日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
DNS是什么,它如何運(yùn)行?DNS漏洞有哪些?

域名系統(tǒng)(DNS)是Internet的基礎(chǔ)之一,但是網(wǎng)絡(luò)之外的大多數(shù)人可能沒(méi)有意識(shí)到他們每天都在使用它來(lái)完成工作,查看電子郵件或在智能手機(jī)網(wǎng)上沖浪。

創(chuàng)新互聯(lián)建站專業(yè)為企業(yè)提供南京網(wǎng)站建設(shè)、南京做網(wǎng)站、南京網(wǎng)站設(shè)計(jì)、南京網(wǎng)站制作等企業(yè)網(wǎng)站建設(shè)、網(wǎng)頁(yè)設(shè)計(jì)與制作、南京企業(yè)網(wǎng)站模板建站服務(wù),十年南京做網(wǎng)站經(jīng)驗(yàn),不只是建網(wǎng)站,更提供有價(jià)值的思路和整體網(wǎng)絡(luò)服務(wù)。

系統(tǒng)域名是互聯(lián)網(wǎng)的一項(xiàng)服務(wù)。它作為將域名和IP地址相互映射的一個(gè)分布式數(shù)據(jù)庫(kù),能夠使人更方便地訪問(wèn)互聯(lián)網(wǎng)。DNS使用TCP和UDP端口53。當(dāng)前,對(duì)于每一級(jí)域名長(zhǎng)度的限制是63個(gè)字符,域名總長(zhǎng)度則不能超過(guò)253個(gè)字符。

DNS服務(wù)器如何工作

域名系統(tǒng)(Domain Name System,DNS)是Internet上解決網(wǎng)上機(jī)器命名的一種系統(tǒng)。就像拜訪朋友要先知道別人家怎么走一樣,Internet上當(dāng)一臺(tái)主機(jī)要訪問(wèn)另外一臺(tái)主機(jī)時(shí),必須首先獲知其地址:

TCP/IP中的IP地址是由四段以“.”分開(kāi)的數(shù)字組成,記起來(lái)總是不如名字那么方便,所以,就采用了域名系統(tǒng)來(lái)管理名字和IP的對(duì)應(yīng)關(guān)系。

雖然因特網(wǎng)上的節(jié)點(diǎn)都可以用IP地址惟一標(biāo)識(shí),并且可以通過(guò)IP地址被訪問(wèn),但即使是將32位的二進(jìn)制IP地址寫成4個(gè)0~255的十位數(shù)形式,也依然太長(zhǎng)、太難記。

因此,人們發(fā)明了域名(Domian Name),域名可將一個(gè)IP地址關(guān)聯(lián)到一組有意義的字符上去。用戶訪問(wèn)一個(gè)網(wǎng)站的時(shí)候,既可以輸入該網(wǎng)站的IP地址,也可以輸入其域名,對(duì)訪問(wèn)而言,兩者是等價(jià)的。

例如:微軟公司的Web服務(wù)器的IP地址是207.46.230.229,其對(duì)應(yīng)的域名是www.microsoft.com,不管用戶在瀏覽器中輸入的是前者還是后者,都可以訪問(wèn)其Web網(wǎng)站。

一個(gè)公司的Web網(wǎng)站可看作是它在網(wǎng)上的門戶,而域名就相當(dāng)于其門牌地址,通常域名都使用該公司的名稱或簡(jiǎn)稱。

例如上面提到的微軟公司的域名,類似的還有:IBM公司的域名是www.ibm.com、Oracle公司的域名是www.oracle.com、Cisco公司的域名是www.cisco.com等。

當(dāng)人們要訪問(wèn)一個(gè)公司的Web網(wǎng)站,又不知道其確切域名的時(shí)候,也總會(huì)首先輸入其公司名稱作為試探。但是,由一個(gè)公司的名稱或簡(jiǎn)稱構(gòu)成的域名,也有可能會(huì)被其他公司或個(gè)人搶注。

甚至還有一些公司或個(gè)人惡意搶注了大量由知名公司的名稱構(gòu)成的域名,然后再高價(jià)轉(zhuǎn)賣給這些公司,以此牟利。

像Internet本身一樣,該目錄分布在世界各地,存儲(chǔ)在域名服務(wù)器(通常簡(jiǎn)稱為DNS服務(wù)器)上,這些域名服務(wù)器都非常定期地相互通信以提供更新和冗余。

