域名系统(DNS)是互联网的基础之一,但大多数网络外的人可能没有意识到他们每天都在使用它来完成工作、查收电子邮件或在智能手机上上网.系统域名是互联网的一项服务。作为一个将域名和IP地址相互映射的分布式数据库,可以让人们更方便地访问互联网。DNS使用TCP和UDP的53端口,目前每级域名的长度限制为63个字符,域名总长度不能超过253个字符。DNS服务器的工作原理域名系统(DNS)是一种用于解析Internet上的在线机器命名的系统。就像拜访朋友一样,您需要先知道如何到达那里。当一台主机要访问互联网上的另一台主机时,首先要知道它的地址:TCP/IP中的IP地址是由“.”分隔的四段数字。组成总是不如名字方便,所以用域名系统来管理名字和IP的对应关系。虽然互联网上的节点可以通过IP地址唯一标识,可以通过IP地址访问,但是32位的二进制IP地址即使写成0到255的四个十位数字的形式,还是太长太长了难记。因此,人们发明了域名(DomianName),它可以将一个IP地址与一组有意义的字符联系起来。用户访问网站时,可以输入网站的IP地址,也可以输入网站的域名,两者在访问上是等价的。例如:微软的Web服务器的IP地址是207.46.230.229,对应的域名是www.microsoft.com。无论用户在浏览器中输入前者还是后者,都可以访问其网站。一个公司的网站可以看作是它的在线入口,域名就相当于它的地址。通常,域名使用公司名称或简称。比如上面提到的微软的域名也是类似的:IBM的www.ibm.com,甲骨文的www.oracle.com,思科的www.cisco.com等。如果不知道它的确切域名,他们总是会先输入它的公司名称作为测试。但是,由公司名称或缩写组成的域名也可能被其他公司或个人注册。甚至有一些公司或个人恶意注册大量由知名公司名称组成的域名,然后高价转售给这些公司牟利。与Internet本身一样,该目录分布在世界各地,存储在域名服务器(通常简称为DNS服务器)上,所有这些服务器都非常定期地相互通信以提供更新和冗余。按照ISO-3166标准制定的国家域名一般由各国的NIC(网络信息中心)运营。我国的域名系统分为两套类别域名和行政区域名称。形式:权威DNS服务器和缓存域名服务器域名服务器通常有两种形式:权威域名服务器和缓存域名服务器。当您的计算机想要查找与域名关联的IP地址时,它首先向递归DNS服务器(也称为递归解析器)发出请求。权威域名服务器以下情况需要权威域名服务器:想要向全世界提供DNS信息,并对请求做出权威响应。注册了exampleorg之类的域名,需要给其下的hostname分配IP。某个IP地址块需要反向DNS条目(IP到主机名)。备份服务器,或通常称为从属服务器,在主服务器发生故障或无法访问时响应查询请求。缓存域名服务器在以下情况下需要缓存域名服务器:与直接请求外部域名服务器相比,本地DNS服务器可以缓存并更快地得到答案。当有人查询www.FreeBSDorg时,解析器通常会向上层ISP的名称服务器发出请求并获得响应。如果有本地缓存??DNS服务器,则查询仅由缓存DNS服务器第一次向外发送。其他查询不会发送到局域网外,因为它们已经在本地缓存了。DNS如何提高效率DNS以分层结构组织,有助于保持快速顺畅地运行。为了说明这一点,假设您访问了xxx.com。如上所述,对IP地址的初始请求是向递归解析器发出的。递归解析器知道需要使用哪些其他DNS服务器来解析站点名称(xxx.com)及其IP地址。此搜索会生成一个根服务器,该服务器了解有关顶级域(例如.com、.net、.org)和所有国家/地区域(例如.cn(中国)和.uk(英国))的所有信息。根服务器遍布世界各地,因此您通常会被定向到地理位置最近的服务器。一旦请求到达正确的根服务器,它就会转到顶级域(TLD)名称服务器,这些服务器在到达co.org.net之前存储二级域和二级子域的信息。然后,请求转到域名服务器,该服务器保存有关站点及其IP地址的信息。一旦找到IP地址,它就会被发送回客户端,客户端现在可以使用它来访问网站。所有这一切都以毫秒为单位。由于DNS已经存在了30多年,大多数人都认为它是理所当然的。该系统也是在没有考虑安全性的情况下构建的,因此黑客充分利用了这一点,从而导致了各种攻击。攻击1:DNS反射攻击DNS反射攻击用来自DNS解析服务器的大量邮件淹没受害者。攻击者使用DNS解析器,然后请求一个大的DNS文件来淹没受害者的IP。因此,当解析器响应时,受害者会收到大量未经请求的DNS数据,这些数据会淹没他们的计算机。攻击2:DNS缓存中毒可以将用户转移到恶意网站。攻击者设法将错误的地址记录插入到DNS中,因此当受害者请求中毒站点的地址解析时,DNS以黑客控制的另一个站点的IP地址作为响应。一旦进入这些虚假网站,受害者可能会被诱骗而放弃密码或下载恶意软件。攻击三:DNS资源耗尽因此,如果递归解析器无法提供与站点名称关联的IP地址,它将询问受害者的名称服务器。(图片转自Docin,非商业用途,仅供交流,请勿转载)攻击者对其域产生大量请求,抛向不存在的子域进行引导,造成大量解析请求被攻击到受害者的名字服务器被请求淹没。攻击四:SIGRedWormableDNS漏洞近日,发现WindowsDNS服务器存在一个漏洞,可导致DNS出现各种混乱。一个名为SIGRed的潜在安全漏洞需要复杂的攻击链,但可以利用未打补丁的WindowsDNS服务器在客户端安装并执行恶意代码。该漏洞是“可蠕虫感染的”,这意味着它可以在没有人为干预的情况下从一台计算机传播到另一台计算机。该漏洞令人震惊,以至于美国联邦机构在反应过来后只有几天时间匆忙安装补丁。DNS的运行原理和被攻击的原理说了这么多,那么DNS如何保护呢?下面介绍一下DNS的保护措施和原理:保护措施:DNSSecInternetNameandNumberAssignmentAgency意识到DNS在顶级、二级、三级目录服务器之间的通信存在漏洞,可以让攻击者劫持查找。这将允许攻击者使用恶意站点的IP地址来响应对合法站点的查找请求。这些站点可能会向用户上传恶意软件,或进行网络钓鱼和欺骗攻击。DNSSec的保护方法通过让每一级DNS服务器对其请求进行数字签名来解决这个问题,从而确保最终用户发送的请求不会收到来自攻击者的欺骗命令。这创建了一个信任链,以便在查找的每个步骤中,都可以验证请求的完整性。此外,DNSSec可以确定域名是否存在,如果不存在,则不会将该欺诈性域名提供给寻求解析该域名的无辜请求者。
