400-638-8808
|
微信公眾號





穩(wěn)定可靠 永不間斷

海外收發(fā) 暢通無阻

協(xié)同辦公 資源管理

超大郵件 超級功能

智能反垃圾郵件技術(shù)
易管理 免維護

基于IP協(xié)議,兩臺計算機之間要實現(xiàn)通信有一個前提,就是它們分別有一個IP地址。由于我們大多數(shù)人都善于記住www.taobao.com之類的字串,而非一串如104.196.44.101一般毫無規(guī)律的IP地址數(shù)字組合,因此,需要一個程序?qū)⒚Q字串翻譯成IP地址。
在互聯(lián)網(wǎng)上儲存域名與IP地址間映射關(guān)系的一個分布式數(shù)據(jù)庫,能夠?qū)⒚Q轉(zhuǎn)換為數(shù)字、數(shù)字轉(zhuǎn)換為名稱的程序就被稱為DNS(Domain Name System,域名系統(tǒng)),運行DNS系統(tǒng)的主機就是“DNS服務(wù)器”。如果沒有DNS,任何互聯(lián)網(wǎng)訪問就都需要我們記住12個數(shù)字——服務(wù)器的IP地址。

一、DNS工作原理
作為互聯(lián)網(wǎng)訪問中不可或缺的一項技術(shù),了解DNS的運作機理非常重要。
DNS中的域名-IP映射條目被稱為“DNS記錄”。互聯(lián)網(wǎng)上需要實現(xiàn)通信的計算機數(shù)量過于龐大,將所有DNS記錄都記錄在一個記錄集里,由單臺DNS服務(wù)器進行存儲處理是不切實際的。因此,在DNS體系的設(shè)計中,全球的DNS被分成了多個小記錄集,這些記錄集被稱為“域”(Domain)。一個域包含的記錄數(shù)量仍有可能非常大,因此,域還可以被劃分為更小的子集——“區(qū)”(Zone)。
因此,互聯(lián)網(wǎng)上所有的域名-IP映射條目是由許多DNS服務(wù)器共同存儲的。任何要根據(jù)域名查詢IP或根據(jù)IP查詢域名的計算機,都可以向其DNS服務(wù)器發(fā)起查詢,并且DNS服務(wù)器還知道如何在多臺DNS服務(wù)器之間發(fā)起查詢。當DNS服務(wù)器查詢其他DNS服務(wù)器時,我們稱之為“上游”查詢。域查詢可以不停的向上執(zhí)行,直至權(quán)限域名服務(wù)器。
權(quán)限域名服務(wù)器是管理員對其所管轄域的服務(wù)器名和IP地址進行管理的地方。當DNS管理員想要對服務(wù)器名或IP地址實施增刪改查時,就會在權(quán)限域名服務(wù)器(也稱“主DNS服務(wù)器”)上進行操作。另外,還有“從DNS服務(wù)器”,用于保存區(qū)或域的DNS記錄副本。

