日本少妇高潮久久久久久_东京热一区二区三区无码视频_国内精品人妻久久毛片app_男人撕开奶罩揉吮奶头视频_少妇交换做爰做到高潮_睡错了人妻公h_国产男女猛烈无遮挡a片漫画_男女啪啪做爰高潮全过有多钱_国产猛男猛女超爽免费视频

Categories

Tags

DNS攻擊原理與防范

隨著網(wǎng)絡(luò)的逐步普及,網(wǎng)絡(luò)安全已成為INTERNET路上事實(shí)上的焦點(diǎn),它關(guān)系著INTERNET的進(jìn)一步發(fā)展和普及,甚至關(guān)系著INTERNET的生存??上驳氖俏覀兡切┗ヂ?lián)網(wǎng)專家們并沒有令廣大INTERNET用戶失望,網(wǎng)絡(luò)安全技術(shù)也不斷出現(xiàn),使廣大網(wǎng)民和企業(yè)有了更多的放心,下面就網(wǎng)絡(luò)安全中的主要技術(shù)作一簡介,希望能為網(wǎng)民和企業(yè)在網(wǎng)絡(luò)安全方面提供一個(gè)網(wǎng)絡(luò)安全方案參考。

DNS的工作原理

DNS分為Client和Server,Client扮演發(fā)問的角色,也就是問Server一個(gè)Domain Name,而Server必須要回答此Domain Name的真正IP地址。而當(dāng)?shù)氐腄NS先會(huì)查自己的資料庫。如果自己的資料庫沒有,則會(huì)往該DNS上所設(shè)的的DNS詢問,依此得到答案之后,將收到的答案存起來,并回答客戶。

DNS服務(wù)器會(huì)根據(jù)不同的授權(quán)區(qū)(Zone),記錄所屬該網(wǎng)域下的各名稱資料,這個(gè)資料包括網(wǎng)域下的次網(wǎng)域名稱及主機(jī)名稱。

在每一個(gè)名稱服務(wù)器中都有一個(gè)快取緩存區(qū)(Cache),這個(gè)快取緩存區(qū)的主要目的是將該名稱服務(wù)器所查詢出來的名稱及相對(duì)的IP地址記錄在快取緩存區(qū)中,這樣當(dāng)下一次還有另外一個(gè)客戶端到次服務(wù)器上去查詢相同的名稱 時(shí),服務(wù)器就不用在到別臺(tái)主機(jī)上去尋找,而直接可以從緩存區(qū)中找到該筆名稱記錄資料,傳回給客戶端,加速客戶端對(duì)名稱查詢的速度。例如:

當(dāng)DNS客戶端向指定的DNS服務(wù)器查詢網(wǎng)際網(wǎng)路上的某一臺(tái)主機(jī)名稱 DNS服務(wù)器會(huì)在該資料庫中找尋用戶所指定的名稱 如果沒有,該服務(wù)器會(huì)先在自己的快取緩存區(qū)中查詢有無該筆紀(jì)錄,如果找到該筆名稱記錄后,會(huì)從DNS服務(wù)器直接將所對(duì)應(yīng)到的IP地址傳回給客戶端 ,如果名稱服務(wù)器在資料記錄查不到且快取緩存區(qū)中也沒有時(shí),服務(wù)器首先會(huì)才會(huì)向別的名稱服務(wù)器查詢所要的名稱。例如:

DNS客戶端向指定的DNS服務(wù)器查詢網(wǎng)際網(wǎng)路上某臺(tái)主機(jī)名稱,當(dāng)DNS服務(wù)器在該資料記錄找不到用戶所指定的名稱時(shí),會(huì)轉(zhuǎn)向該服務(wù)器的快取緩存區(qū)找尋是否有該資料 ,當(dāng)快取緩存區(qū)也找不到時(shí),會(huì)向最接近的名稱服務(wù)器去要求幫忙找尋該名稱的IP地址 ,在另一臺(tái)服務(wù)器上也有相同的動(dòng)作的查詢,當(dāng)查詢到后會(huì)回復(fù)原本要求查詢的服務(wù)器,該DNS服務(wù)器在接收到另一臺(tái)DNS服務(wù)器查詢的結(jié)果后,先將所查詢到的主機(jī)名稱及對(duì)應(yīng)IP地址記錄到快取緩存區(qū)中 ,最后在將所查詢到的結(jié)果回復(fù)給客戶端

