日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
DNS是什么,它如何運(yùn)行?DNS漏洞有哪些?

域名系統(tǒng)(DNS)是Internet的基礎(chǔ)之一,但是網(wǎng)絡(luò)之外的大多數(shù)人可能沒有意識到他們每天都在使用它來完成工作,查看電子郵件或在智能手機(jī)網(wǎng)上沖浪。

創(chuàng)新互聯(lián)建站專業(yè)為企業(yè)提供南京網(wǎng)站建設(shè)、南京做網(wǎng)站、南京網(wǎng)站設(shè)計(jì)、南京網(wǎng)站制作等企業(yè)網(wǎng)站建設(shè)、網(wǎng)頁設(shè)計(jì)與制作、南京企業(yè)網(wǎng)站模板建站服務(wù),十年南京做網(wǎng)站經(jīng)驗(yàn),不只是建網(wǎng)站,更提供有價(jià)值的思路和整體網(wǎng)絡(luò)服務(wù)。

系統(tǒng)域名是互聯(lián)網(wǎng)的一項(xiàng)服務(wù)。它作為將域名和IP地址相互映射的一個(gè)分布式數(shù)據(jù)庫,能夠使人更方便地訪問互聯(lián)網(wǎng)。DNS使用TCP和UDP端口53。當(dāng)前,對于每一級域名長度的限制是63個(gè)字符,域名總長度則不能超過253個(gè)字符。

DNS服務(wù)器如何工作

域名系統(tǒng)(Domain Name System,DNS)是Internet上解決網(wǎng)上機(jī)器命名的一種系統(tǒng)。就像拜訪朋友要先知道別人家怎么走一樣,Internet上當(dāng)一臺主機(jī)要訪問另外一臺主機(jī)時(shí),必須首先獲知其地址:

TCP/IP中的IP地址是由四段以“.”分開的數(shù)字組成,記起來總是不如名字那么方便,所以,就采用了域名系統(tǒng)來管理名字和IP的對應(yīng)關(guān)系。

雖然因特網(wǎng)上的節(jié)點(diǎn)都可以用IP地址惟一標(biāo)識,并且可以通過IP地址被訪問,但即使是將32位的二進(jìn)制IP地址寫成4個(gè)0~255的十位數(shù)形式,也依然太長、太難記。

因此,人們發(fā)明了域名(Domian Name),域名可將一個(gè)IP地址關(guān)聯(lián)到一組有意義的字符上去。用戶訪問一個(gè)網(wǎng)站的時(shí)候,既可以輸入該網(wǎng)站的IP地址,也可以輸入其域名,對訪問而言,兩者是等價(jià)的。

例如:微軟公司的Web服務(wù)器的IP地址是207.46.230.229,其對應(yīng)的域名是www.microsoft.com,不管用戶在瀏覽器中輸入的是前者還是后者,都可以訪問其Web網(wǎng)站。

一個(gè)公司的Web網(wǎng)站可看作是它在網(wǎng)上的門戶,而域名就相當(dāng)于其門牌地址,通常域名都使用該公司的名稱或簡稱。

例如上面提到的微軟公司的域名,類似的還有:IBM公司的域名是www.ibm.com、Oracle公司的域名是www.oracle.com、Cisco公司的域名是www.cisco.com等。

當(dāng)人們要訪問一個(gè)公司的Web網(wǎng)站,又不知道其確切域名的時(shí)候,也總會首先輸入其公司名稱作為試探。但是,由一個(gè)公司的名稱或簡稱構(gòu)成的域名,也有可能會被其他公司或個(gè)人搶注。

甚至還有一些公司或個(gè)人惡意搶注了大量由知名公司的名稱構(gòu)成的域名,然后再高價(jià)轉(zhuǎn)賣給這些公司,以此牟利。

像Internet本身一樣,該目錄分布在世界各地,存儲在域名服務(wù)器(通常簡稱為DNS服務(wù)器)上,這些域名服務(wù)器都非常定期地相互通信以提供更新和冗余。

按照ISO-3166標(biāo)準(zhǔn)制定的國家域名,一般由各國的NIC(Network Information Center,網(wǎng)絡(luò)信息中心)負(fù)責(zé)運(yùn)行。我國域名體系分為類別域名和行政區(qū)域名兩套。

形式:權(quán)威DNS服務(wù)器與緩存域名服務(wù)器

域名服務(wù)器通常會有兩種形式:權(quán)威域名服務(wù)器,以及緩存域名服務(wù)器。

當(dāng)您的計(jì)算機(jī)要查找與域名關(guān)聯(lián)的IP地址時(shí),它首先向遞歸DNS服務(wù)器(也稱為遞歸解析器)發(fā)出請求。

權(quán)威域名服務(wù)器

下列情況需要有權(quán)威域名服務(wù)器:想要向全世界提供DNS信息,并對請求給出權(quán)威應(yīng)答。注冊了類似 exampleorg的域,而需要將IP指定到其下的主機(jī)名上。

某個(gè)IP地址塊需要反向DNS項(xiàng)(IP 到主機(jī)名)。備份服務(wù)器,或常說的從(slave) 服務(wù)器,會在主服務(wù)器出現(xiàn)問題或無法訪問時(shí)來應(yīng)答查詢請求。

緩存域名服務(wù)器

下列情況需要有緩存域名服務(wù)器:本地的DNS服務(wù)器能夠緩存,并比直接向外界的域名服務(wù)器請求更快地得到應(yīng)答。當(dāng)有人查詢www.FreeBSDorg時(shí),解析器通常會向上級ISP的域名服務(wù)器發(fā)出請求,并獲得回應(yīng)。