1. 加載頁面用到的四個DNS服務(wù)器
2. DNS服務(wù)的類型
根據(jù)其處理DNS查詢的技術(shù)機理不同,DNS服務(wù)被分為兩種類型:
3. 公共DNS & 私有DNS
對于需要被公眾在互聯(lián)網(wǎng)上訪問的服務(wù)器,它需要具有公共DNS記錄,并且其IP地址在互聯(lián)網(wǎng)上可訪問,即不會被防火墻等訪問控制技術(shù)所阻止。任何能夠連接到公共DNS服務(wù)器的人都可以在且無需身份驗證的情況下訪問公共DNS服務(wù)器。
但是,并非所有的DNS記錄都是公開的,為了使員工能夠方便地訪問企業(yè)內(nèi)網(wǎng)的服務(wù)器,不少企業(yè)都有自身的私有DNS。私有DNS被用于存放不希望公開到互聯(lián)網(wǎng)上的企業(yè)內(nèi)部文件服務(wù)器、郵件服務(wù)器、域控制器、數(shù)據(jù)庫服務(wù)器、應(yīng)用程序服務(wù)器等的域名和IP。
有一點需要注意的是,私有DNS服務(wù)器和公共DNS服務(wù)器一樣,對其的訪問無需進行身份驗證。這主要是因為在DNS技術(shù)創(chuàng)建之初,安全性還不是一個需要考慮的技術(shù)問題。因此,大多數(shù)情況下,企業(yè)內(nèi)部網(wǎng)絡(luò)中的任何用戶都可以在未做身份認證的情況下查詢內(nèi)部DNS服務(wù)器存儲的信息。
二、查詢DNS的七個步驟
(1)當用戶試圖訪問Internet上的計算機,例如,在瀏覽器地址欄中輸入m.51huadong.com時,就將啟動一次DNS查詢。
(2)DNS查詢的第一站是本地DNS緩存。在用戶訪問網(wǎng)絡(luò)上不同的域名時,這些域名對應(yīng)的IP地址就將存儲在本地緩存中,如果用戶之前訪問過m.51huadong.com,則緩存中就會存有該網(wǎng)站的IP地址。
(3)如果本地DNS緩存中沒有該域名的IP,DNS就會用遞歸DNS服務(wù)器進行檢查。在互聯(lián)網(wǎng)上,ISP服務(wù)商通常會建設(shè)和運維遞歸DNS服務(wù)器。
(4)遞歸DNS服務(wù)器自身具備緩存,如果在其緩存中存有用戶查詢的IP地址,則會將其直接返回給用戶。如果沒有,將向其它DNS服務(wù)器發(fā)起查詢。
(5)下一站是TLD域名服務(wù)器,當用戶查詢域名 m.51huadong.com時,存儲.cn地址的TLD域名服務(wù)器會響應(yīng)查詢請求。該服務(wù)器并不存儲我們需要的IP地址,但它能夠向正確的權(quán)限域名服務(wù)器轉(zhuǎn)發(fā)查詢請求。
(6)權(quán)限域名服務(wù)器用 m.51huadong.com的IP地址響應(yīng)此次查詢,遞歸DNS服務(wù)器將其存儲在本地DNS緩存中,并將地址返回給用戶的計算機。
(7)用戶計算機的本地DNS服務(wù)獲取m.51huadong.com的IP地址并實施訪問。然后,在本地緩存中記錄該域名的IP地址,同時記錄其生存時間(TTL),即本地DNS記錄的有效時間,若用戶下次訪問該域名的時間超過TTL時間,則下次訪問m.51huadong.com時,DNS將再次執(zhí)行上述過程。
三、DNS查詢的分類
DNS查詢需要給DNS服務(wù)器傳遞的信息包括:
標準的DNS查詢有以下三種類型:
四、DNS緩存
如果每次有任何用戶試圖訪問m.51huadong.com,都必須向權(quán)限域名服務(wù)器發(fā)起對該域名的查詢請求,將會產(chǎn)生大量的網(wǎng)絡(luò)流量!因此,為了使計算機不用在每一次訪問某個域名時都向DNS服務(wù)器發(fā)起IP查詢請求,計算機上通常會存儲一個自身的域名-IP映射庫,這個映射庫被稱為“DNS緩存”。
但是,DNS緩存方法也存在一些問題,包括:
DNS緩存有以下幾種不同的類型:
五、DNS常見漏洞
1. 利用DNS實施探測
一旦攻擊者穿透防火墻進入用戶內(nèi)網(wǎng)并控制某臺計算機,就可以利用內(nèi)網(wǎng)的DNS服務(wù)查找重要的服務(wù)器信息,如郵件服務(wù)器、域名服務(wù)器等各類有價值的信息。如果攻擊者具備足夠的技術(shù)能力,甚至可能利用內(nèi)部DNS服務(wù)器批量發(fā)送用戶網(wǎng)絡(luò)中區(qū)的信息,此類攻擊被稱為“DNS區(qū)傳輸攻擊”。
以下給出了在Windows操作系統(tǒng)環(huán)境中實現(xiàn)該攻擊的流程:
2. 利用DNS實施流量重定向
當用戶嘗試瀏覽到某個網(wǎng)站時,他們的計算機會在DNS服務(wù)器中查詢該網(wǎng)站的IP。如果DNS服務(wù)器中存有該記錄的緩存,則將直接返回該IP。如果沒有,它會查詢“上游”DNS服務(wù)器,并將結(jié)果中繼給最終用戶,同時緩存該信息以供下次使用。
