欢迎来到天天文库
浏览记录
ID:24340216
大小:51.00 KB
页数:4页
时间:2018-11-13
《dnssec技术原理及应用的策略分析》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、DNSSEC技术原理及应用的策略分析 1引言 随着互联X的飞速发展,域名系统DNS(Domain Name System)已成为互联X服务的重要基础设施,但它存在着严重的安全漏洞。特别是近年来,域名系统已成为公共互联X上恶意攻击的重要目标,此类攻击成功后引发的连锁后果也日益严重,给DNS和互联X带来了巨大损失。DNSSEC(DNS Security Extension,即DNS安全扩展),为DNS提供了安全扩展功能,支持对数据源及事务和请求的认证功能,从而在一定程度上遏制了针对域名系统的X络攻击。最近时期,国际上对DNSSEC的研究已成为一个热点问题,各
2、个国家例如美国、俄罗斯、瑞典等,都在积极探索DNSSEC,并进行部署实施。我国国家域名.和.中国还未实施DNSSEC,且其他域名注册服务机构对DNSSEC的研究甚少。 本文在分析了DNS的主要安全漏洞后,详细介绍了DNSSEC的技术原理、实施过程和验证方法,并给出了DNSSEC全球部署状况及应用前景分析。 2DNS主要安全问题 1983年,由牛津X络学院的Paul Mockapetris和Jon Postel启动了世界上第一台自动分发的域名服务系统DNS,这标志着DNS系统的诞生。正如互联X早期的许多协议一样,DNS协议在设计时并没有考虑到安全问题。
3、所以,安全性在DNS中无法保证,事实证明DNS在其不断发展和应用过程中暴漏了许多安全漏洞,并出现了一些有针对性的DNS安全攻击。 其实早在1985年,贝尔实验室的一个人就发表了一篇文章指出DNS存在的安全漏洞,并给出了如何通过对DNS的攻击来控制一台主机操作的详细步骤,但当时处于对互联X安全的考虑,这篇文章在1995年后才被公开。2008年7月,美国IOActiveX络安全公司著名的计算机安全研究专家Dan Kaminsky公布了DNS系统的一个非常严重的漏洞,该漏洞会导致攻击者轻松地伪造像银行、Google、Gamil等任何一个X站,黑客利用该DNS漏
4、洞可能在10秒之内发起一个DNS Cache Posion(DNS缓存中毒)攻击,利用被攻击的DNS服务器能够将用户引导到恶意X站,这就是著名的Kaminsky事件。随后,全球一些知名公司和信息安全专家也纷纷公布了大量的DNS缓存中毒攻击事件。分析总结,DNS的安全漏洞主要如下几类,在域名服务系统的各环节存在漏洞示意如图1所示。 (1) DNS缓存污染(DNS Cache Poisoning); (2) DNS放大攻击(DNS Amplification Attack); (3) DNS客户洪泛攻击(Client Flooding); (4) DN
5、S动态更新攻击(DNS Dynamic Update Vulnerabilities); (5) 域名欺诈(Domain name Phishing)。 3DNSSEC技术原理及实施 3.1技术原理 3.3实施验证 递归和权威域名服务器DNSSEC生效后,选择一个信任锚中有的区或者它下一级的域名,在递归服务器上用dig测试验证是否生效,例如: dig 218.241.108.18 example. +dnssec或 dig 218.241.108.18 test1.example. +dnssec 如果配置正确,应该返回解析结果和相应的RR
6、SIG记录,以及flag字段中应有AD字段标识位,标识DNSSEC相关的数字签名验证是成功。 4DNSSEC应用状况 自2010年以来,全球域名DNSSEC的实施工作逐步加快,域名根服务器和各通用顶级域纷纷实施DNSSEC。但考虑到域名系统在互联X基础资源中的重要地位,大规模的DNSSEC部署仍然非常谨慎,整个域名服务体系全部实施DNSSEC在近期还不可能完成。 根实施DNSSEC是ICANN联合Verisign,并在美国商务部支持下历时8个月时间,于2011年7月15日正式公布DNSSEC信任描点,完成部署工作;截止2012年10月份,全球顶级域名
7、共有316个,其中实施DNSSEC的有104个。从图4可以看出来,全球DNSSEC在顶级域的部署正在有序增长。 5结束语 针对当前域名服务系统的安全缺陷,互联X工程技术领域普遍认为实施DNSSEC是一个比较有效的方法。DNSSEC自上世纪90年代诞生以来,经过十几年的技术积累,固有缺陷得到逐步弥补,技术体系基本完善;特别是近两年全球根域名服务器及各互联X发达国家DNSSEC的部署,为其他国家或域名托管机构DNSSEC的实施提供有利的经验和技术参考。设想在不久的将来,全球域名体系全部实施DNSSEC,互联X基础资源中的域名解析服务将得到有效保障。
此文档下载收益归作者所有