DNS協議工作過程 DNS的安全隱患

2022-05-19 17:07:35 字數 1054 閱讀 3715

下面以網域名稱為m.xyz.com的主機欲通過另乙個主機的網域名稱y.abc.com的ip位址為例,簡述dns協議過程。

主機m.xyz.com先向其本地伺服器dns.xyz.com進行遞迴查詢。

本地網域名稱伺服器先查詢快取記憶體,如果不久前已經查詢過網域名稱y.abc.com的ip,那麼本地網域名稱伺服器就不必向根網域名稱伺服器查詢,而是直接把快取記憶體中存放的上次查詢的結果(即y.abc.com的ip位址)告訴使用者。

本地網域名稱伺服器採用迭代查詢。他先向乙個根網域名稱伺服器查詢。

本地網域名稱伺服器向頂級網域名稱伺服器dns.com進行查詢。

本地網域名稱伺服器向許可權網域名稱伺服器dns.abc.com進行查詢。

許可權網域名稱伺服器dns.abc.com告訴本地網域名稱伺服器,所查詢的主機的ip位址。

本地網域名稱伺服器最後把查詢的結果告訴主機m.xyz.com。

由於dns本身的設計缺陷,沒有提供適當的資訊保護和認證機制,使得dns很容易受到攻擊。比如dns spoofing(dns欺騙)、cache poisoing(快取中毒),server compromising(伺服器中毒),dos。dns spoofing(dns欺騙)、cache poisoing(快取中毒)是其中最容易實現,且危害最大的兩個攻擊。dns欺騙能夠實現的成因是,在dns報文中只使用乙個序列號來進行有效性鑑別,加之dns客戶端簡單地信任首先到達的應答包而丟棄所有後到達的應答包,使得攻擊者很容易監聽到查詢請求並偽造應答包給dns客戶端。快取中毒的成因也是由於dns協議沒有提供恰當的認證機制。在已知埠號的前提下,利用「生日攻擊」,通過傳送大量的dns應答包來猜測攻擊目標的dns請求包的id號,如果所傳送的偽造應答包中存在和請求包的id一致的情況,也就是產生了所謂的「碰撞」,則欺騙成功。

防範arp攻擊。因為dns欺騙需要以arp欺騙為基礎。避免了arp攻擊的可能,自然無法進行dns欺騙。

傳送dns請求時採用隨機埠,降低「碰撞」成功的可能性。

為資訊保安要求高的**建立標準的ip對映表。為少部分**(比如設計私密資訊的**或經常訪問的**)製作靜態標準dns對映表。

被動檢測。針對攻擊往往在短時間內傳送大量針對同乙個網域名稱的請求包的特點,進行檢測或者限制傳送的請求包的數量。

DNS協議解析過程

dns是網域名稱系統 domain name service 的縮寫,我們通常用來識別主機的方式有兩種,一種是通過主機名,另外一種是通過ip位址。主機名便於我們的記憶,而路由器則更喜歡定長的 有著層次結構的ip位址。所以需要乙個能將網域名稱轉變到ip位址的目錄服務,這就是網域名稱伺服器存在的意義。當...

DHCP協議工作過程

複習一下 dhcp協議工作過程 動態主機配置協議,客戶端udp埠為68,伺服器的udp埠為67。1 發現階段 客戶端以廣播方式傳送dhcp discovery報文來尋找dhcp伺服器。即向255.255.255.255傳送廣播資訊,網路中每一台tcp ip協議主機都會接收到該報文,但只有dhcp伺服...

http協議工作過程

在tcp ip的模型圖中 讀者可以看到 http協議位於最上層的應用層 它是網際網路上應用最為廣泛的一種網路協議 所有 www 檔案都必須遵守這個協議 http 是乙個由請求和響應組成的 標準的客戶端 服務端模型 b s結構 http 協議永遠是由客戶端發起請求 服務端給與響應 如下圖所示 http...