按照ISO-3166標(biāo)準(zhǔn)制定的國(guó)家域名,一般由各國(guó)的NIC(Network Information Center,網(wǎng)絡(luò)信息中心)負(fù)責(zé)運(yùn)行。我國(guó)域名體系分為類別域名和行政區(qū)域名兩套。

形式:權(quán)威DNS服務(wù)器與緩存域名服務(wù)器

域名服務(wù)器通常會(huì)有兩種形式:權(quán)威域名服務(wù)器,以及緩存域名服務(wù)器。

當(dāng)您的計(jì)算機(jī)要查找與域名關(guān)聯(lián)的IP地址時(shí),它首先向遞歸DNS服務(wù)器(也稱為遞歸解析器)發(fā)出請(qǐng)求。

權(quán)威域名服務(wù)器

下列情況需要有權(quán)威域名服務(wù)器:想要向全世界提供DNS信息,并對(duì)請(qǐng)求給出權(quán)威應(yīng)答。注冊(cè)了類似 exampleorg的域,而需要將IP指定到其下的主機(jī)名上。

某個(gè)IP地址塊需要反向DNS項(xiàng)(IP 到主機(jī)名)。備份服務(wù)器,或常說(shuō)的從(slave) 服務(wù)器,會(huì)在主服務(wù)器出現(xiàn)問(wèn)題或無(wú)法訪問(wèn)時(shí)來(lái)應(yīng)答查詢請(qǐng)求。

緩存域名服務(wù)器

下列情況需要有緩存域名服務(wù)器:本地的DNS服務(wù)器能夠緩存,并比直接向外界的域名服務(wù)器請(qǐng)求更快地得到應(yīng)答。當(dāng)有人查詢www.FreeBSDorg時(shí),解析器通常會(huì)向上級(jí)ISP的域名服務(wù)器發(fā)出請(qǐng)求,并獲得回應(yīng)。

如果有本地的緩存DNS服務(wù)器,查詢只有在第一次被緩存DNS服務(wù)器發(fā)到外部。其他的查詢不會(huì)發(fā)向局域網(wǎng)外,因?yàn)樗鼈円呀?jīng)有在本地的緩存了。

DNS如何提高效率

DNS按層次結(jié)構(gòu)進(jìn)行組織,有助于使事情快速,順暢地運(yùn)行。為了說(shuō)明這一點(diǎn),讓我們假設(shè)您訪問(wèn)某xxx.com。

如上所述,對(duì)IP地址的初始請(qǐng)求是向遞歸解析器發(fā)出的。遞歸解析器知道需要使用哪些其他DNS服務(wù)器來(lái)解析具有其IP地址的站點(diǎn)(xxx.com)的名稱。

該搜索將導(dǎo)致一個(gè)根服務(wù)器,該服務(wù)器了解有關(guān)頂級(jí)域名的所有信息,例如.com,.net,.org以及所有國(guó)家/地區(qū)域名,例如.cn(中國(guó))和.uk(英國(guó))。

根服務(wù)器遍布世界各地,因此系統(tǒng)通常會(huì)將您引導(dǎo)到地理位置最接近的服務(wù)器。

請(qǐng)求到達(dá)正確的根服務(wù)器后,它會(huì)轉(zhuǎn)到頂級(jí)域(TLD)名稱服務(wù)器,該服務(wù)器存儲(chǔ)第二級(jí)域的信息,即到達(dá)co.org.net前的二級(jí)子域名。

然后,將請(qǐng)求轉(zhuǎn)到域名服務(wù)器,該服務(wù)器保存有關(guān)站點(diǎn)及其IP地址的信息。一旦發(fā)現(xiàn)IP地址,它將被發(fā)送回客戶端,客戶端現(xiàn)在可以使用它來(lái)訪問(wèn)網(wǎng)站。

所有這些僅需幾毫秒。由于DNS已經(jīng)使用了30多年,因此大多數(shù)人都將其視為理所當(dāng)然。構(gòu)建系統(tǒng)時(shí)也沒(méi)有考慮安全性,因此黑客充分利用這一點(diǎn),從而產(chǎn)生了各種攻擊。

