单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2017/6/23,#,域名系统,DNS,域名系统 DNS,1,域名解析,2,智能,DNS,4,DNS,报文,3,3,DNS,简介,3,1,DNS,安全,3,5,目录,域名解析2智能DNS4DNS报文33DNS简介31DNS安全,2,A?,A,202.108.22.5,index,页面,?,DNS,服务器,web,服务器,DNS,简介, A?,3,DNS,简介,域名系统,(DNS),规范以,Internet,工程任务组,(IETF),和其他工作组所发布的已批准的,RFC,为基础，目前提出的,DNS,相关的,RFC,标准已超过,100,件,RFC,标题,时间,1034,域名,-,概念和工具,1987.11,1035,域名,-,实现和规范,1987.11,1123,Internet,主机,(,hosts)-,应用和支持的要求,1989.10,1886,支持,IP,版本,6,的,DNS,扩展名,1995.12,1995,DNS,中的增量区域传输,1996.08,1996,提示通知区域更改的机制,1996.08,2136,域名系统中的动态更新,1997.04,2181,对,DNS,规范的说明,1997.07,2308,DNS,查询的负缓存,1998.03,2535,域名系统安全扩展,1999.03,2671,DNS,的扩展机制,1999.08,2782,指定服务位置的,DNS RR,2000.02,2930,DNS,的密钥建立,2000.09,3645,DNS,密钥事务身分验证的通用安全服务算法,2003.10,3646,IPv6,动态主机配置协议的,DNS,配置选项,2003.12,DNS简介域名系统(DNS)规范以 Internet 工,4,早期，使用,HOSTS.TXT,存储主机名到,IP,地址的映射，由,SRI(Stanford Research Institute),的网络信息中心负责维护，各个主机通过,FTP,进行更新。,目前仍然保留,hosts,文件,/etc/hosts,文件：,192.168.100.177 ,192.168.100.178 ,DNS,简介,早期，使用HOSTS.TXT存储主机名到IP地址的映射，由S,5,如何使域名易于记忆？,如何管理域名数据？,（,名字冲突，数据更新，传输性能）,答案：树状的名字空间,名字如同地址，机构，文件夹一样，由大到小，由整体到局部,通过某种机制，划分管理区块,随着互联网的扩大，主机数量增加，导致域名数量的增加，带来两个问题：,DNS,简介,如何使域名易于记忆？如何管理域名数据？（名字冲突，数据更新，,6,DNS,简介,DNS简介,7,DNS,简介,DNS,对于用户：方便理解和记忆。,DNS简介DNS对于用户：方便理解和记忆。,8,DNS,简介,DNS,域名服务器：保存有该网络中所有主机的域名和对应地址。,根域名服务器：全球共,13,个，,10,个位于美国，其余个分别位于英国、挪威、日本,镜像服务器,顶级域名服务器：“,com,”、“,edu,”等,权威域名服务器：存储并维护某个区的信息的域名服务器,递归域名服务器：可以将权威服务器返回的各种记录进行缓存从而减少查询次数和提高查询效率，因而也被称为缓存域名服务器或本地域名服务器；为用户提供域名对应的地址，多由运营商掌控,DNS简介DNS域名服务器：保存有该网络中所有主机的域名和对,9,域名解析,递归查询：服务器必需回答目标,IP,与域名的映射关系，从客户端到本地,DNS,服务器属于递归查询；,迭代査询：服务器收到一次迭代查询回复一次结果，这个结果不一定是目标,IP,与域名的映射关系，也可以是其它,DNS,服务器的地址；,DNS,服务器之间就是的交互查询就是迭代查询,域名解析递归查询：服务器必需回答目标IP与域名的映射关系，从,10,域名解析,客户端,3.,指向,cn,服务器的参考信息,5.,指向,服务器的参考信息,的,IP,地址,解析器,cn,tw,com,cnnic,sina,163,2.,请求,的地址,4.,请求,的地址,6.,请求,的地址,1.,解析请求, A?,8.,回答,( A 218.241.97.41),本地缓存服务器,根权威,服务器,cn,权威,服务器,权威服务器,所有应答信息都被缓存,浏览器,9.,请求,http:/ name,：查询名，要查找的域名；,Type,：查询类型，一般最常用的查询类型是,A,类型（表示查找域名对应的,IP,地址）和,PTR,类型（表示查找,IP,地址对应的域名）,Class,：查询类，通常值为,1,，表示是互联网地址,DNS报文Question字段用来定义查询的问题Domain,14,DNS,报文,Answer,字段定义响应报文,Domain