資源描述:
《DNS欺騙攻擊及其防護研究.pdf》由會員上傳分享��,免費在線閱讀���,更多相關內容在行業(yè)資料-天天文庫����。
1、第1l卷第3期軟件導刊Vo1.1lNO.32012年3月SoftwareGuideMar2Ol2DNS欺騙攻擊及其防護研究王偉(西安財經學院信息與教育技術中心����,陜西西安710100)摘要:DNS是計算機用戶訪問網站使用的域名地址解析系統(tǒng)�����。DNS欺騙則是攻擊者常見的攻擊手段��。從DNS的服務工作過程入手,分析了DNS的欺騙原理���,探討了防止DNS欺騙攻擊的技術方法。關鍵詞:DNS��;欺騙攻擊�;防護研究中圖分類號:TP309文獻標識碼:A文章編號:1672—7800(2012)003—0138—03果有則發(fā)送應答數據包并給出相應的結果;否
2���、則它將向上0引言一層DNSServer查詢���。如此不斷查詢�,最終直至找到相應的結果或者將查詢失敗的信息反饋給客戶機。如果域名系統(tǒng)(DomainNameSystem�����,DNS)是一個將Do—LocalDNSServer查到信息��,則先將其保存在本機的高速mainName和IPAddress進行互相映射的Distributed緩存中�����,然后再向客戶發(fā)出應答���。日常我們上網是通過Database��。DNS是網絡應用的基礎設施,它的安全性對于Browser方式來申請從DomainName到IPAddress的解互聯網的安全有著舉足輕重的影響��。但是由
3�����、于DNSPro—析���,即Client向DNSServer提交域名翻譯申請���,希望得到toeol在自身設計方面存在缺陷����,安全保護和認證機制不對應的IPAddress���。這里以筆者所在院校為例��,說明DNS健全�,造成DNS自身存在較多安全隱患��,導致其很容易遭的工作原理���。受攻擊。很多專家就DNSProtocol的安全缺陷提出了很例如Client的Address為10.252.2.16����,學校DNS多技術解決方案。例如IETF提出的域名系統(tǒng)安全協議Server為218.3O.19.4O�,從此客戶機來訪問西安財經學院(DomainNameSyste
4、mSecurity���,DNSSEC)�,其目標就在于網站�。在地址欄鍵入學校網站的www.xaufe.edu.cn��,通解決這些安全隱患。這個Protocol增加了安全認證項目���,過DNSServer查找其對應的IPAddress����。這個申請從增強了Protocol自身的安全功能。但是新增加的安全機10.252.2.16的一個隨機PORT發(fā)送出去��,由218.30.19.制需要占用更多的系統(tǒng)和網絡資源���,同時要升級Database4O的53綁定端口接收到此申請并進行翻譯,首先在218.和SystemManggamentSoftware�����,這些基于
5���、DNSSEC協議3O.19.40的高速緩存中查找www.xaufe.edu.en的IP的軟件還不成熟,距離普及應用還有較長時間�����。目前�,常Address����,若存在對應的映射關系,就直接將IPAddress發(fā)見的措施是定期升級DNS軟件和加強相關的安全配置�����,送給客戶機����,若緩存中沒有����,則218.30.19.40會向上層禁用不安全的端口等����。本文對以偵聽為基礎的DNSIDDNSSERVER查詢����,最后將查詢到的結果先發(fā)送到218.欺騙(DNSIDspoofing)進行了探討���,并提出了相關的防護30.19.4O�����,最后由218.30.19.40將
6、西安財經學院的1P解決方案����。Address(281.195.32.1)返回給Client10.252.2.16��。這樣10.252.2.16就可以和西安財經學院站點建立連接并1DNSSERVER的服務工作過程訪問了�,其具體過程如圖1所示。DNS是一種實現DomainName和IPAddress之間轉換的系統(tǒng)����,它的工作原理就是在兩者間進行相互映射���,相當于起到翻譯作用�,所以稱為域名解析系統(tǒng)��。DNSSys—tem分為Server和Client兩部分�����,Server的通用Port是將網頁發(fā)送給客戶返NIP21819532153。當Clien
7��、t向Server發(fā)出解析請求時,LocalDNSServ時間時間時間er第一步查詢自身的Database是否存在需要的內容���,如圖1客戶端Browser向DNS查詢Web服務器的IP地址作者簡介:王偉(1978一),男����,山西新絳人���,碩士���,西安財經學院信息與教育技術中心工程師,研究方向為計算機信息系統(tǒng)�����、網絡管理與安全。第3期王偉:DNS欺騙攻擊及其防護研究·139·當Client�����、攻擊者和DNSServer同在一個網絡時�,攻擊流2DNS欺騙攻擊原理程如下:①攻擊方向目標反復發(fā)送偽造的ARPRequestMessage�,修改目標機的A
8����、RP緩存內容�,同時依靠IP續(xù)傳2.1欺騙原理使Data經過攻擊方再流向目的地�;攻擊方用Sniffer軟件Client的DNS查詢請求和DNSServer的應答數據包偵測DNS請求包��,獲取ID序列號和Potr�����;②攻擊方一旦是依靠DNS報文的ID標識來相互對應的。在