在目前已知的攻擊中,攻擊者已經(jīng)能夠偽造DNS響應(yīng)信息,使其看起來像是來自合法的DNS服務(wù)器。要達到這一目標,攻擊者可以利用DNS的三個弱點:
一旦攻擊者成功偽造了DNS響應(yīng)消息,則其可以實現(xiàn)篡改接收端DNS服務(wù)器的緩存。以下就以一個典型的場景說明這一攻擊行為可能造成的嚴重后果:
假設(shè)攻擊者了解到用戶單位使用外部應(yīng)用程序來處理經(jīng)費等重要事務(wù)。如果攻擊者篡改了用戶單位DNS服務(wù)器的相關(guān)記錄,則能夠?qū)⒂脩粽T騙至攻擊者偽造的服務(wù)器,誘騙用戶在攻擊者偽造的登陸頁面上錄入其賬號及口令信息。
更有耐心的攻擊者還可能將真實流量轉(zhuǎn)發(fā)給真實的服務(wù)器(充當“中間人”),因此用戶就不會發(fā)現(xiàn)攻擊正在發(fā)生。獲取用戶的身份信息后,攻擊者可以在其他相關(guān)系統(tǒng)上嘗試使用這些身份信息,或者直接出售這些信息。
3. 利用DNS構(gòu)建隱通道
假設(shè)攻擊者已經(jīng)設(shè)法進入了用戶單位網(wǎng)絡(luò),控制了一臺內(nèi)網(wǎng)計算機,并且已經(jīng)找到了其想要竊取的關(guān)鍵數(shù)據(jù)。如何在不留任何痕跡的情況下將數(shù)據(jù)傳輸?shù)骄W(wǎng)外?攻擊者可能使用一種被稱為“DNS隧道”的技術(shù)來實現(xiàn)。通常的做法如下:
(1)攻擊者在互聯(lián)網(wǎng)上設(shè)置一個DNS域(如idcbest.com),并創(chuàng)建一個權(quán)限域名服務(wù)器
(2)在被攻擊者控制的主機上,攻擊者可以將數(shù)據(jù)分解為小段并將其插入到一系列DNS查詢中,如下所示:
(3)用戶單位的DNS服務(wù)器將接收這些請求,并將這些請求轉(zhuǎn)發(fā)回idcbest.com的權(quán)限域名服務(wù)器。攻擊者在其權(quán)限域名服務(wù)器接收到上述流量后,則可以運行程序以提取查詢信息的第一部分(.idcbest.com前的內(nèi)容)并將其重新組合,從而將用戶網(wǎng)內(nèi)的數(shù)據(jù)不留痕跡地傳輸?shù)骄W(wǎng)外(此例中傳輸?shù)臄?shù)據(jù)是“My secret is that I know your data.”)。而用戶單位可能永遠不會意識到他們的DNS服務(wù)器被用于泄露自身的數(shù)據(jù)。
六、小結(jié)
DNS技術(shù)已存在了很長時間,互聯(lián)網(wǎng)上的每臺計算機都依賴它。然而,利用DNS進行內(nèi)網(wǎng)探測、劫持流量并創(chuàng)建隱蔽信道竊取數(shù)據(jù),都是DNS服務(wù)可能造成的安全問題。幸運的是,通過監(jiān)控DNS服務(wù)器并應(yīng)用安全數(shù)據(jù)分析,目前已有大量技術(shù)可以檢測并阻止這些攻擊。
產(chǎn)品與服務(wù)
香港服務(wù)器 香港高防服務(wù)器 美國服務(wù)器 韓國服務(wù)器 新加坡服務(wù)器 日本服務(wù)器 臺灣服務(wù)器云服務(wù)器
香港云主機 美國云主機 韓國云主機 新加坡云主機 臺灣云主機 日本云主機 德國云主機 全球云主機高防專線
海外高防IP 海外無限防御 SSL證書 高防CDN套餐 全球節(jié)點定制 全球?qū)>GPLC關(guān)于我們
關(guān)于天下數(shù)據(jù) 數(shù)據(jù)招商加盟 天下數(shù)據(jù)合作伙伴 天下數(shù)據(jù)團隊建設(shè) 加入天下數(shù)據(jù) 媒體報道 榮譽資質(zhì) 付款方式關(guān)注我們
微信公眾賬號
新浪微博
天下數(shù)據(jù)手機站 關(guān)于天下數(shù)據(jù) 聯(lián)系我們 誠聘英才 付款方式 幫助中心 網(wǎng)站備案 解決方案 域名注冊 網(wǎng)站地圖
天下數(shù)據(jù)18年專注海外香港服務(wù)器、美國服務(wù)器、海外云主機、海外vps主機租用托管以及服務(wù)器解決方案-做天下最好的IDC服務(wù)商
《中華人民共和國增值電信業(yè)務(wù)經(jīng)營許可證》 ISP證:粵ICP備07026347號
朗信天下發(fā)展有限公司(控股)深圳市朗玥科技有限公司(運營)聯(lián)合版權(quán)
深圳總部:中國.深圳市南山區(qū)深圳國際創(chuàng)新谷6棟B座10層 香港總部:香港上環(huán)蘇杭街49-51號建安商業(yè)大廈7樓
7×24小時服務(wù)熱線:4006388808香港服務(wù)電話:+852 67031102
本網(wǎng)站的域名注冊業(yè)務(wù)代理北京新網(wǎng)數(shù)碼信息技術(shù)有限公司的產(chǎn)品