网络攻击DNS安全

DNS的安全漏洞

1. 在DNS应答报文中可以附加信息，该信息可以和所请求的信息没有直接关系，这样，攻击者就可以在应答中随意添加某些信息，比如一些有攻击性的信息
2. DNS的缓存机制
3. DNS报文只使用序列号来进行有效性鉴别，序列号由客户程序设置并由服务器返回结果，客户程序通过它来确定响应与查询是否匹配，这就引入了序列号攻击的危险。

DNS劫持

DNS劫持是通过重定向用户的DNS查询结果，使用未经授权的IP地址而不是由正确的DNS服务器返回的地址。

比如 流氓DNS服务器 ： 通过攻击DNS服务器，更改DNS记录，用户访问时直接重定向

MITM攻击 ：拦截用户和DNS服务器间的通信并提供非目标的IP，将用户重定向至恶意站点

本地DNS服务器 ： 通过在用户主机上安装木马，更改本地DNS设置来重定向至恶意网站 等

DNS缓存中毒

DNS缓存中毒是攻击者通过欺骗DNS服务器，将恶意网站的IP地址添加到DNS缓存中，以便当用户访问某个网站时，实际上会被重定向到恶意网站

在计算机中，域名和IP地址保存在电脑的一个叫Hosts的文件中

DOS攻击(拒绝服务攻击)

攻击者假冒主机地址作为源地址，向公共DNS服务器发送大量解析请求，导致服务器拒绝为主机提供服务

类似还有DDos攻击

DNS隧道攻击

其他协议封装在DNS协议中，从而绕过边界防火墙向外发送

原理：由于在网络中DNS是一个必不可少的服务，所以大部分防火墙和入侵检测设备很少去过滤DNS流量

检测措施：

DNS数据包检查：过大的话很可能封装了别的协议

DNS域名检查：恶意域名一般很长且存在数字字母相互结合的情况

DNS记录检查：检查内部DNS数量及种类，寻找异常DNS记录

DNS拼写仿冒

DNS拼写仿冒技术是一种利用用户输入域名时的拼写错误，将用户引导到恶意网站的攻击方式。攻击者会注册一个和目标网站域名非常相似的域名，比如将google.com改为goog1e.com或g00gle.com等。当用户不小心输入了错误的域名，就会被解析到攻击者的网站，从而可能遭受钓鱼、欺诈、恶意软件等威胁。

DNS攻击的安全防范

主要依据两个准则

1. 选择安全的没有缺陷的BIND版本

2. DNS服务器配置安全可靠

什么是BIND？

BIND是一种域名系统（DNS）服务器软件，用于将域名解析为IP地址。它是Internet上最常用的DNS服务器软件

DNS的一些加固措施

事务签名技术

TSIG：对称式，只有一组客户端和服务器端共享密码，适用于客户端和服务器端完全信任时

SIGO：非对称式，采用非对称密码算法，既有公钥又有私钥

采用事务签名主要目的是防止黑客利用IP欺骗对DNS服务器进行攻击，迫使其进行非法区传送

DNSSEC

简单来说，DNSSEC技术是一种保护DNS数据传输的安全机制，旨在防止攻击者篡改传输过程中的DNS包。DNSSEC使用数字签名确保DNS数据及其源的真实性，以防止恶意者中伪、篡改DNS数据。

DNSSEC和事务签名技术的区别和联系

DNSSEC和事务签名技术的功类似，但它们也有一些明显的不同之处。DNSSEC主要是为了确保DNS记录的完整性，并确保记录不被篡改，而事务签名技术则更强调确保DNS记录的有效性，而不仅仅是它们的完整性。DNSSEC使用公开密钥加密（PKI）技术来确保DNS记录的完整性、有效性和一致性。相反，事务签名技术使用数字签名（消息摘要技术或数字签名算法）来确保记录的真实性和有效性。

事务签名技术
事务签名技术是一种利用数字证书或密钥对文档或数据进行加密和验证的技术，可以保证事务的真实性、完整性和不可否认性

事务签名和数字签名有什么不同
1. 事务签名是针对特定的事务或交易进行的签名，而数字签名是针对任意的文档或数据进行的签名
2. 事务签名通常需要多方参与，而数字签名只需要发送方和接收方
3. 事务签名通常需要依赖第三方机构，比如CA证书授权中心，来验证身份和授权，而数字签名只需要发送方和接收方各自拥有对方的公钥

总体来说，事务签名感觉更正式
数字签名是用来确保发送方是本人，也就是不可否认性。数字签名还可以确保文档或数据的真实性和完整性，也就是没有被篡改或损坏
事务签名技术是一种电子签名技术，它可以用于保证文档的完整性和不可否认性(当然数字签名也行)。

DNS Flood Detector

用于侦测恶意的使用DNS的查询功能

DNS Flood Detector是一种检测和识别DNS Flood攻击的技术

DNS Flood即DNS洪水攻击，是一种分布式拒绝服务攻击(DDoS)

DNS Flood Detector只针对DNS Flood攻击进行防御，而不能专注于防护DoS攻击。DNS Flood Detector的原理是通过监控服务器的DNS查询请求，以鉴别是否存在DNS Flood攻击。但是，虽然DNS Flood Detector能够发现大量外部DNS查询请求，但却无法检测到服务器内部的DoS攻击。因此，DNS Flood Detector不能防止DoS攻击。