DNS的作用,防御

简述dns作用
1.DNS服务器是计算机域名系统 (Domain Name System 或Domain Name Service) 的缩写,它是由域名解析器和域名服务器组成的。域名服务器是指保存有该网络中所有主机的域名和对应IP地址,并具有将域名转换为IP地址功能的服务器。其中域名必须对应一个IP地址,而IP地址不一定有域名。域名系统采用类似目录树的等级结构。域名服务器为客户机/服务器模式中的服务器方,它主要有两种形式:主服务器和转发服务器。将域名映射为IP地址的过程就称为“域名解析”。
2.DNS(domain name system)域名系统或者(domain named system)区域名称服务,分为正向与反向域名解析,适用C/S,端口路53/udp,53/tcp,属于应用层协议;  作用:人得记忆有限,如果没有dns得记下多少IP地址;从网络来说由于tcp/ip协议族是基于ip地址,所以需要一个翻译器即DNS;可以1对多也可以多对1,那么正向解析即域名解析为ip地址,反向解析即ip地址解析为域名。有人说DNS就是一个本大得电话本,说的挺贴切。  正反向解析事两个不同得名称空间,是两颗不同得解析树;  正向:ip—》主机名  反向:主机名—》ip  当今得业界标准BIND(berkeley internet name domain)dns软件
3.DNS域名
4.DNS是一个倒挂树结构示意图如下

DNS的作用,防御_第1张图片

1) 按照功能命名得五个类别介绍
  根域:DNS域名中使用时,规定由尾部据点(.)来指定名称位于根域或更高级别得域层次结构,(.)      
  顶级域:TDL(TOP LEVEL DOMAIN)用来只是某个国家地区或组织使用得类型,例如(.com)   
  二级域:个人或组织在internet上使用得注册名称,例如163.com
  子域:已经注册二级域名派生得域名,就是网站名,例如www.163.co
  主机名:通常情况下,DNS域名得最左侧得标签表示网络上得特定计算机,如www,mail,zhidao
  名称服务器:域内负责解析本域内的名称的主机
  根服务器:13组服务器
2)dns和internet域
  互联网域名系统有名称注册机构负载维护分配有组织和国家/地区得顶级域在internet上进行管理。国际标准3166。
    常见得DNS域名
    com,商业公司
    edu,教育机构   
    net,网络公司  
    gov,非军事政府机构   
    mil,军事政府机构    
    cn,代表中国
DNS服务器类型  
  主DNS服务器  
  从DNS服务器 (可以是多个提供容错)  
  缓存DNS服务器(转发器)    
  主DNS服务器:管理和维护所负责解析的域内解析库的服务器  
  从DNS服务器:从主服务器或从服务器“复制”(区域传输)解析库副本  
 1)复制操作的方式  
  序列号serial:解析库版本号,主服务器解析库变化时,其序列递增   
  刷新时间间隔refresh:从服务器从主服务器请求同步解析的时间间隔  
  重试时间间隔retry:从服务器请求同步失败时,再次尝试时间间隔  
  过期时长expire:从服务器始终联系不到服务器时,多久后放弃从服务器角度,停止提供服务  
  否定答案的缓存时长;minimum  
  ”通知“机制:主服务器解析库发送变化时,会主动通知从服务  
2)区域传送    
  完全传输axfr:传送整个解析库    
  增量传输lxfr:传递解析库变化的那部分内容  
3)区域(zone)和域(domain)
     Domain:FQDN   
     正向:FQDN->IP  
     反向:IP->FQDN   
     各需要一个解析库来分别负责本地域名的的正向和反向解析库    
     正向区域   
     反向区域   
     FQDN:fullqualified domain name 完全限定域名    
       如:www.nxtc.edu.cn
DNS查询解析

 

DNS的作用,防御_第2张图片

 


