DNS攻击.pptVIP

网络与信息安全 ——域名系统攻击 张淑征 域名 域名（Domain Name）是用于识别和定位互联网上计算机的层次结构式字符标识，类似于互联网上的门牌号码。 域名系统（DNS） 域名系统是用于完成域名到IP地址的翻译转换功能。绝大多数互联网应用和通信都基于域名系统。 域名解析的基本原理是把网络地址（域名，以一个字符串的形式，比如()对应到真实的计算机能够识别的网络地址（IP地址:这样的形式），以便计算机能够进一步通信，传递网址和内容等。 域名系统（DNS） Inetrnet上的主机成千上万，并且还在随时不断增加，不可能由一个或几个DNS服务器能够实现这样的解析过程，传统主机表（hosts）方式更无法胜任，事实上DNS依靠一个分布式数据库系统对网络中主机域名进行解析，并及时地将新主机的信息传播给网络中的其它相关部分，因而给网络维护及扩充带来了极大的方便。 域名系统（DNS） DNS提供的服务就是要将人们所熟悉的名字映射成IP地址。一般有两种机制来完成,一种是有主机表来完成,另一种是采用域名服务的守护进程(named , 或 in.namd)来实现。这两种方式都能实现域名与IP之间的互相映射。 nternet的顶级域名分类 gtld 通用顶级域名(General Top Level Domain，简称gTLD) Cctld 国家及地区代码顶级域名 gTLD .com 商业机构 VeriSign Global Registry Services .net 网络组织 VeriSign Global Registry Services .org 非盈利组织 Public Interest Registry .int 国际组织 IANA .int Domain Registry .edu 教育机构 Educause .gov 美国政府部门 US General Services Administration .mil 美国军事部门 US DoD Network Information Center cctld .cn（Chinese）中国 .us（USA）美国 .JP（Japan）日本 .uk（United Kingdom）英国 等等的英文缩写。 域名系统原理 DNS的安全隐患 防火墙不会限制对DNS的访问 DNS可以泄漏内部的网络拓朴结构 DNS存在许多简单有效的远程缓冲溢出攻击 几乎所有的网站都需要DNS DNS的本身性能问题可是关系到整个应用的关键 常见DNS攻击方法 域名劫持 缓存投毒 DDOS攻击 DNS欺骗 域名劫持 域名劫持是互联网攻击的一种方式，通过攻击域名解析服务器（DNS），或伪造域名解析服务器（DNS）的方法，把目标网站域名解析到错误的地址而达到无法访问目标网站的目的。 域名劫持 通过采用黑客手段控制了域名管理密码和域名管理邮箱，然后将该域名的DNS纪录指向到黑客可以控制的DNS服务器，然后通过在该DNS服务器上添加相应域名纪录，从而使网民访问该域名时，进入了黑客所指向的内容。 这显然是DNS服务提供商的责任，用户束手无策。 正常的DNS请求流程 在浏览器输入; 计算机将会向DNS服务器发出请求； DNS服务器进行处理分析得到 的相应地址为; DNS把此IP地址返回到发出请求的计算机； 正常登录到的网站。 被DNS欺骗以后的DNS请求 在浏览器输入; 计算机将会向DNS服务器发出请求(这里注意：实际上你发起的请求被发送到了攻击者那里)； 攻击者对请求处理进行伪造DNS回复报告，返回给计算机的事攻击者指定的IP地址； 你登录到的网站实际上不是，而是掉进了攻击者设计好的“陷阱网站”。 百度域名劫持事件 2010年1月，百度域名DNS授权记录遭到篡改，域名被劫持 百度域名劫持 缓存投毒 利用控制DNS缓存服务器，把原本准备访问某网站的用户在不知不觉中带到黑客指向的其他网站上。其实现方式有多种，比如可以通过利用网民ISP端的DNS缓存服务器的漏洞进行攻击或控制，从而改变该ISP内的用户访问域名的响应结果;或者，黑客通过利用用户权威域名服务器上的漏洞，如当用户权威域名服务器同时可以被当作缓存服务器使用，黑客可以实现缓存投毒，将错误的域名纪录存入缓存中，从而使所有使用该缓存服务器的用户得到错误的DNS解析结果。 缓存投毒 最近发现的DNS重大缺陷，就是这种方式的。只所以说是“重大”缺陷，据报道是因为是协议自身的设计实现问题造成