/ss小怪/1576340
/章-13.html#134
DNS欺騙,即域名信息欺騙,是最常見的DNS安全問題。當壹個DNS服務器落入陷阱並使用來自惡意DNS服務器的錯誤信息時,那麽這個DNS服務器就被欺騙了。DNS欺騙會給易受攻擊的DNS服務器帶來許多安全問題,例如將用戶引導到錯誤的互聯網站點或向未經授權的郵件服務器發送電子郵件。
拒絕服務攻擊(DOS)
黑客主要是利用了DNS軟件的壹些漏洞。比如在BIND 9的版本中(9.2.0版本之前的9系列),如果有人向運行BIND的設備發送特定的DNS包請求,BIND會自動關閉。攻擊者只能關閉BIND,但不能在服務器上執行任意命令。如果無法獲得DNS服務,那將是壹場災難:用戶將無法訪問互聯網,因為網址無法解析為IP地址。這樣壹來,DNS造成的問題就像互聯網本身造成的問題壹樣,會導致很多混亂。
分布式拒絕服務攻擊(DDOS)
DDOS攻擊利用攻擊者控制的數十臺或數百臺計算機來攻擊壹臺主機,這使得阻止拒絕服務攻擊變得更加困難:通過阻斷單個攻擊源主機的數據流來阻止拒絕服務攻擊變得更加困難。Syn Flood是針對DNS服務器的最常見的分布式拒絕服務攻擊。
緩沖漏洞
Bind軟件的默認設置是允許主機之間的區域傳輸。區域傳輸主要用於壹級域名服務器和二級域名服務器之間的數據同步,使得二級域名服務器可以從壹級域名服務器獲得新的數據信息。壹旦無限制地啟用區域傳輸,很可能造成信息泄露。黑客將能夠獲得整個授權區域內所有主機的信息,判斷主機的功能和安全性,並找到攻擊的目標。
TSIG信號0
DNS的交易簽名可以分為TSIG(交易簽名)和SIG0(簽名)。如何選擇?首先要判斷客戶端和服務器端的信任關系。如果可信,我們可以選擇對稱TSIG。TSIG只有壹套密碼,沒有公鑰/私鑰。如果不是完全信任者,可以選擇非對稱密鑰的SIG0。雖然有公/私鑰,但是設置相對復雜。至於哪個更合適,就看妳自己判斷了。通常,區域傳輸是從主域名服務器到輔助域名服務器。壹般主域名服務器的配置文件/etc/named.conf中dns-ip-list的訪問控制列表(ACL)會列出壹些ip地址,這些地址只能傳輸主域的區域信息。
DNSSEC主要依靠公鑰技術為DNS中包含的信息創建加密簽名。加密簽名通過計算加密哈希值來提供DNS中數據的完整性,並封裝哈希值進行保護。私鑰/公鑰對中的私鑰用於封裝散列值,然後散列值可以由公鑰翻譯。如果轉換後的哈希值與接收方剛剛計算的哈希樹匹配,則表明數據是完整的。無論翻譯出來的哈希數是否與計算出來的哈希數相匹配,密碼簽名的認證方式都是絕對正確的,因為公鑰只是用來解密合法的哈希數,所以只有擁有私鑰的所有者才能加密這些信息。