從‘阿帕網(wǎng)’逐漸到今日的互聯(lián)網(wǎng)，是質(zhì)的蛻變，時間雖短暫，功勛卓卓。隨著Interner的到來，信息技術(shù)像脫韁的野馬，一發(fā)不可收勢。

促進著經(jīng)濟發(fā)展與社會的進步，成為人類的‘核心’。人類對網(wǎng)絡的依賴使其越來越有價值，而域名解析服務系統(tǒng)【Domain name resolution ，簡稱DNS】則是網(wǎng)絡服務中最為重要的一項服務，它將‘天書’一樣的IP地址轉(zhuǎn)換成易于記憶的域名。

如果負責轉(zhuǎn)換的域名服務器遭受攻擊，產(chǎn)生虛假DNS信息，就會直接導致互聯(lián)網(wǎng)用戶無法使用互聯(lián)網(wǎng)，甚至網(wǎng)站會被攻擊、信息被篡改，因此保證DNS服務器的安全運行是網(wǎng)絡安全與正常運行的關(guān)鍵。

域名服務器受到安全攻擊或者被入侵者控制時，入侵者可以隨意篡改DNS的記錄信息，它向所授權(quán)范圍的客戶機提供域名服務時，所有的信息變?yōu)椴豢煽啃畔?，客戶機的信息資源就可能被黑客截取和破壞；

當一臺機器查詢IP地址為本地非授權(quán)范圍內(nèi)時，本地域名服務器提供迭代解析，如果在解析過程中，初始條件已被黑客修改，則解析結(jié)果出錯；

當域名服務器的高速緩存緩存了無效數(shù)據(jù)，而該數(shù)據(jù)將在高速緩存中保留相當一段時間，因而導致查詢結(jié)果錯誤，這些攻擊會使得整個網(wǎng)絡產(chǎn)生無效數(shù)據(jù)，破壞網(wǎng)絡完整性。

如果一個域名服務器允許遠程主機箱它查詢其它域【本身不管理這些域】的域名，也就是允許遞歸查詢，就可能導致網(wǎng)絡流量的異常增大，單個主機引起的流量增大可能并不能導致拒絕服務器攻擊的產(chǎn)生。

但是利用DNS的分級方式的弱點，當域名服務器接收到一個域名解析請求時，它往往會轉(zhuǎn)發(fā)給上一級的DNS服務器，如果這個查詢請求不能被解析，因為其權(quán)限域名服務器上沒有啟動DNS服務或是沒有應答，每個轉(zhuǎn)發(fā)的服務器將會試圖自己解析，通常會重復解析三次【分別在0秒，12秒，24秒時】甚至更多。

在這種情況下，該域名所在網(wǎng)絡的流量明顯增大，通過使用大量的域名服務器做這種查詢，可能導致向目標網(wǎng)絡發(fā)送大量數(shù)據(jù)，造成拒絕服務器攻擊。

設(shè)置不當?shù)腄NS將泄露過多的網(wǎng)絡拓補結(jié)構(gòu)。如果DNS服務器允許對任何人都進行區(qū)域傳輸?shù)脑?，那么整個網(wǎng)絡架構(gòu)中的主機名、主機IP列表、路由器名、路由器IP列表，，甚至包括機器所在的位置等都被攻擊者看到從而產(chǎn)生新的攻擊。

最新評論