网络安全技术第五章——第一节（TCP/IP体系架构、DNS安全、域名劫持、DNS污染、DNSSEC）

一、TCP/IP体系架构

简洁开放、互联网络在设计之初对于安全性的考虑并不多。
基于这种前提设计的互联网络协议在日益复杂的网络环境当中存在着很大的安全隐患。

1.TCP/IP体系分层特点

1. 第一层只是提供与不同的物理网络之间的接口。（开放性的体现，可以将其他的网络包罗收纳）
2. TCP/IP将精力集中于网络的互联
   个人一般使用配置的都是局域网络设备，大量集中于网络接口层，这一层TCP/IP没有相关定义，所以基于网络通信的完整性理解，4->5
   

2.各层次的主要功能

1. 物理层
   （1）计算机二进制设备，所以计算机向存储介质中传输的都是二进制比特流，介质只能识别光电信号，所以物理层要实现的一个重要功能就是将比特流转化为光电信号。
   物理层只考虑比特率的传输，而不考虑差错率，出错了他也不管。
   物理层无法对收发双方进行编址，从而只能进行广播式发送。
2. 数据链路层
   借助于数据链路层解决物理层解决不了的事情
   数据链路层提供MAC地址 (00-C2-C6-28-35-8D) ，协议数据单元是帧，在广播中解决了收发双方的编址问题。
   帧的尾部加上了校验序列，可进行差错处理
   
   数据链路层只能实现同一个广播域内的通信，要想去外界看看，去其他的广播域。就需要再去找上层。
3. 网络层
   解决不同广播域的互联问题、采用IP逻辑编址（32位IP地址），协议数据单元是分组，负责分组从源主机网络跳动路由至目的网络，分组IP可到达目的IP多对应的计算机
   4. 通信的实质是在两台计算机上一对进程之间进行的，所以我们需要对进程进行编址，运输层用16位的端口号对进程进行编址，实现进程之间的通信，
   5. 32位IP地址实在是难记忆，用IP地址标识通信对象太费劲了，所以应用层用DNS（域名解析系统）将IP于域名（例如www.baidu.com）对应起来，所以域名就是应用层的编制
   

总结：计算机网络通信离不开各层之间的相互转换。

二、DNS

1.DNS概述

上面的事故就是私斗的地方选择了DNS服务器，从打人家私服变成了攻击DNS解析服务器。
由于DNS的基础性和全局性所以会有这样的以点制面、击一发而动全身的效果
so：DNS协议的安全非常重要
DNS：域名系统( Domain Name System，DNS)最基本的功能是实现域名与对应的IP地址之间的转换。
比如：新浪网站的一个IP地址是202.106.184.200，几乎所有用户都使用www.sina.com.cn，而并非使用IP地址来访问。
使用域名比使用IP的好处：

1. 域名便于记忆
2. IP可变，域名不变（这个蛮重要的，你因为某些原因要换服务器啥的，就挺有用了）
   具体实现域名解析系统的，是分布在各地的域名服务器。
   域名服务器的管辖范围为区
   简单一些可以认为：根域名服务器包容万千，然后低层次的是他的一部分，国内最常用的就是114.114.114.114这种，谷歌的就是8.8.8.8这种，有的时候你打不开网页可能就是DNS出问题了，可以通过换DNS尝试解决一下。
   本地域名服务器：也称为默认域名服务器。
   当一个主机发出DNS查询请求时，该报文就首先发送给本地域名服务器。
   
   顶级域名服务器要么给一个ip，要么给你个指示，指导你去哪一个DNS服务器查询。
   高速缓存：
   每个域名服务器都维护个高速缓存，存放最近使用过的域名的记录。（减轻根域名服务器的负荷，少了很多查询请求 ）

2.DNS安全

1. 缓存中毒 ：在DNS服务器的缓存中存入大量伪造的数据记录主动供用户查询。例如：将查询指向某-个特定的服务器;
   将所有的邮件指向某一台邮件服务器 ，拦截利用该DNS进行解析的邮件。（这个还是蛮危险的）
   

2. 拒绝服务攻击
   （1）直接攻击DNS服务器（就是直接打，频发发送大量的DNS服务请求，就像一个饭店本来最多容纳100吃饭，你给他塞100000人，直接就崩溃了）
   （2）利用DNS服务器作为“中间人”去攻击网络中的其他主机
   比如：
   

3. 域名劫持
   通过采用非法手段获得某一个域名管理员的账户和密码，或者域名管理邮箱。
   将该域名的IP地址指向其他的主机(该主机的IP地址有可能不存在)。
   

3.基于安全问题，DNS安全扩展(DNSSEC)等提出了一些解决措施

1. DNSSEC的基本原理：域名系统安全扩展( DNSSEC )是在
   原有的域名系统( DNS )上通过公钥技术，对DNS中的信息进行数字签名，从而提供DNS的安全认证和信息完整性检验。

2. DNSSEC的应用现状：DNSSEC作为对目前DNS的安全扩展，可有效地防范DNS存在的各种攻击，保证客户端收到的DNS记录的真实性和完整性。

3. 但转变是一个渐进的过程就跟IPV4——>IPV6一样。
   

4.DNS系统的安全设置

1. 选择安全性较高的DNS服务器软件
   UNIX/Linux选用最新版本的BIND软件。
   Windows NT服务器建议使用最新版本的DNS系统。

2. 限制端口
   DNS在工作时使用UDP 53和TCP 53端口进行通信。
   只开放UDP53和TCP53两个端口，限制其他端口的通信，加强系统的安全性。