DNS风险分析及安全防护研究(一):DNS自身风险分析(中科三方)

news2024/12/26 23:49:24

作为互联网上的一项基础服务,DNS在网站运行中起到了至关重要的作用,然而其安全性在很长一段时间内都没有得到足够的重视。DNS采用不可靠的UDP协议,安全性具有较大的漏洞,攻击者很容易利用这些漏洞发动攻击,从而引起一些安全问题,如数据被拦截、缓存区中毒、拒绝服务攻击等。

近年来,针对域名发起的劫持和攻击事件频繁发生。2009年巴西最大的银行遭受DNS缓存投毒攻击,用户被重定向至一个伪装的银行网站,导致用户密码被窃取。2013年,国家域名解析节点受到DNS拒绝服务攻击,导致.cn的部分网站无法打开,造成了非常恶劣的影响。这些DNS攻击事件让人们真正意识到DNS的安全已经成为目前互联网存在的最严重的安全漏洞与隐患之一。

本文主要从DNS自身架构存在的缺陷以及目前所面临的常见威胁做下简单论述,并针对当前内外部DNS风险提出相应的防护建议,以提升DNS自身安全的稳健性,增强其对日益高发的网络攻击的抵抗能力,有助于提升DNS在新模式下的功能多样性和覆盖领域广泛性。

1.DNS自身安全风险分析
基于DNS协议特点和层级关系,本文将DNS自身安全风险概括为协议脆弱性、系统脆弱性和体系脆弱性三个方面。

1.1协议脆弱性

DNS协议在设计之初,没有充分考虑安全问题,采用的是UDP协议传输信息,消息传输过程中不作加密处理,资源记录也不进行任何防伪造保护,因此DNS协议很容易遭受缓存投毒、数据窃听等攻击,其中DNS缓存投毒是非常普遍的攻击方式,对DNS的安全性和准确性造成了极大破坏。

DNS协议还存在比较严重的隐私泄露问题,由于DNS查询过程中可能包含许多敏感信息,在域名解析过程中,可能会导致用户身份和设备类型等重要信息的泄露,目前很多非法公司利用DNS这一缺陷搜集用户信息,分析用户行为,谋取广告盈利。

此外,利用DNS漏洞发起的攻击行为还有很多,如中间人攻击(MITM)、缓存攻击、分布式拒绝服务攻击(DDoS)等,本文会在下面详细讲述。
在这里插入图片描述

1.2系统脆弱性

在当前DNS软件服务中,最为常用的技术方案是采用Berkeley Internet Name Domain 技术,英文简称BIND,据数据表明,全球DNS服务器系统中有超过90%采用了BIND技术,BIND是互联网系统协会开发并进行日常维护的,虽然BIND经历多次更新,其软件安全性得到了一定提升,安全漏洞也修复了很多,但其开源的特点决定了其不可避免地存在一定的安全风险。

根据漏洞信息库CVE披露的数据,BIND软件漏洞高达102项,涉及BIND8、BIND9和BIND4.9等主要版本,漏洞主要包括DoS、缓冲区溢出、权限漏洞等。2016年,ISC BIND9 远程动态更新消息拒绝服务漏洞导致多家DNS运营服务商出现缓存中毒问题,对全球网络秩序造成了严重影响。
在这里插入图片描述

1.3结构脆弱性

DNS体系脆弱性主要体现在DNS根服务器在DNS分层结构中扮演的核心作用。为了减轻单个服务器造成的压力,同时避免单节点服务器故障造成整个DNS体系的崩塌,DNS系统采用了树状分层结构,而根服务器处于整个DNS系统的核心位置,维护着全球所有顶级域名(TLD)的位置信息,当用户发起访问时,在DNS缓存不能命中的情况下都需要从根服务器发起查询。在域名验证过程中,部署DNSSEC协议的根服务器作为信任锚,存储着顶级域名服务器的密钥和签名记录,为域名验证提供最终的权威认证,根服务器控制着域名的解析和验证。

DNS的这种体系结构,决定了一旦根服务器发生故障,将会对整个DNS系统以及互联网造成严重影响。2002年10月21日,13台根服务器遭受了有史以来最严重的DDoS攻击,导致其中9台根服务器瘫痪,2007年2月6日,根服务器再次遭受DDoS攻击,这两次大规模的DDoS攻击都对根服务器的正常运行造成了巨大破坏,对全球数亿用户正常访问互联网造成了严重影响。
在这里插入图片描述

目前IPv4协议下,全球只有13台根服务器,而在IPv6环境下,全球再配置了25台IPv6根服务器,通过增加根服务器数量提升了全球互联网多边共治的能力,但并没有从根本上解决DNS体系结构脆弱的难题。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/563600.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

第三章 向量与线性方程组

引言 题型总结中推荐例题有蓝皮书的题型较为重要,只有吉米多维奇的题型次之。码字不易,如果这篇文章对您有帮助的话,希望您能点赞、评论、收藏,投币、转发、关注。您的鼓励就是我前进的动力! 知识点思维导图 补充&…

CodeForces.1786A2.发牌.[中等][flg标识][数学规律][双色牌]

题目描述: 题目解读: 发牌问题,给两人发双色牌,同样还是 给a发1张,然后给b发2,3张; 给a发4,5张,给b发6,7张; 给a发8,9张&#xff…

软件测试基础知识整理(七)- 因果图法、正交法、场景法、错误推测法

目录 一、因果图法 1.1 因果图中的基本符号 1.2 操作步骤 二、正交法 2.1 正交表概念 2.2 举例说明 三、场景法 3.1 操作步骤 3.2 举例说明 四、错误推测法(了解) 一、因果图法 因果图法用于识别系统中可能存在的输入和输出的关系,…