name,、,Type,、,class,与查询报文中的 相同,TTL,：生存时间，客户程序保存该资源记录的秒数,Resource Data Length,：资源数据长度,Resource Data,：资源数据，服务器端返回给客户端的记录数据,DNS报文Answer字段定义响应报文Domain name,15,DNS,报文,Answer,字段定义响应报文,Domain,TTL,class,type,rdata,域名,生存周期,网络,/,协议类型,资源记录类型,资源记录数据,.,600,1,A,202.173.11.10,DNS报文Answer字段定义响应报文DomainTTLcl,16,DNS,报文,.120 1 A 74.125.128.105,.120 1 A 74.125.128.106,.120 1 A 74.125.128.147,.120 1 A 74.125.128.99,.120 1 A 74.125.128.103,.147 1 AAAA 2404:6800:4005:c00:93,一个域名可以有多种资源记录,（,A,，,AAAA,）,每种资源记录可以有多条,一个域名，多个相同类型的资源记录的集合成为资源记录集（,RRset,），,RRset,是,DNS,传输的基本单元，也就是说查询一个域名对应的某种信息，,DNS,系统不会返回一条,RR,，而是返回一个,RRset,。因此一个,RRset,中所有的,RR,的,TTL,是一致的。,DNS报文.120 1,17,智能,DNS,传统的,DNS,服务器只负责为用户解析出,IP,记录，而不去判断用户从哪里来，这样会造成所有用户都只能解析到固定的,IP,地址上。,智能,DNS,会判断用户的来路（如运营商、地区等），而做出一些智能化的处理，然后把智能化判断后的,IP,返回给用户。,智能DNS传统的DNS服务器只负责为用户解析出IP记录，而不,18,智能,DNS,智能DNS,19,DNS,安全,协议漏洞,实现漏洞,管理、配置漏洞,DNS,提供,Internet,上的基本服务，安全防护系统不会对查询进行任何限制，所以对,DNS,的攻击都可以伪装成正常的查询访问。,DNS,服务器完全暴露在攻击之下，基本无法受到一些安全防护系统如防火墙、入侵检测系统的保护。,DNS安全协议漏洞 DNS 提供Interne,20,协议漏洞,DNS,缺乏认证机制，数据传送时未加密，容易被截获和篡改，请求端无法验证数据完整性。,数据包欺骗攻击,协议漏洞 DNS缺乏认证机制，数据传送时未加密,21,协议漏洞,缓存中毒攻击,协议漏洞缓存中毒攻击,22,协议漏洞,直接,DOS,（拒绝服务）攻击,协议漏洞直接DOS（拒绝服务）攻击,23,协议漏洞,DNS,放大攻击,协议漏洞DNS放大攻击,24,DNS,实现漏洞,DNS,服务器的实现软件也存在着多种漏洞,例：,Bind,软件存在的漏洞,CVE-2007-2241,。如果开放递归，远程攻击者可以发送一连串的由,query_addsoa,函数处理的查询，使服务器后台程序退出，造成事实上的拒绝服务。,CVE-2007-2926,。使用弱的随机数生成器生成,DNS,序列号，攻击者容易猜测下一个序列号以进行缓存中毒攻击。,CVE-2009-0696,。当服务器配置成一个主域名服务器时，攻击者通过在伪造的动态更新消息的前提部分添加一个,ANY,类型的记录可以引起服务器拒绝服务。,CVE-2011-4313,。当在,query.c,中记录一个错误时，会引起解析器崩溃。,DNS 实现漏洞 DNS 服务器的实现软件也存在着多种漏洞例,25,DNS,管理和配置漏洞,域名注册攻击：通过对域名注册管理公司中的注册域名记录进行非法改变使之指向其他,Web,主机；,服务器冗余失效：许多站点仅有一台服务器，无法实现容灾备份,解析路径篡改：攻击者会利用病毒、木马将受害者使用的域名服务器设置为自己控制的服务器，受害者发出的域名请求都将传送至这个虚假服务器，攻击者可以伪造任意的响应以窃取受害者的个人信息。,DNS 管理和配置漏洞域名注册攻击：通过对域名注册管理公司中,26,DNS,安全增强,通过,DNS,服务器本身的配置以及与防火墙等的合作来加强,DNS,的安全性,包过滤防护,防火墙保护,网络拓扑限制,部署,IDS,入侵检测系统,DNS,缓存定时清洗,D N S,服务器冗余备份,DNS 安全增强通过DNS服务器本身的配置以及与防火墙等的合,27,