分你所享、信息共享、轻松分享
来自民间的思想 | 送人玫瑰,手有余香。

DNS安全威胁及未来发展趋势的研究

* 本文作者:我是大王123,本文属FreeBuf原创奖励计划,未经许可禁止转载 声明:本文公开的方法和脚本仅供学习和研究使用,任何团队和个人不得使用本文披露的相关内容从事违法网络攻击活动,否则造成的一切后果由使用者本人承担,与本文作者无关。

一、前言

随着互联网日新月起的快速发展,对于互联网的“中枢神经系统”DNS现已成为最为重要的基础服务。DNS(domain name system,域名系统)是互联网上最为关键的基础设施,其主要作用是将易于记忆的主机名称映射为枯燥难记的 IP 地址,从而保障其他网络应用顺利执行。DNS 服务已经深入到互联网的各个角落,成为互联网上不可或缺的关键一环。DNS 主要包括 3 个组成部分,分别是:域名空间(domain name space)和资源记录(resource record);名字服务器(name server);解析器(resolver),如图示: image.png 图1.DNS主要组成部分 作为互联网的一项核心服务,DNS安全问题也随之而来,一旦遭受攻击,会给整个互联网带来无法估量的损失。DNS安全是网络安全第一道大门,如果DNS的安全没有得到标准的防护及应急措施,即使网站主机安全防护措施级别再高,攻击者也可以轻而易举的通过攻击DNS服务器使网站陷入瘫痪。调查显示,DNS攻击是互联网中第二大攻击媒介。常见针对DNS攻击手段有:DDOS(分布式拒绝服务)攻击、缓存投毒、域名劫持。造成后果分别为:目标网站因无法解析而失去响应(网站无法访问);使访问者及网站主机中毒从而达到攻击者目的;访问者打开错误的网站或伪造的网站,如反动分裂国家、邪教、赌博或色情网站。 image.png 图2.DNS在互联网中的重要性 image.png 图3.CNNIC权威部门调查问卷结果 然而近年来对互联网安全性的研究主要集中在信息安全方面,通常使用认证(authentication)和加密(encryption) 等手段来保证信息的机密性(confidentiality)和完整性(integrity),但这是以互联网基础设施安全可靠为前提的,针对关键设施的安全事件频繁发生(如DNS 欺骗和路由重定向)使得这一假设受到前所未有的挑战,暴露出各种各样的漏洞。现今IT支撑系统变得越来越复杂,网站系统、APP应用、邮件系统、财务系统、ERP系统等层出不穷,由于DNS系统传统上是薄弱环节网络攻击事件频发,DNS作为互联网络的第一道大门也遭受到了一系列的攻击,导致互联网通信收到严重影响,尽管已经有30多年的历史,DNS仍然是整个互联网中最脆弱的一环。