DNS 安全威脅

原創 hou123456 2018-08-27 02:27

對DNS的攻擊方式主要包括三大類,

  • 流量型拒絕服務攻擊,如UDP flood、TCP flood、DNS請求flood,和PING flood等。
  • 異常請求訪問攻擊,如超長域名請求、異常域名請求等,這類型攻擊的特點是通過發掘DNS服務器的漏洞 ,通過僞造特定的請求報文,導致DNS服務器軟件工作異常而退出或崩潰而無法啓動,達到影響DNS服務器正常工作的目的
  • DNS劫持攻擊,如篡改LDNS緩存內容、篡改授權域內容、ARP欺騙劫持授權域、分光劫持等,這種類型攻擊的特點是通過直接篡改解析記錄或在解析記錄傳遞過程中篡改其內容或搶先應答,從而達到影響解析結果的目的

 

威脅發生地方

Number Area Threat
(1) Zone Files File Corruption (malicious or accidental). Reading private zone files, configuration files and logs to expose hidden devices. Local threat. Mitigated by good System Administration practices.
(2) Zone Transfers IP address spoofing (impersonating update source), DDoS attacks (persistent requests for transfer). Server to Server threat. Mitigated by either IP address limits or cryptographic solutions using TSIG (shared secret MAC).
(3) Dynamic Updates Unauthorized Updates, malicious updates, IP address spoofing (impersonating update source). Server to Server Threat. Mitigated by either IP address limits or cryptographic solutions using either TSIG (symmetric-like MAC)or SIG(0) (an asymmetric).
(4) Remote Queries Cache Poisoning/Pollution by IP spoofing, data interception or a subverted Master or Slave. DDoS attacks based on Open Resolvers and other configuration errors. Zombied or virus compromised PC or server. Server to Client threat. Mitigated by either IP address limits or cryptographic solutions using DNSSEC (asymmetric cryptography).
(5) Resolver Queries Data interception, Poisoned/Polluted Cache, subverted Master or Slave, local IP spoofing. Increasingly remote devices use a DNS proxy which can either be compromised, badly configured or poorly implemented. Remote Client-Client threat. Mitigated by end-to-end cryptographic solutions using DNSSEC (asymmetric cryptography).

如上所述,威脅發生在DNS解析的所有途徑,客戶解析器與localDNS之間;local DNS緩存;local DNS與授權DNS之間;primary DNS與Secondary DNS之間;授權DNS數據庫、遠端管理平臺。各個層面都需要考慮安全。

 

 

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

DNS解析初識

DNS是域名系統的縮寫,是因特網的一項核心服務,DNS是一個分佈式的數據庫,主要用來把主機名轉換爲IP地址。 即www.baidu.com 轉化爲 61.135.169.121 它允許服務器改變IP,但是名字不變,這就大大增加

谁的Utopia 2020-06-28 10:07:56

【計算機網絡】HTTP 與 HTTPS

HTTP 與 HTTPS HTTP (HyperText Transfer Protocol)協議爲超文本傳輸協議,常用在 Web 瀏覽器和網站服務器之間的通信,http 協議以明文發送內容,並不會提供任何加密功能。如果攻擊者截取

Wyman蚊子 2020-07-07 17:02:50

如何通過縮短域名的 DNS 解析時間使得用戶訪問網站更快速?

作爲一個站長,一定希望自己網站的打開速度足夠快,以免訪問者因爲失去耐心而關閉瀏覽器。 本文將介紹如何縮短網站域名 的DNS 解析時間,來讓訪問者更快的打開你的網站。 一、域名的DNS 解析過程 將一個域名解析成IP 地址,主要由以

mengyier_520 2020-07-07 04:50:12

瀏覽器 dns 解析問題

因爲頻繁切換 dns ,導致有時候訪問同樣的域名但訪問的是錯的ip。 首先,修改 dns 的優先級(同時還要確保基礎的dns在最高的優先級)。 cmd 窗口執行 ipconfig/flushdns 同時,打開chrome,訪問:chrom

asfdsef 2020-07-06 13:07:39

【計算機網絡】應用層 - DNS協議

1.概述 IP地址不方便記憶,可以使用域名代表IP, 但網絡需要使用 IP 進行路由尋路, 且IP地址方便計算處理, 因此需要一個二者之間互相轉換的系統, 因此產生了DNS。 域名系統(Domain Name System)是一

