從‘阿帕網(wǎng)’逐漸到今日的互聯(lián)網(wǎng)，是質(zhì)的蛻變，時間雖短暫，功勛卓卓。隨著Interner的到來，信息技術(shù)像脫韁的野馬，一發(fā)不可收勢。

促進(jìn)著經(jīng)濟(jì)發(fā)展與社會的進(jìn)步，成為人類的‘核心’。人類對網(wǎng)絡(luò)的依賴使其越來越有價值，而域名解析服務(wù)系統(tǒng)【Domain name resolution ，簡稱DNS】則是網(wǎng)絡(luò)服務(wù)中最為重要的一項服務(wù)，它將‘天書’一樣的IP地址轉(zhuǎn)換成易于記憶的域名。

如果負(fù)責(zé)轉(zhuǎn)換的域名服務(wù)器遭受攻擊，產(chǎn)生虛假DNS信息，就會直接導(dǎo)致互聯(lián)網(wǎng)用戶無法使用互聯(lián)網(wǎng)，甚至網(wǎng)站會被攻擊、信息被篡改，因此保證DNS服務(wù)器的安全運行是網(wǎng)絡(luò)安全與正常運行的關(guān)鍵。

域名服務(wù)器受到安全攻擊或者被入侵者控制時，入侵者可以隨意篡改DNS的記錄信息，它向所授權(quán)范圍的客戶機(jī)提供域名服務(wù)時，所有的信息變?yōu)椴豢煽啃畔?，客戶機(jī)的信息資源就可能被黑客截取和破壞；

當(dāng)一臺機(jī)器查詢IP地址為本地非授權(quán)范圍內(nèi)時，本地域名服務(wù)器提供迭代解析，如果在解析過程中，初始條件已被黑客修改，則解析結(jié)果出錯；

當(dāng)域名服務(wù)器的高速緩存緩存了無效數(shù)據(jù)，而該數(shù)據(jù)將在高速緩存中保留相當(dāng)一段時間，因而導(dǎo)致查詢結(jié)果錯誤，這些攻擊會使得整個網(wǎng)絡(luò)產(chǎn)生無效數(shù)據(jù)，破壞網(wǎng)絡(luò)完整性。

如果一個域名服務(wù)器允許遠(yuǎn)程主機(jī)箱它查詢其它域【本身不管理這些域】的域名，也就是允許遞歸查詢，就可能導(dǎo)致網(wǎng)絡(luò)流量的異常增大，單個主機(jī)引起的流量增大可能并不能導(dǎo)致拒絕服務(wù)器攻擊的產(chǎn)生。

但是利用DNS的分級方式的弱點，當(dāng)域名服務(wù)器接收到一個域名解析請求時，它往往會轉(zhuǎn)發(fā)給上一級的DNS服務(wù)器，如果這個查詢請求不能被解析，因為其權(quán)限域名服務(wù)器上沒有啟動DNS服務(wù)或是沒有應(yīng)答，每個轉(zhuǎn)發(fā)的服務(wù)器將會試圖自己解析，通常會重復(fù)解析三次【分別在0秒，12秒，24秒時】甚至更多。

在這種情況下，該域名所在網(wǎng)絡(luò)的流量明顯增大，通過使用大量的域名服務(wù)器做這種查詢，可能導(dǎo)致向目標(biāo)網(wǎng)絡(luò)發(fā)送大量數(shù)據(jù)，造成拒絕服務(wù)器攻擊。

設(shè)置不當(dāng)?shù)腄NS將泄露過多的網(wǎng)絡(luò)拓補結(jié)構(gòu)。如果DNS服務(wù)器允許對任何人都進(jìn)行區(qū)域傳輸?shù)脑挘敲凑麄€網(wǎng)絡(luò)架構(gòu)中的主機(jī)名、主機(jī)IP列表、路由器名、路由器IP列表，，甚至包括機(jī)器所在的位置等都被攻擊者看到從而產(chǎn)生新的攻擊。

最新評論