《高性能MySQL》——创建高性能的索引(笔记)

文章目录 五、创建高性能的索引5.1 索引基础5.1.1 索引的类型B-Tree索引哈希索引空间数据索引(R-Tree)全文索引其他索引类别 5.2 索引的优点索引是最好的解决方案吗? 5.3 高性能的索引策略5.3.1 独立的列5.3.2 前缀索引和索引选择性5.3.3 多列索引5.3.4 选择合适的索引列顺序5…

了解和使用Docker

前提 本文对 Docker 进行全面阐述,详细介绍 Docker 的作用、其基本使用,如常用命令、Dockerfile 的作用及使用、Docker Compose 的作用及使用。常用的基本上都会涉及,其他可以在 Docker 官网进行查漏补缺。 下面还有投票,一起参…

CRM客户管理系统开发 获客管理营销全搞定

企业经营管理是有很大学问的,无论是生产经营、销售、服务还是客户管理、维护、营销都是需要付出一定的人力物力来管理的。传统的企业管理多是通过人工方式来完成,个中细节繁琐复杂,耗时耗力还很容易出现纰漏。所以随着科技的发展,…

vscode配置文件-vutur自动格式化-eslint校验-属性换行

vscode配置文件-vutur自动格式化-eslint校验-属性换行 {// eslint 配置"eslint.enable": true,"eslint.run": "onType","eslint.options": {"extensions": [".js",".vue",".jsx",".tsx…

实验篇(7.2) 02. 部署物理实验环境(上) 远程访问 ❀ Fortinet网络安全专家 NSE4

【简介】当大家了解到并不需要很高的代价就可以动手做FortiOS 7.2的实验,很多人愿意尝试使用FortiGate防火墙硬件来学习最验难掌握的远程访问部分,这里我们将学习现场部署一套物理实验环境,让大家看到,在一张桌子上,在…

【软件设计师】高频考点集锦

👨‍💻个人主页:元宇宙-秩沅 👨‍💻 hallo 欢迎 点赞👍 收藏⭐ 留言📝 加关注✅! 👨‍💻 本文由 秩沅 原创 👨‍💻 收录于专栏:软考…

什么是IP地址及IP地址分类详解

概念 IP地址,英文名为IP Address,是internet protocol address的缩写,译为互联网协议地址,又译为网际协议地址。它是IP协议(internet protocol )提供的一种统一的地址格式,分配给使用IP协议的设…

软件测试----软件生命周期(研发阶段)

1、市场需求调研 2、可行性研究 3、产品项目立项 4、需求开发 (1)输出《需求规格说明书》 (2)测试团队:参与需求测试(需求评审) 5、设计 (1)开发团队: …

PDF文件数字证书签名指南

一、安装PDF证书的环境 1.1 PDF证书安装环境 Windows pc 机一台 安装Adobe Acrobat 软件 PDF文档签名证书一张(备注:本指南使用沃通内部文档加密证书进行操作,通用其它版本证书) 1.2 网络环境要求 请确保您签名的电脑可以正常访问外网。 二、PDF证书安装 2.…

Android java层hook------xposed框架的使用

xposed曾经是android平台上最好的java层hook和调试工具,由于已经不再更新,当前支持的android系统版本比较老旧,目前只能支持到android6.0,故已经逐渐落伍,目前android上最广泛使用的hook工具是frida,这是另…

数据结构《链表》无头单向非循环-动图详解

前言 前面学习了顺序表发现,顺序表虽然好,但也有很多不足的地方,比方说,顺序表是一块连续的物理空间,如果头插或者头删,那么整个数组的数据都要移动。但是链表不一样,链表是通过指针访问或者调…

昨天面了个腾讯拿 48K 出来的,让我见识到了基础的天花板

今年的春招基本已经进入大规模的开奖季了,很多小伙伴收获不错,拿到了心仪的 offer。 各大论坛和社区里也看见不少小伙伴慷慨地分享了常见的面试题和八股文,为此咱这里也统一做一次大整理和大归类,这也算是划重点了。 俗话说得好&a…

ESP8266获取天气预报信息,并使用CJSON解析天气预报数据

一、实现功能 当前文章介绍如何使用ESP8266和STM32微控制器,搭配OLED显示屏,制作一个能够实时显示天气预报的智能设备。将使用心知天气API来获取天气数据,并使用MQTT协议将数据传递给STM32控制器,最终在OLED显示屏上显示。 心知…

Python篇——数据结构与算法(第二部分)

目录 二、排序算法(承接第一部分) 1、堆排序算法——树的基础知识补充 2、树的基本概念 3、二叉树基础知识 (1)满二叉树 (2)完全二叉树 (3)二叉树的存储方式(表示方式…

Python基础教程:第九章_Python异常模块与包

从现在开始,让我们来进入到新的章节, Python 异常模块与包的内容学习。本章节我们主要分为 6 部分进行讲解,包含了 Python 异常的相关操作以及 Python 的模块操作, Python 的包操作和安装第三方 Python 包的相关操作。 了解异常 …

【Netty】Netty ChannelHandler(四)

文章目录 前言一、ChannelHandler二、ChannelInboundHandler三、ChannelOutboundHandler四、ChannelDuplexHandler总结 前言 前两篇文章我们已经对Netty进行了简单的了解和架构设计原理的剖析。 相关文章链接如下: Netty 概述(一)Netty 架构…

在互联网寒冬,我们应届生应如何提高竞争力?

前言 在当前就业形势下,如何提高应届生在职场中的竞争力?具有哪些有效的方法和策略可供选择?这是一个备受关注的热点话题。哪些方面会对应届生的职场发展起到关键的推动和支撑作用呢?我也来讲一下我是打算如何提升自己的职场竞争力…