龍?jiān)雌诳W(wǎng) http://www.qikan.com.cnDNS 拒絕服務(wù)攻擊以及防范措施分析作者：白競(jìng)雄來(lái)源：《硅谷》2014年第08期摘 要 文章首先就DNS 拒絕服務(wù)供給的概念與原理進(jìn)行分析，而

龍?jiān)雌诳W(wǎng) http://www.qikan.com.cn

DNS 拒絕服務(wù)攻擊以及防范措施分析

作者：白競(jìng)雄

來(lái)源：《硅谷》2014年第08期

摘 要 文章首先就DNS 拒絕服務(wù)供給的概念與原理進(jìn)行分析，而后進(jìn)一步針對(duì)DNS 服務(wù)器攻擊防范措施展開(kāi)了討論，對(duì)于深入了解DNS 的工作機(jī)制，提升其安全水平都有一定的積極意義。

關(guān)鍵詞 DNS；拒絕服務(wù)；攻擊；防范

中圖分類號(hào)：TP3 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1671-7597（2014）08-0082-01

當(dāng)前信息時(shí)代之下，各種網(wǎng)頁(yè)訪問(wèn)的有效性和信息的可得性，是衡量網(wǎng)站健康狀況的基本準(zhǔn)繩，然而與信息化共同發(fā)展起來(lái)的，除了成熟的網(wǎng)絡(luò)環(huán)境，相關(guān)的安全問(wèn)題也愈加尖銳。在諸多安全問(wèn)題中，關(guān)于DNS 的拒絕服務(wù)，作為一個(gè)危機(jī)典范，受到越來(lái)越多的關(guān)注。 1 DNS拒絕服務(wù)供給的概念與原理

想要了解關(guān)于DNS 安全攻擊的原理，首先需要對(duì)DNS 的工作原理有所了解。域名系統(tǒng)（DNS ，Domain Name System）是當(dāng)前互聯(lián)網(wǎng)環(huán)境下關(guān)鍵的基礎(chǔ)設(shè)施之一，其存在價(jià)值主要在于提供諸多網(wǎng)頁(yè)的主機(jī)名稱以及IP 地址之間的映射，確保包括網(wǎng)頁(yè)瀏覽以及電子郵件在內(nèi)的諸多訪問(wèn)請(qǐng)求能夠順利展開(kāi)。從工作原理角度看，DNS 系統(tǒng)以一個(gè)分布式數(shù)據(jù)庫(kù)系統(tǒng)的形式存在，當(dāng)客戶段需要解析某一個(gè)域名的IP 地址的時(shí)候，需要先向DNS 服務(wù)器發(fā)起查詢請(qǐng)求，由DNS 服務(wù)器先行搜索本地緩存，如果緩存中不存在相關(guān)記錄，則進(jìn)一步展開(kāi)遞歸查詢直到獲取到相應(yīng)記錄，將獲取到的映射信息依據(jù)優(yōu)化算法進(jìn)行存儲(chǔ)并且對(duì)客戶端的查詢請(qǐng)求予以回應(yīng)。

從供給的表現(xiàn)角度看，拒絕服務(wù)攻擊（DoS ，Denial of Service）的本質(zhì)目的在于剝奪計(jì)算機(jī)或網(wǎng)絡(luò)為合法用戶提供正常服務(wù)的能力，攻擊方通常通過(guò)網(wǎng)絡(luò)向DNS 服務(wù)段發(fā)起大量查詢服務(wù)，耗費(fèi)DNS 服務(wù)器查詢資源導(dǎo)致無(wú)法對(duì)正常的用戶需求做出響應(yīng)，也有可能篡改DNS 本地緩存的數(shù)據(jù)導(dǎo)致其真實(shí)性出現(xiàn)誤差，從而出現(xiàn)錯(cuò)誤解析結(jié)果。從原理上看，可以將對(duì)于DNS 的攻擊劃分為兩種，包括欺騙式攻擊和反彈式攻擊。在欺騙式攻擊中，攻擊方采用緩沖區(qū)溢出或者特洛伊木馬等攻擊方式對(duì)DNS 服務(wù)器的高速緩存實(shí)現(xiàn)入侵，并且誘導(dǎo)使其存儲(chǔ)虛假信息，或者獲得root 權(quán)限改變服務(wù)器的轉(zhuǎn)換表使不同的域名映射到被攻擊的目標(biāo)IP 上。對(duì)于這種情況，當(dāng)正常用戶發(fā)出域名解析查詢請(qǐng)求的時(shí)候，會(huì)得到錯(cuò)誤的IP 應(yīng)答，從而使得用戶的計(jì)算機(jī)訪問(wèn)跳轉(zhuǎn)到錯(cuò)誤的網(wǎng)址。而對(duì)于反彈式攻擊而言，則是指攻擊方發(fā)送源IP 為被攻擊目標(biāo)IP 的查詢報(bào)文到大量開(kāi)放的DNS 服務(wù)器，DNS 服務(wù)器把相應(yīng)的應(yīng)答報(bào)文發(fā)送到被攻擊目標(biāo)。被攻擊目標(biāo)所在的網(wǎng)絡(luò)被大量的DNS 應(yīng)答報(bào)文淹沒(méi)，導(dǎo)致帶寬被完全消耗無(wú)法對(duì)外提供服務(wù)。