常見的DNS攻擊包括:

1) 域名劫持

通過采用黑客手段控制了域名管理密碼和域名管理郵箱,然后將該域名的NS紀(jì)錄指向到黑客可以控制的DNS服務(wù)器,然后通過在該DNS服務(wù)器上添加相應(yīng)域名紀(jì)錄,從而使網(wǎng)民訪問該域名時(shí),進(jìn)入了黑客所指向的內(nèi)容。

這顯然是DNS服務(wù)提供商的責(zé)任,用戶束手無策。

2) 緩存投毒

利用控制DNS緩存服務(wù)器,把原本準(zhǔn)備訪問某網(wǎng)站的用戶在不知不覺中帶到黑客指向的其他網(wǎng)站上。其實(shí)現(xiàn)方式有多種,比如可以通過利用網(wǎng)民ISP端的DNS緩存服務(wù)器的漏洞進(jìn)行攻擊或控制,從而改變?cè)揑SP內(nèi)的用戶訪問域名的響應(yīng)結(jié)果;或者,黑客通過利用用戶權(quán)威域名服務(wù)器上的漏洞,如當(dāng)用戶權(quán)威域名服務(wù)器同時(shí)可以被當(dāng)作緩存服務(wù)器使用,黑客可以實(shí)現(xiàn)緩存投毒,將錯(cuò)誤的域名紀(jì)錄存入緩存中,從而使所有使用該緩存服務(wù)器的用戶得到錯(cuò)誤的DNS解析結(jié)果。

最近發(fā)現(xiàn)的DNS重大缺陷,就是這種方式的。只所以說是“重大”缺陷,據(jù)報(bào)道是因?yàn)槭菂f(xié)議自身的設(shè)計(jì)實(shí)現(xiàn)問題造成的,幾乎所有的DNS軟件都存在這樣的問題。

3)DDOS攻擊

一種攻擊針對(duì)DNS服務(wù)器軟件本身,通常利用BIND軟件程序中的漏洞,導(dǎo)致DNS服務(wù)器崩潰或拒絕服務(wù);另一種攻擊的目標(biāo)不是DNS服務(wù)器,而是利用DNS服務(wù)器作為中間的“攻擊放大器”,去攻擊其它互聯(lián)網(wǎng)上的主機(jī),導(dǎo)致被攻擊主機(jī)拒絕服務(wù)。

4) DNS欺騙

DNS欺騙就是攻擊者冒充域名服務(wù)器的一種欺騙行為。

原理:如果可以冒充域名服務(wù)器,然后把查詢的IP地址設(shè)為攻擊者的IP地址,這樣的話,用戶上網(wǎng)就只能看到攻擊者的主頁,而不是用戶想要取得的網(wǎng)站的主頁了,這就是DNS欺騙的基本原理。DNS欺騙其實(shí)并不是真的“黑掉”了對(duì)方的網(wǎng)站,而是冒名頂替、招搖撞騙罷了。

現(xiàn)在的Internet上存在的DNS服務(wù)器有絕大多數(shù)都是用bind來架設(shè)的,使用的bind版本主要為bind 4.9.5+P1以前版本和bind 8.2.2-P5以前版本.這些bind有個(gè)共同的特點(diǎn),就是BIND會(huì)緩存(Cache)所有已經(jīng)查詢過的結(jié)果,這個(gè)問題就引起了下面的幾個(gè)問題的存在.