如果有本地的緩存DNS服務(wù)器,查詢只有在第一次被緩存DNS服務(wù)器發(fā)到外部。其他的查詢不會發(fā)向局域網(wǎng)外,因?yàn)樗鼈円呀?jīng)有在本地的緩存了。

DNS如何提高效率

DNS按層次結(jié)構(gòu)進(jìn)行組織,有助于使事情快速,順暢地運(yùn)行。為了說明這一點(diǎn),讓我們假設(shè)您訪問某xxx.com。

如上所述,對IP地址的初始請求是向遞歸解析器發(fā)出的。遞歸解析器知道需要使用哪些其他DNS服務(wù)器來解析具有其IP地址的站點(diǎn)(xxx.com)的名稱。

該搜索將導(dǎo)致一個(gè)根服務(wù)器,該服務(wù)器了解有關(guān)頂級域名的所有信息,例如.com,.net,.org以及所有國家/地區(qū)域名,例如.cn(中國)和.uk(英國)。

根服務(wù)器遍布世界各地,因此系統(tǒng)通常會將您引導(dǎo)到地理位置最接近的服務(wù)器。

請求到達(dá)正確的根服務(wù)器后,它會轉(zhuǎn)到頂級域(TLD)名稱服務(wù)器,該服務(wù)器存儲第二級域的信息,即到達(dá)co.org.net前的二級子域名。

然后,將請求轉(zhuǎn)到域名服務(wù)器,該服務(wù)器保存有關(guān)站點(diǎn)及其IP地址的信息。一旦發(fā)現(xiàn)IP地址,它將被發(fā)送回客戶端,客戶端現(xiàn)在可以使用它來訪問網(wǎng)站。

所有這些僅需幾毫秒。由于DNS已經(jīng)使用了30多年,因此大多數(shù)人都將其視為理所當(dāng)然。構(gòu)建系統(tǒng)時(shí)也沒有考慮安全性,因此黑客充分利用這一點(diǎn),從而產(chǎn)生了各種攻擊。

攻擊一:DNS反射攻擊

DNS反射攻擊用來自DNS解析器服務(wù)器的大量郵件淹沒受害者。攻擊者使用DNS解析器,然后請求大型DNS文件來淹沒受害者的IP。

所以當(dāng)解析程序做出響應(yīng)時(shí),受害者會收到大量未請求的DNS數(shù)據(jù),這些數(shù)據(jù)淹沒了他們的計(jì)算機(jī)。

攻擊二:DNS緩存中毒

可將用戶轉(zhuǎn)移到惡意網(wǎng)站。攻擊者設(shè)法將錯(cuò)誤的地址記錄插入DNS中,因此當(dāng)受害者請求中毒站點(diǎn)的地址解析時(shí),DNS會使用由黑客控制的另一個(gè)站點(diǎn)的IP地址進(jìn)行響應(yīng)。

一旦進(jìn)入這些假冒網(wǎng)站,受害者可能會被誘騙放棄密碼或遭受惡意軟件下載。

攻擊三:DNS資源耗盡

因此,如果遞歸解析器無法提供與站點(diǎn)名稱關(guān)聯(lián)的IP地址,它將詢問受害者的名稱服務(wù)器。

(圖片轉(zhuǎn)自Docin,非商業(yè)用途僅供交流,勿轉(zhuǎn))

攻擊者針對其域生成大量請求,并將其扔向不存在的子域以進(jìn)行引導(dǎo),這導(dǎo)致大量解析請求被攻擊到受害者的名稱服務(wù)器,從而使請求不堪重負(fù)。

攻擊四:SIGRed可蠕蟲攻擊的DNS漏洞

最近,人們發(fā)現(xiàn)Windows DNS服務(wù)器中的漏洞可能會導(dǎo)致DNS的各種混亂,稱為SIGRed的潛在安全漏洞需要復(fù)雜的攻擊鏈,但可以利用未打補(bǔ)丁的Windows DNS服務(wù)器在客戶端上安裝和執(zhí)行惡意代碼。

該漏洞利用程序是“可蠕蟲化的”,這意味著它可以在計(jì)算機(jī)之間傳播,而無需人工干預(yù)。該漏洞足夠令人震驚,以至于美國聯(lián)邦機(jī)構(gòu)反應(yīng)過來時(shí),也只有幾天的時(shí)間來火速安裝補(bǔ)丁。

前面說了這么多關(guān)于DNS的運(yùn)行原理和被攻擊的原理,那么DNS將如何被防護(hù)呢?接下來介紹一種DNS的防護(hù)措施和原理:

防護(hù)措施:DNSSec

互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu)意識到DNS頂級,二級和三級目錄服務(wù)器之間的通信存在漏洞,可能使攻擊者劫持查找。

這將使攻擊者可以使用惡意站點(diǎn)的IP地址響應(yīng)對合法站點(diǎn)的查找請求。這些網(wǎng)站可能會將惡意軟件上傳給用戶,或者進(jìn)行網(wǎng)絡(luò)釣魚和欺騙攻擊。

DNSSec的保護(hù)方式則是通過讓每個(gè)級別的DNS服務(wù)器對其請求進(jìn)行數(shù)字簽名來解決此問題,從而確保最終用戶發(fā)送的請求不會接收到攻擊者的欺瞞性命令。這將創(chuàng)建信任鏈,以便在查找的每個(gè)步驟中,都可以驗(yàn)證請求的完整性。

此外,DNSSec可以確定域名是否存在,如果不存在,則不會將該欺詐性域名交付給尋求解析域名的無辜請求者。


分享名稱:DNS是什么,它如何運(yùn)行?DNS漏洞有哪些?
文章分享:http://www.dlmjj.cn/article/dhpdegd.html