返回
加强linux系统的dns服务的安全防御能力

加强linux系统的dns服务的安全防御能力

ID:27654998

大小:402.74 KB

页数:26页

时间:2018-12-05

加强linux系统的dns服务的安全防御能力_第1页
加强linux系统的dns服务的安全防御能力_第2页
加强linux系统的dns服务的安全防御能力_第3页
加强linux系统的dns服务的安全防御能力_第4页
加强linux系统的dns服务的安全防御能力_第5页
资源描述:

《加强linux系统的dns服务的安全防御能力》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、M8-1加强Lirmx系统的DNS服务的安全防御能力1.1场景描述1.1.1学习目的学生通过该能力模块的学习,能够独立完成和熟练掌握安全配置DNS服务器,加强Linux系统的DNS服务的安全防御能力。1.1.2学习要求理解:DNS服务存在安全风险掌握:DNS服务安全选项配置掌握:DNS服务TSIG配置1.1.3学习重点和难点1.学习重点今保护DNS服务器本身安全今保护ZoneTransfer的安全今保护DNS免于Spoofed攻击今使用TSTG保护DNS服务器今保护DynamicUpdate的安全2.学习难点今使用TSTG保护D

2、NS服务器1.2知识准备1.2.1ZoneTransferDNS的区域传输目的是为了DNS的备份,当DNS服务器坏了,它的数据不会丢失。注意在配置区域传输是一定要注意辅助服务器上建立的区域是辅助区域且与主服务器的域名相同,而且区域传输是双向的,不但需要在辅助服务器上配置还要在主服务器上进行相应的配置。1.2.2DNSDNS服务面临的安全问题主要包括:DNS欺骗(DNSSpoffing)、拒绝服务(Denialofservice,DoS)攻击、分布式拒绝服务攻击和缓冲区漏洞溢出攻击(BufferOverflow)o1.DNS欺骗D

3、NS欺骗即域名信息欺骗是最常见的DNS安全问题。当一个DNS服务器掉入陷阱,使用了来自一个恶意DNS服务器的错误信息,那么该DNS服务器就被欺骗了。DNS欺骗会使那些易受攻击的DNS服务器产生许多安全问题,例如:将用户引导到错误的互联网站点,或者发送一个电子邮件到一个未经授权的邮件服务器。网洛攻击者通常通过三种方法进行DNS欺骗。图1是一个典型的DNS欺骗的示意图。2.TuPkVGdvW6tl(1)缓存感染黑客会熟练的使用DNS请求,将数据放入一个没有设防的DNS服务器的缓存当中。这些缓存信息会在客户进行DNS访问时返回给客户,

4、从而将客户引导到入侵者所设置的运行木马的Web服务器或邮件服务器上,然后黑客从这些服务器上获取用户信息。(2)DNS信息劫持入侵者通过监听客户端和DNS服务器的对话,通过猜测服务器响应给客户端的DNS查询1D。每个DNS报文包括一个相关联的16位1D号,DNS服务器根据这个ID号获取请求源位置。黑客在DNS服务器之前将虛假的响应交给用户,从而欺骗客户端去访问恶意的网站。(2)DNS复位定向攻击者能够将DNS名称查询复位向到恶意DNS服务器。这样攻击者可以获得DNS服务器的写权限。2.拒绝服务攻击黑客主要利用一些DNS软件的漏洞,

5、如在BIND9版本(版本9.2.0以前的9系列)如果有人向运行BTND的设备发送特定的DNS数据包请求,BTND就会自动关闭。攻击者只能使BIND关闭,而无法在服务器上执行任意命令。如果得不到DNS服务,那么就会产生一场灾难:由于网址不能解析为IP地址,用户将无方访问互联网。这样,DNS产生的问题就好像是互联网本身所产生的问题,这将导致大量的混乱。3.分布式拒绝服务攻击DD0S攻击通过使用攻击者控制的几十台或几百台计算机攻击一台主机,使得服务拒绝攻击更难以防范:使服务拒绝攻击更难以通过阻塞单一攻击源主机的数据流,来防范服务拒绝攻

6、击。SynFlood是针对DNS服务器最常见的分布式拒绝服务攻击。4.缓冲区漏洞Bind软件的缺省设置是允许主机间进行区域传输(zonetransfer)。区域传输主要用于主域名服务器与辅域名服务器之间的数据同步,使辅域名服务器可以从主域名服务器获得新的数据信息。一旦起用区域传输而不做任何限制,很可能会造成信息泄漏,黑客将可以获得整个授权区域内的所有主机的信息,判断主机功能及安全性,从中发现目标进行攻击。1.2.3TSIGDNS的事务签名分为TSIG(TransactionSignatures)与STGO(SIGnature)两

7、种。该如何选择呢?首先,要先判断客户端与服务器间的信任关系为何,若是可信任者,可选择对称式的TSiGoTSIG只有一组密码,并无公开/私密金钥之分;若是非完全信任者,可选择非对称式金钥的S1G0,虽有公开/私密金钥之分,相对的,设定上也较复杂。至于要选用哪种较适合,就由自己来判断。通常区带传输是主域名服务器到辅助域名服务器。1.TSIG技术交易签章(TSIGRFC2845),是为了保护DNS安全而发展的。从BIND8.2版本开始引入TSTG机制,其验证DNS讯息方式是使用共享金钥(SecretKey)及单向杂凑函式(One-wa

8、yhashfunction)来提供讯息的验证和数据的完整性。主要针对区带传输(ZONETransfer)进行保护的作用,利用密码学编码方式为通讯传输信息加密以保证DNS讯息的安全,特别是响应与更新的讯息数据。也就是说在DNS服务器之间进行辖区传送时所提供保护的机

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。