup.exe),双击运行并...

    DNS中继服务器(含详细实验文档)

    **DNS中继服务器详解** 在计算机网络中,DNS(Domain Name System)是互联网的重要组成部分,它负责将人类可读的域名转换为IP地址。当一台主机想要访问某个域名时,它通常会向本地DNS服务器发送查询请求。然而,...

    实验2 DNS攻击实验指导书1

    由于其重要性,DNS服务器经常成为攻击目标,DNSSEC(DNS安全扩展)就是为了防止DNS欺骗攻击而引入的。 在这个实验中,参与者将学习DNS的基本工作流程,以及如何设置和配置DNS服务器。实验环境包括使用VMware ...

    中国移动宽带各地DNS服务器地址.doc

    ### 中国移动宽带各地DNS服务器地址知识点详解 #### 一、DNS服务器基础知识 DNS(Domain Name System,域名系统)是互联网的一项服务,它作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问...

Global site tag (gtag.js) - Google Analytics