我们在浏览器访问www.nxtc.edu.cn这个域名,dns怎么查询到这台主机那?    
1)在浏览器中输入www.nxtc.edu.cn域名,操作系统会先检查自己本地的hosts文件是否有这个网址映射关系,如果有,就先调用这个ip地址映射,完成域名解析。  
2)如果hosts里没有这个域名的映射,则会查找本地DNS解析器缓存,是否有这个网址映射关系,如果有,直接返回,完成域名解析。  
3)如果hosts与本地DNS解析器缓存都没有相应的网址映射关系,首先会找TCP/IP参数中设置的首选DNS服务器,在此我们叫它本地DNS服务器,此服务器收到查询时,如果要查询的域名,包含在本地配置区域资源中,则返回解析记过给客户端,完成域名解析,此解析具有权威性。  
4)如果要查询域名,不由本地DNS服务器区域解析,但该服务器已缓存了此网址映射关系,则调用这个IP地址映射,完成域名解析,此解析不具有权威性。  
5)如果本地DNS服务器本地区域文件与缓存解析都失效,则根据本地DNS服务器的设置(是否设置转发器)进行查询,如果未用转发模式,本地DNS就把请求发至13台根DNS,根DNS服务器收到请求后会判断这个域名(.cn)是谁来授权管理,并会返回一个负责该顶级域名服务器的一个IP。本地DNS服务器收到IP信息后,将会联系负责.cn域的这台服务器。这台负责.cn域的服务器收到请求后,如果自己无法解析,它就会找一个管理.cn域的下一级DNS服务器地址(edu.cn)给本地DNS服务器。当本地DNS服务器收到这个地址后,就会找edu.cn域服务器,重复上面的动作,进行查询,直至找到www.nxtc.edu.cn主机。  
6)如果用的是转发模式,此DNS服务器就会把请求转发至上一级DNS服务器,由上一级服务器进行解析,上一级服务器如果不能解析,或找根DNS或把请求转至上上级,以此循环。不管是本地DNS服务器用是转发,还是根提示,最后都是把结果返回给本地DNS服务器,由此DNS服务器再返回给客户机。

二.详细描述域名劫持攻击的过程及防御方式

域名劫持攻击的过程:
1.获得要劫持的域名注册信息

  攻击者会先访问网络解决方案公司www.networksolutions.com,通过该公司主页面所提供的MAKECHANGES功能,输入要查询的域名,获得该域名注册信息以abc.com为例,我们将获得以下信息:

Registrant:
CapitalCities/ABC,Inc(ABC10-DOM)
77W66thSt.
NewYork,NY10023
US

DomainName:ABC.COM

AdministrativeContact,BillingContact:
King,ThomasC.(SC3123-ORG)[email protected]
ABC,Inc.
77W66thSt.
NewYork,NY10023
US
212-456-7012
TechnicalContact,ZoneContact:
DomainAdministrator(DA4894-ORG)[email protected]
StarwaveCorporation
13810SEEastgateWay,ste.400
Bellevue,WA98005
US
206.664.4800
Fax-206.664.4829

Recordlastupdatedon11-Oct-2000.
Recordexpireson23-May-2003.
Recordcreatedon22-May-1996.
Databaselastupdatedon20-Oct-200014:14:26EDT.

Domainserversinlistedorder:

DNS1.STARWAVE.COM204.202.132.51
T.NS.VERIO.NET192.67.14.16

  2.控制该管理域名的E-MAIL帐号

  从上面获得的信息,攻击者可了解到abc.com的注册DNS服务器,管理域名的E-MAIL帐号,技术联系E-MAIL帐号等等注册资料,攻击者的重点就是先需要把该管理域名的E-MAIL帐号[email protected]控制,进行收发在网络解决方案公司networksolutions主页所修改域名注册记录后的确认E-MAIL,对该E-MAIL帐号的控制过程不排除攻击者对该E-MAIL帐号进行密码暴力猜测,对该帐号所在E-MAIL服务器进行**攻击.

  3.修改该域名在网络解决方案公司的注册信息

  到这个时候,攻击者会使用网络解决方案公司networksolutions的MAKECHANGES功能修改该域名的注册信息,包括拥有者信息,DNS服务器信息,等等。

  4.冒充拥有者使用管理域名的E-MAIL帐号收发网络解决方案公司确认函

  攻击者会在该管理域名E-MAIL帐号的真正拥有者收到网络解决方案公司确认函之前,把该E-MAIL帐号的信件接收,使用该E-MAIL帐号回复网络解决方案公司进行确认,进行二次回复确认后,将收到网络解决方案公司发来的成功修改注册记录函,攻击者成功劫持域名。

  5.在新指定的DNS服务器加进该域名记录

  在注册信息新指定DNS服务器里加进该域名的PTR记录,指向另一IP的服务器,通常那两台服务器都是攻击者预先**控制的服务器,并不归攻击者所拥有。
防御方式:
发生Dns劫持的原因一般有以下三个方面:
1、用户终端Dns劫持
解决方案:修改用户Dns,推荐google(8.8.8.8,8.8.4.4)和阿里云(223.5.5.5,223.6.6.6),此时有可能用户终端运行了恶意软件,建议用安全软件(安天智甲等)全盘扫描一遍。
2、路由器Dns劫持
解决方案:修改路由器Dns,Dns修改方案见1,此时路由器可能遭黑客入侵,建议尽快升级路由器固件以及修改路由器用户密码或更换升级路由器设备
3、运营商Dns劫持
解决方案:向运营商反应情况,寻求帮助,或者向有关政府部门投诉,或更改宽带。

你可能感兴趣的:(DNS的作用,防御)