DNS的工作原理

1、精選優(yōu)質(zhì)文檔-傾情為你奉上DNS的工作原理DNS分為Client和Server，Client扮演發(fā)問的角色，也就是問Server一個Domain Name，而Server必須要回答此Domain Name的真正IP地址。而當?shù)氐腄NS先會查自己的資料庫。如果自己的資料庫沒有，則會往該DNS上所設(shè)的的DNS詢問，依此得到答案之后，將收到的答案存起來，并回答客戶。DNS服務(wù)器會根據(jù)不同的授權(quán)區(qū)(Zone)，記錄所屬該網(wǎng)域下的各名稱資料，這個資料包括網(wǎng)域下的次網(wǎng)域名稱及主機名稱。在每一個名稱服務(wù)器中都有一個快取緩存區(qū)(Cache)，這個快取緩存區(qū)的主要目的是將該名稱服務(wù)器所查詢出來的名稱及相對的IP

2、地址記錄在快取緩存區(qū)中，這樣當下一次還有另外一個客戶端到次服務(wù)器上去查詢相同的名稱 時，服務(wù)器就不用在到別臺主機上去尋找，而直接可以從緩存區(qū)中找到該筆名稱記錄資料，傳回給客戶端，加速客戶端對名稱查詢的速度。例如：當DNS客戶端向指定的DNS服務(wù)器查詢網(wǎng)際網(wǎng)路上的某一臺主機名稱 DNS服務(wù)器會在該資料庫中找尋用戶所指定的名稱 如果沒有，該服務(wù)器會先在自己的快取緩存區(qū)中查詢有無該筆紀錄，如果找到該筆名稱記錄后，會從DNS服務(wù)器直接將所對應(yīng)到的IP地址傳回給客戶端 ，如果名稱服務(wù)器在資料記錄查不到且快取緩存區(qū)中也沒有時，服務(wù)器首先會才會向別的名稱服務(wù)器查詢所要的名稱。例如：DNS客戶端向指定的DNS

3、服務(wù)器查詢網(wǎng)際網(wǎng)路上某臺主機名稱，當DNS服務(wù)器在該資料記錄找不到用戶所指定的名稱時，會轉(zhuǎn)向該服務(wù)器的快取緩存區(qū)找尋是否有該資料 ，當快取緩存區(qū)也找不到時，會向最接近的名稱服務(wù)器去要求幫忙找尋該名稱的IP地址 ，在另一臺服務(wù)器上也有相同的動作的查詢，當查詢到后會回復(fù)原本要求查詢的服務(wù)器，該DNS服務(wù)器在接收到另一臺DNS服務(wù)器查詢的結(jié)果后，先將所查詢到的主機名稱及對應(yīng)IP地址記錄到快取緩存區(qū)中 ，最后在將所查詢到的結(jié)果回復(fù)給客戶端常見的DNS攻擊包括：1) 域名劫持通過采用黑客手段控制了域名管理密碼和域名管理郵箱，然后將該域名的NS紀錄指向到黑客可以控制的DNS服務(wù)器，然后通過在該DNS服務(wù)器

4、上添加相應(yīng)域名紀錄，從而使網(wǎng)民訪問該域名時，進入了黑客所指向的內(nèi)容。這顯然是DNS服務(wù)提供商的責(zé)任，用戶束手無策。2) 緩存投毒利用控制DNS緩存服務(wù)器，把原本準備訪問某網(wǎng)站的用戶在不知不覺中帶到黑客指向的其他網(wǎng)站上。其實現(xiàn)方式有多種，比如可以通過利用網(wǎng)民ISP端的DNS緩存服務(wù)器的漏洞進行攻擊或控制，從而改變該ISP內(nèi)的用戶訪問域名的響應(yīng)結(jié)果;或者，黑客通過利用用戶權(quán)威域名服務(wù)器上的漏洞，如當用戶權(quán)威域名服務(wù)器同時可以被當作緩存服務(wù)器使用，黑客可以實現(xiàn)緩存投毒，將錯誤的域名紀錄存入緩存中，從而使所有使用該緩存服務(wù)器的用戶得到錯誤的DNS解析結(jié)果。最近發(fā)現(xiàn)的DNS重大缺陷，就是這種方式的。只所