DNS欺騙

在DNS的緩存還沒有過期之前,如果在DNS的緩存中已經(jīng)存在的記錄,一旦有客戶查詢,DNS服務(wù)器將會(huì)直接返回緩存中的記錄

防止DNS被攻擊的若干防范性措施

互聯(lián)網(wǎng)上的DNS放大攻擊(DNS amplification attacks)急劇增長。這種攻擊是一種數(shù)據(jù)包的大量變體能夠產(chǎn)生針對(duì)一個(gè)目標(biāo)的大量的虛假的通訊。這種虛假通訊的數(shù)量有多大?每秒鐘達(dá)數(shù)GB,足以阻止任何人進(jìn)入互聯(lián)網(wǎng)。

與老式的“smurf attacks”攻擊非常相似,DNS放大攻擊使用針對(duì)無辜的第三方的欺騙性的數(shù)據(jù)包來放大通訊量,其目的是耗盡受害者的全部帶寬。但是,“smurf attacks”攻擊是向一個(gè)網(wǎng)絡(luò)廣播地址發(fā)送數(shù)據(jù)包以達(dá)到放大通訊的目的。DNS放大攻擊不包括廣播地址。相反,這種攻擊向互聯(lián)網(wǎng)上的一系列無辜的第三方DNS服務(wù)器發(fā)送小的和欺騙性的詢問信息。這些DNS服務(wù)器隨后將向表面上是提出查詢的那臺(tái)服務(wù)器發(fā)回大量的回復(fù),導(dǎo)致通訊量的放大并且最終把攻擊目標(biāo)淹沒。因?yàn)镈NS是以無狀態(tài)的UDP數(shù)據(jù)包為基礎(chǔ)的,采取這種欺騙方式是司空見慣的。

這種攻擊主要依靠對(duì)DNS實(shí)施60個(gè)字節(jié)左右的查詢,回復(fù)最多可達(dá)512個(gè)字節(jié),從而使通訊量放大8.5倍。這對(duì)于攻擊者來說是不錯(cuò)的,但是,仍沒有達(dá)到攻擊者希望得到了淹沒的水平。最近,攻擊者采用了一些更新的技術(shù)把目前的DNS放大攻擊提高了好幾倍。

當(dāng)前許多DNS服務(wù)器支持EDNS。EDNS是DNS的一套擴(kuò)大機(jī)制,RFC 2671對(duì)次有介紹。一些選擇能夠讓DNS回復(fù)超過512字節(jié)并且仍然使用UDP,如果要求者指出它能夠處理這樣大的DNS查詢的話。攻擊者已經(jīng)利用這種方法產(chǎn)生了大量的通訊。通過發(fā)送一個(gè)60個(gè)字節(jié)的查詢來獲取一個(gè)大約4000個(gè)字節(jié)的記錄,攻擊者能夠把通訊量放大66倍。一些這種性質(zhì)的攻擊已經(jīng)產(chǎn)生了每秒鐘許多GB的通訊量,對(duì)于某些目標(biāo)的攻擊甚至超過了每秒鐘10GB的通訊量。

要實(shí)現(xiàn)這種攻擊,攻擊者首先要找到幾臺(tái)代表互聯(lián)網(wǎng)上的某個(gè)人實(shí)施循環(huán)查詢工作的第三方DNS服務(wù)器(大多數(shù)DNS服務(wù)器都有這種設(shè)置)。由于支持循環(huán)查詢,攻擊者可以向一臺(tái)DNS服務(wù)器發(fā)送一個(gè)查詢,這臺(tái)DNS服務(wù)器隨后把這個(gè)查詢(以循環(huán)的方式)發(fā)送給攻擊者選擇的一臺(tái)DNS服務(wù)器。接下來,攻擊者向這些服務(wù)器發(fā)送一個(gè)DNS記錄查詢,這個(gè)記錄是攻擊者在自己的DNS服務(wù)器上控制的。由于這些服務(wù)器被設(shè)置為循環(huán)查詢,這些第三方服務(wù)器就向攻擊者發(fā)回這些請(qǐng)求。攻擊者在DNS服務(wù)器上存儲(chǔ)了一個(gè)4000個(gè)字節(jié)的文本用于進(jìn)行這種DNS放大攻擊。

