dnssec技术原理及应用的策略分析

dnssec技术原理及应用的策略分析

ID:24340216

大小:51.00 KB

页数:4页

时间:2018-11-13

dnssec技术原理及应用的策略分析_第1页
dnssec技术原理及应用的策略分析_第2页
dnssec技术原理及应用的策略分析_第3页
dnssec技术原理及应用的策略分析_第4页
资源描述:

《dnssec技术原理及应用的策略分析》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、DNSSEC技术原理及应用的策略分析 1引言  随着互联X的飞速发展,域名系统DNS(Domain Name System)已成为互联X服务的重要基础设施,但它存在着严重的安全漏洞。特别是近年来,域名系统已成为公共互联X上恶意攻击的重要目标,此类攻击成功后引发的连锁后果也日益严重,给DNS和互联X带来了巨大损失。DNSSEC(DNS Security Extension,即DNS安全扩展),为DNS提供了安全扩展功能,支持对数据源及事务和请求的认证功能,从而在一定程度上遏制了针对域名系统的X络攻击。最近时期,国际上对DNSSEC的研究已成为一个热点问题,各

2、个国家例如美国、俄罗斯、瑞典等,都在积极探索DNSSEC,并进行部署实施。我国国家域名.和.中国还未实施DNSSEC,且其他域名注册服务机构对DNSSEC的研究甚少。  本文在分析了DNS的主要安全漏洞后,详细介绍了DNSSEC的技术原理、实施过程和验证方法,并给出了DNSSEC全球部署状况及应用前景分析。  2DNS主要安全问题  1983年,由牛津X络学院的Paul Mockapetris和Jon Postel启动了世界上第一台自动分发的域名服务系统DNS,这标志着DNS系统的诞生。正如互联X早期的许多协议一样,DNS协议在设计时并没有考虑到安全问题。

3、所以,安全性在DNS中无法保证,事实证明DNS在其不断发展和应用过程中暴漏了许多安全漏洞,并出现了一些有针对性的DNS安全攻击。  其实早在1985年,贝尔实验室的一个人就发表了一篇文章指出DNS存在的安全漏洞,并给出了如何通过对DNS的攻击来控制一台主机操作的详细步骤,但当时处于对互联X安全的考虑,这篇文章在1995年后才被公开。2008年7月,美国IOActiveX络安全公司著名的计算机安全研究专家Dan Kaminsky公布了DNS系统的一个非常严重的漏洞,该漏洞会导致攻击者轻松地伪造像银行、Google、Gamil等任何一个X站,黑客利用该DNS漏

4、洞可能在10秒之内发起一个DNS Cache Posion(DNS缓存中毒)攻击,利用被攻击的DNS服务器能够将用户引导到恶意X站,这就是著名的Kaminsky事件。随后,全球一些知名公司和信息安全专家也纷纷公布了大量的DNS缓存中毒攻击事件。分析总结,DNS的安全漏洞主要如下几类,在域名服务系统的各环节存在漏洞示意如图1所示。  (1) DNS缓存污染(DNS Cache Poisoning);  (2) DNS放大攻击(DNS Amplification Attack);  (3) DNS客户洪泛攻击(Client Flooding);  (4) DN

5、S动态更新攻击(DNS Dynamic Update Vulnerabilities);  (5) 域名欺诈(Domain name Phishing)。  3DNSSEC技术原理及实施  3.1技术原理  3.3实施验证  递归和权威域名服务器DNSSEC生效后,选择一个信任锚中有的区或者它下一级的域名,在递归服务器上用dig测试验证是否生效,例如:  dig 218.241.108.18 example. +dnssec或  dig 218.241.108.18 test1.example. +dnssec  如果配置正确,应该返回解析结果和相应的RR

6、SIG记录,以及flag字段中应有AD字段标识位,标识DNSSEC相关的数字签名验证是成功。  4DNSSEC应用状况  自2010年以来,全球域名DNSSEC的实施工作逐步加快,域名根服务器和各通用顶级域纷纷实施DNSSEC。但考虑到域名系统在互联X基础资源中的重要地位,大规模的DNSSEC部署仍然非常谨慎,整个域名服务体系全部实施DNSSEC在近期还不可能完成。  根实施DNSSEC是ICANN联合Verisign,并在美国商务部支持下历时8个月时间,于2011年7月15日正式公布DNSSEC信任描点,完成部署工作;截止2012年10月份,全球顶级域名

7、共有316个,其中实施DNSSEC的有104个。从图4可以看出来,全球DNSSEC在顶级域的部署正在有序增长。  5结束语  针对当前域名服务系统的安全缺陷,互联X工程技术领域普遍认为实施DNSSEC是一个比较有效的方法。DNSSEC自上世纪90年代诞生以来,经过十几年的技术积累,固有缺陷得到逐步弥补,技术体系基本完善;特别是近两年全球根域名服务器及各互联X发达国家DNSSEC的部署,为其他国家或域名托管机构DNSSEC的实施提供有利的经验和技术参考。设想在不久的将来,全球域名体系全部实施DNSSEC,互联X基础资源中的域名解析服务将得到有效保障。

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。