5、以說是“重大”缺陷，據(jù)報道是因為是協(xié)議自身的設(shè)計實現(xiàn)問題造成的，幾乎所有的DNS軟件都存在這樣的問題。3)DDOS攻擊一種攻擊針對DNS服務(wù)器軟件本身，通常利用BIND軟件程序中的漏洞，導(dǎo)致DNS服務(wù)器崩潰或拒絕服務(wù);另一種攻擊的目標不是DNS服務(wù)器，而是利用DNS服務(wù)器作為中間的“攻擊放大器”，去攻擊其它互聯(lián)網(wǎng)上的主機，導(dǎo)致被攻擊主機拒絕服務(wù)。4) DNS欺騙DNS欺騙就是攻擊者冒充域名服務(wù)器的一種欺騙行為。原理：如果可以冒充域名服務(wù)器，然后把查詢的IP地址設(shè)為攻擊者的IP地址，這樣的話，用戶上網(wǎng)就只能看到攻擊者的主頁，而不是用戶想要取得的網(wǎng)站的主頁了，這就是DNS欺騙的基本原理。DNS欺騙

6、其實并不是真的“黑掉”了對方的網(wǎng)站，而是冒名頂替、招搖撞騙罷了?，F(xiàn)在的Internet上存在的DNS服務(wù)器有絕大多數(shù)都是用bind來架設(shè)的,使用的bind版本主要為bind 4.9.5+P1以前版本和bind 8.2.2-P5以前版本.這些bind有個共同的特點,就是BIND會緩存(Cache)所有已經(jīng)查詢過的結(jié)果,這個問題就引起了下面的幾個問題的存在.DNS欺騙在DNS的緩存還沒有過期之前,如果在DNS的緩存中已經(jīng)存在的記錄,一旦有客戶查詢,DNS服務(wù)器將會直接返回緩存中的記錄防止DNS被攻擊的若干防范性措施互聯(lián)網(wǎng)上的DNS放大攻擊(DNS amplification attacks)急劇增

7、長。這種攻擊是一種數(shù)據(jù)包的大量變體能夠產(chǎn)生針對一個目標的大量的虛假的通訊。這種虛假通訊的數(shù)量有多大?每秒鐘達數(shù)GB，足以阻止任何人進入互聯(lián)網(wǎng)。與老式的“smurf attacks”攻擊非常相似，DNS放大攻擊使用針對無辜的第三方的欺騙性的數(shù)據(jù)包來放大通訊量，其目的是耗盡受害者的全部帶寬。但是，“smurf attacks”攻擊是向一個網(wǎng)絡(luò)廣播地址發(fā)送數(shù)據(jù)包以達到放大通訊的目的。DNS放大攻擊不包括廣播地址。相反，這種攻擊向互聯(lián)網(wǎng)上的一系列無辜的第三方DNS服務(wù)器發(fā)送小的和欺騙性的詢問信息。這些DNS服務(wù)器隨后將向表面上是提出查詢的那臺服務(wù)器發(fā)回大量的回復(fù)，導(dǎo)致通訊量的放大并且最終把攻擊目標淹沒

8、。因為DNS是以無狀態(tài)的UDP數(shù)據(jù)包為基礎(chǔ)的，采取這種欺騙方式是司空見慣的。這種攻擊主要依靠對DNS實施60個字節(jié)左右的查詢，回復(fù)最多可達512個字節(jié)，從而使通訊量放大8.5倍。這對于攻擊者來說是不錯的，但是，仍沒有達到攻擊者希望得到了淹沒的水平。最近，攻擊者采用了一些更新的技術(shù)把目前的DNS放大攻擊提高了好幾倍。當前許多DNS服務(wù)器支持EDNS。EDNS是DNS的一套擴大機制，RFC 2671對次有介紹。一些選擇能夠讓DNS回復(fù)超過512字節(jié)并且仍然使用UDP，如果要求者指出它能夠處理這樣大的DNS查詢的話。攻擊者已經(jīng)利用這種方法產(chǎn)生了大量的通訊。通過發(fā)送一個60個字節(jié)的查詢來獲取一個大約4