現(xiàn)在,由于攻擊者已經(jīng)向第三方DNS服務(wù)器的緩存中加入了大量的記錄,攻擊者接下來向這些服務(wù)器發(fā)送DNS查詢信息(帶有啟用大量回復(fù)的EDNS選項(xiàng)),并采取欺騙手段讓那些DNS服務(wù)器認(rèn)為這個(gè)查詢信息是從攻擊者希望攻擊的那個(gè)IP地址發(fā)出來的。這些第三方DNS服務(wù)器于是就用這個(gè)4000個(gè)字節(jié)的文本記錄進(jìn)行回復(fù),用大量的UDP數(shù)據(jù)包淹沒受害者。攻擊者向第三方DNS服務(wù)器發(fā)出數(shù)百萬小的和欺騙性的查詢信息,這些DNS服務(wù)器將用大量的DNS回復(fù)數(shù)據(jù)包淹沒那個(gè)受害者。

如何防御這種大規(guī)模攻擊呢?首先,保證你擁有足夠的帶寬承受小規(guī)模的洪水般的攻擊。一個(gè)單一的T1線路對(duì)于重要的互聯(lián)網(wǎng)連接是不夠的,因?yàn)槿魏螑阂獾哪_本少年都可以消耗掉你的帶寬。如果你的連接不是執(zhí)行重要任務(wù)的,一條T1線路就夠了。否則,你就需要更多的帶寬以便承受小規(guī)模的洪水般的攻擊。不過,幾乎任何人都無法承受每秒鐘數(shù)GB的DNS放大攻擊。

因此,你要保證手邊有能夠與你的ISP隨時(shí)取得聯(lián)系的應(yīng)急電話號(hào)碼。這樣,一旦發(fā)生這種攻擊,你可以馬上與ISP聯(lián)系,讓他們?cè)谏嫌芜^濾掉這種攻擊。要識(shí)別這種攻擊,你要查看包含DNS回復(fù)的大量通訊(源UDP端口53),特別是要查看那些擁有大量DNS記錄的端口。一些ISP已經(jīng)在其整個(gè)網(wǎng)絡(luò)上部署了傳感器以便檢測(cè)各種類型的早期大量通訊。這樣,你的ISP很可能在你發(fā)現(xiàn)這種攻擊之前就發(fā)現(xiàn)和避免了這種攻擊。你要問一下你的ISP是否擁有這個(gè)能力。

最后,為了幫助阻止惡意人員使用你的DNS服務(wù)器作為一個(gè)實(shí)施這種DNS放大攻擊的代理,你要保證你的可以從外部訪問的DNS服務(wù)器僅為你自己的網(wǎng)絡(luò)執(zhí)行循環(huán)查詢,不為任何互聯(lián)網(wǎng)上的地址進(jìn)行這種查詢。大多數(shù)主要DNS服務(wù)器擁有限制循環(huán)查詢的能力,因此,它們僅接受某些網(wǎng)絡(luò)的查詢,比如你自己的網(wǎng)絡(luò)。通過阻止利用循環(huán)查詢裝載大型有害的DNS記錄,你就可以防止你的DNS服務(wù)器成為這個(gè)問題的一部分。

結(jié)束語:網(wǎng)絡(luò)攻擊越來越猖獗,對(duì)網(wǎng)絡(luò)安全造成了很大的威脅。對(duì)于任何黑客的惡意攻擊,都有辦法來防御,只要了解了他們的攻擊手段,具有豐富的網(wǎng)絡(luò)知識(shí),就可以抵御黑客們的瘋狂攻擊。一些初學(xué)網(wǎng)絡(luò)的朋友也不必?fù)?dān)心,因?yàn)槟壳笆袌?chǎng)上也已推出許多網(wǎng)絡(luò)安全方案,以及各式防火墻,相信在不久的將來,網(wǎng)絡(luò)一定會(huì)是一個(gè)安全的信息傳輸媒體。特別需要強(qiáng)調(diào)的是,在任何時(shí)候都應(yīng)將網(wǎng)絡(luò)安全教育放在整個(gè)安全體系的首位,努力提高所有網(wǎng)絡(luò)用戶的安全意識(shí)和基本防范技術(shù)。這對(duì)提高整個(gè)網(wǎng)絡(luò)的安全性有著十分重要的意義。