攻擊一:DNS反射攻擊

DNS反射攻擊用來(lái)自DNS解析器服務(wù)器的大量郵件淹沒(méi)受害者。攻擊者使用DNS解析器,然后請(qǐng)求大型DNS文件來(lái)淹沒(méi)受害者的IP。

所以當(dāng)解析程序做出響應(yīng)時(shí),受害者會(huì)收到大量未請(qǐng)求的DNS數(shù)據(jù),這些數(shù)據(jù)淹沒(méi)了他們的計(jì)算機(jī)。

攻擊二:DNS緩存中毒

可將用戶轉(zhuǎn)移到惡意網(wǎng)站。攻擊者設(shè)法將錯(cuò)誤的地址記錄插入DNS中,因此當(dāng)受害者請(qǐng)求中毒站點(diǎn)的地址解析時(shí),DNS會(huì)使用由黑客控制的另一個(gè)站點(diǎn)的IP地址進(jìn)行響應(yīng)。

一旦進(jìn)入這些假冒網(wǎng)站,受害者可能會(huì)被誘騙放棄密碼或遭受惡意軟件下載。

攻擊三:DNS資源耗盡

因此,如果遞歸解析器無(wú)法提供與站點(diǎn)名稱關(guān)聯(lián)的IP地址,它將詢問(wèn)受害者的名稱服務(wù)器。

(圖片轉(zhuǎn)自Docin,非商業(yè)用途僅供交流,勿轉(zhuǎn))

攻擊者針對(duì)其域生成大量請(qǐng)求,并將其扔向不存在的子域以進(jìn)行引導(dǎo),這導(dǎo)致大量解析請(qǐng)求被攻擊到受害者的名稱服務(wù)器,從而使請(qǐng)求不堪重負(fù)。

攻擊四:SIGRed可蠕蟲(chóng)攻擊的DNS漏洞

最近,人們發(fā)現(xiàn)Windows DNS服務(wù)器中的漏洞可能會(huì)導(dǎo)致DNS的各種混亂,稱為SIGRed的潛在安全漏洞需要復(fù)雜的攻擊鏈,但可以利用未打補(bǔ)丁的Windows DNS服務(wù)器在客戶端上安裝和執(zhí)行惡意代碼。

該漏洞利用程序是“可蠕蟲(chóng)化的”,這意味著它可以在計(jì)算機(jī)之間傳播,而無(wú)需人工干預(yù)。該漏洞足夠令人震驚,以至于美國(guó)聯(lián)邦機(jī)構(gòu)反應(yīng)過(guò)來(lái)時(shí),也只有幾天的時(shí)間來(lái)火速安裝補(bǔ)丁。

前面說(shuō)了這么多關(guān)于DNS的運(yùn)行原理和被攻擊的原理,那么DNS將如何被防護(hù)呢?接下來(lái)介紹一種DNS的防護(hù)措施和原理:

防護(hù)措施:DNSSec

互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu)意識(shí)到DNS頂級(jí),二級(jí)和三級(jí)目錄服務(wù)器之間的通信存在漏洞,可能使攻擊者劫持查找。

這將使攻擊者可以使用惡意站點(diǎn)的IP地址響應(yīng)對(duì)合法站點(diǎn)的查找請(qǐng)求。這些網(wǎng)站可能會(huì)將惡意軟件上傳給用戶,或者進(jìn)行網(wǎng)絡(luò)釣魚(yú)和欺騙攻擊。

DNSSec的保護(hù)方式則是通過(guò)讓每個(gè)級(jí)別的DNS服務(wù)器對(duì)其請(qǐng)求進(jìn)行數(shù)字簽名來(lái)解決此問(wèn)題,從而確保最終用戶發(fā)送的請(qǐng)求不會(huì)接收到攻擊者的欺瞞性命令。這將創(chuàng)建信任鏈,以便在查找的每個(gè)步驟中,都可以驗(yàn)證請(qǐng)求的完整性。

此外,DNSSec可以確定域名是否存在,如果不存在,則不會(huì)將該欺詐性域名交付給尋求解析域名的無(wú)辜請(qǐng)求者。


本文名稱:DNS是什么,它如何運(yùn)行?DNS漏洞有哪些?
新聞來(lái)源:http://www.5511xx.com/article/dhpdegd.html