9、000個字節(jié)的記錄，攻擊者能夠把通訊量放大66倍。一些這種性質(zhì)的攻擊已經(jīng)產(chǎn)生了每秒鐘許多GB的通訊量，對于某些目標的攻擊甚至超過了每秒鐘10GB的通訊量。要實現(xiàn)這種攻擊，攻擊者首先要找到幾臺代表互聯(lián)網(wǎng)上的某個人實施循環(huán)查詢工作的第三方DNS服務(wù)器(大多數(shù)DNS服務(wù)器都有這種設(shè)置)。由于支持循環(huán)查詢，攻擊者可以向一臺DNS服務(wù)器發(fā)送一個查詢，這臺DNS服務(wù)器隨后把這個查詢(以循環(huán)的方式)發(fā)送給攻擊者選擇的一臺DNS服務(wù)器。接下來，攻擊者向這些服務(wù)器發(fā)送一個DNS記錄查詢，這個記錄是攻擊者在自己的DNS服務(wù)器上控制的。由于這些服務(wù)器被設(shè)置為循環(huán)查詢，這些第三方服務(wù)器就向攻擊者發(fā)回這些請求。攻擊者在

10、DNS服務(wù)器上存儲了一個4000個字節(jié)的文本用于進行這種DNS放大攻擊。現(xiàn)在，由于攻擊者已經(jīng)向第三方DNS服務(wù)器的緩存中加入了大量的記錄，攻擊者接下來向這些服務(wù)器發(fā)送DNS查詢信息(帶有啟用大量回復(fù)的EDNS選項)，并采取欺騙手段讓那些DNS服務(wù)器認為這個查詢信息是從攻擊者希望攻擊的那個IP地址發(fā)出來的。這些第三方DNS服務(wù)器于是就用這個4000個字節(jié)的文本記錄進行回復(fù)，用大量的UDP數(shù)據(jù)包淹沒受害者。攻擊者向第三方DNS服務(wù)器發(fā)出數(shù)百萬小的和欺騙性的查詢信息，這些DNS服務(wù)器將用大量的DNS回復(fù)數(shù)據(jù)包淹沒那個受害者。如何防御這種大規(guī)模攻擊呢?首先，保證你擁有足夠的帶寬承受小規(guī)模的洪水般的攻擊

11、。一個單一的T1線路對于重要的互聯(lián)網(wǎng)連接是不夠的，因為任何惡意的腳本少年都可以消耗掉你的帶寬。如果你的連接不是執(zhí)行重要任務(wù)的，一條T1線路就夠了。否則，你就需要更多的帶寬以便承受小規(guī)模的洪水般的攻擊。不過，幾乎任何人都無法承受每秒鐘數(shù)GB的DNS放大攻擊。因此，你要保證手邊有能夠與你的ISP隨時取得聯(lián)系的應(yīng)急電話號碼。這樣，一旦發(fā)生這種攻擊，你可以馬上與ISP聯(lián)系，讓他們在上游過濾掉這種攻擊。要識別這種攻擊，你要查看包含DNS回復(fù)的大量通訊(源UDP端口53)，特別是要查看那些擁有大量DNS記錄的端口。一些ISP已經(jīng)在其整個網(wǎng)絡(luò)上部署了傳感器以便檢測各種類型的早期大量通訊。這樣，你的ISP很可能在你發(fā)現(xiàn)這種攻擊之前就發(fā)現(xiàn)和避免了這種攻擊。你要問一下你的ISP是否擁有這個能力。最后，為了幫助阻止惡意人員使用你的DNS服務(wù)器作為一個實施這種DNS放大攻擊的代理，你要保證你的可以從外部訪問的DNS服務(wù)器僅為你自己的網(wǎng)絡(luò)執(zhí)行循環(huán)查詢，不為任何互聯(lián)網(wǎng)上的地址進行這種查詢。大多數(shù)主要DNS服務(wù)器擁有限制循環(huán)查詢的能力，因此，它們僅接受某些網(wǎng)絡(luò)的查詢，比如你自己的網(wǎng)絡(luò)。通過阻止利用循環(huán)查詢裝載大型有害的DNS記錄，你就可以防止你的DNS服務(wù)器成為這個問題的一部分。結(jié)束語：網(wǎng)絡(luò)攻擊越來越猖獗，對網(wǎng)絡(luò)安全造成了很大的威脅。對于任何黑客的惡意攻擊，都有辦法來防御，只要了解了他們