來源:投稿,作者:鯊魚加速器。

來源:月光博客


 Public @ 2019-01-23 15:45:41

cms系統(tǒng)是什么?為什么要做cms系統(tǒng)?

CMS (Content Management System) 是內(nèi)容管理系統(tǒng)的縮寫。它是一種基于 Web 的軟件應(yīng)用程序,用來創(chuàng)建、編輯、發(fā)布、管理和維護(hù)網(wǎng)站的各種內(nèi)容。CMS 系統(tǒng)允許用戶通過一個(gè)易于使用的圖形界面進(jìn)行管理,包括創(chuàng)建、編輯、發(fā)布網(wǎng)頁、更改樣式和布局、添加和刪除功能等。CMS 系統(tǒng)廣泛應(yīng)用于企業(yè)網(wǎng)站、新聞網(wǎng)站、電子商務(wù)網(wǎng)站、社區(qū)網(wǎng)站等。 為什么要做 CMS 系統(tǒng)? 1. 降低

 Public @ 2023-04-08 08:00:40

域名后綴郵箱創(chuàng)建方法

如果您在景安申請(qǐng)過SSL證書,域名驗(yàn)證時(shí)您可能會(huì)留意到除了顯示域名注冊(cè)郵箱外還有其他域名后綴的郵箱,那么此域名郵箱該如何創(chuàng)建?又如何通過此郵箱來完成驗(yàn)證域名所有權(quán)驗(yàn)證呢?接下來跟大家一塊兒探討域名后綴郵箱的創(chuàng)建方法:圖片1.png一.創(chuàng)建域名郵箱1、首先確認(rèn)您擁有此域名及網(wǎng)站的管理權(quán)限,即:可以進(jìn)行域名解析和上傳文件等操作;2、打開域名郵箱網(wǎng)址:domain.mail.qq.com;3、選擇“馬上

 Public @ 2022-11-23 15:45:26

DNSPOD域名解析使用方法

DNSPOD是一款常用的域名解析服務(wù),可以幫助用戶實(shí)現(xiàn)域名解析。以下是DNSPOD域名解析的使用方法: 1. 注冊(cè)DNSPOD賬號(hào)并登錄。訪問DNSPOD官網(wǎng),點(diǎn)擊右上角的“注冊(cè)”,輸入相關(guān)信息,注冊(cè)好賬號(hào)后登錄。 2. 添加需要解析的域名。在DNSPOD的控制臺(tái)中,點(diǎn)擊“添加域名”,輸入需要解析的域名,然后選擇域名類型,即主域名或子域名。 3. 配置DNS解析。在DNSPOD的控制臺(tái)中,找

 Public @ 2023-04-16 19:50:34

SRV記錄

SRV記錄SRV記錄什么情況下會(huì)用到SRV記錄?[SRV記錄用來標(biāo)識(shí)某臺(tái)服務(wù)器使用了某個(gè)服務(wù),常見于微軟系統(tǒng)的目錄管理]SRV記錄的添加方式blob.pngA.主機(jī)記錄處格式為:服務(wù)的名字.協(xié)議的類型例如:_sip._tcpB.記錄類型為SRV。C.線路類型(默認(rèn)為必填項(xiàng),否則會(huì)導(dǎo)致部分用戶無法解析)D.對(duì)應(yīng)值格式為:優(yōu)先級(jí)  權(quán)重  端口  主機(jī)名例如:0 5 50

 Public @ 2018-06-24 15:45:38

更多您感興趣的搜索

0.455403s