ZhangShuoo 2020-07-06 01:23:41

DNS服務相關概念

DNS服務相關概念 DNS:域名解析 Domain Name Service(域名服務器)  一、一些基礎概念 域名:www.baidu.com (主機名) = FQDN: Full Qualified Domain Name(完全限

再见_理想 2020-07-04 23:00:16

設置瀏覽器[如 Chrome], 禁止訪問某些網站?

1.應用場景 主要用於禁止向特定站點發送請求, 有時爲了測試. 2.學習/操作 環境: Windows 10    方式一: 修改host文件, 在Hosts文件中添加規則     以管理員身du份運行【記事本】     打開C:\sy

ning先森 2020-07-03 17:05:27

DNS服務基礎 特殊解析 DNS子域授權 緩存DNS 分離解析

DNS服務基礎作用:    正向解析:域名---->IP地址    反向解析:IP地址---->域名 (不常用)分佈式結構:    根: .    一級DNS服務器:.com  .net  .edu .cn .org    二級DNS服務

shikaifei 2020-07-03 00:45:24

解決okhttp或者retrofit出現UnknownHostException的問題

首先確認你的設備能否解析該域名,可以直接ping這個域名,如果能ping通則代表設備所處的網絡是沒有問題的,如果不能ping通可以嘗試接入阿里雲或者其他雲服務廠商提供的http dns服務,或者檢查一下網絡狀況。 在排除掉以上問題

余烬岛游戏 2020-07-01 18:11:32

2018年全國職業技能大賽服務器部分-樣題D卷(涉及LVM、RAID、IIS-FTP、DNS主從(Centos7-Windows)、apache-HTTPS、CA)

此篇爲2018年國賽第四篇,現將涉及到的技術以及實現分享給各位。若有不妥或者需要改善之處請聯繫博主。 聯繫方式爲(VX:Yvresse_ai) 環境說明: 雲平臺:RG-JCOS     操作系統:Centos7 樣題D卷服務網絡Topo

Yvresse 2020-07-01 16:14:46

DNS遞歸查詢和迭代查詢的區別

轉載地址:http://blog.csdn.net/wuchuanpingstone/article/details/6720723 遞歸查詢和迭代查詢的區別 (1)遞歸查詢 遞歸查詢是一種DNS 服務器的查詢模式,在該模式下DNS 服務

xu758142858 2020-07-01 11:05:46

DNS概念、相關概念及解析流程

DNS概念 DNS,即Domain Name System,中文翻譯爲網域名稱系統。是一項聯網的服務,本質上可以理解爲一個分佈式的數據庫,提供將域名轉換爲IP的服務。 使用TCP和UDP端口53; 每一級域名長度的限制是63個字

wowo_zZ 2020-06-29 16:20:00

dns協議及幀格式

DNS(Domain Name System,域名系統),因特網上作爲域名和IP地址相互映射的一個分佈式數據庫,能夠使用戶更方便的訪問互聯網,而不用去記住能夠被機器直接讀取的IP數串。 DNS協議運行在UDP/TCP協議之上,使

marywang56 2020-06-29 03:12:01

hosts文件與resolv.conf文件

一. Hosts文件的位置  在Windows 2000/XP/Vista系統中位於\%Systemroot%\System32\Drivers\Etc 文件夾中。 二. Hosts文件的基本內容和語法  用記事本打開hosts文件,就可

Eighteenzi 2020-06-28 19:22:02

【GoLang】Web工作方式

我們平時瀏覽網頁的時候,會打開瀏覽器,輸入網址後按下回車鍵,然後就會顯示出你想要瀏覽的內容。在這個看似簡單的用戶行爲背後,到底隱藏了些什麼呢? 對於普通的上網過程,系統其實是這樣做的:瀏覽器本身是一個客戶端,當你輸入URL的時候,首先瀏覽

Teng的世界 2020-06-28 02:50:29