有必要全面提升BINDDNS服务器的安全性能
(文章来源:站长之家)
互联网上dns服务器的事实标准就是isc的bind,billmanning对in-addr域的调查发现,有95%的域名服务器(2的2000次方个服务器中)使用的是各种版本的“bind”。这其中包括了所有的dns根服务器,而这些根服务器对整个服务器的正常运转起着至关重要的作用。
dns服务面临的安全隐患主要包括:dns欺骗(dnsspoffing)、拒绝服务(denialofservice,dos)攻击、分布式拒绝服务攻击和缓冲区漏洞溢出攻击(bufferoverflow)。
dns欺骗即域名信息欺骗是最常见的dns安全问题。当一个dns服务器掉入陷阱,使用了来自一个恶意dns服务器的错误信息,那么该dns服务器就被欺骗了。dns欺骗会使那些易受攻击的dns服务器产生许多安全问题,例如:将用户引导到错误的互联网站点,或者发送一个电子邮件到一个未经授权的邮件服务器。网络攻击者通常通过两种方法进行dns欺骗。
黑客会熟练的使用dns请求,将数据放入一个没有设防的dns服务器的缓存当中。这些缓存信息会在客户进行dns访问时返回给客户,从而将客户引导到入侵者所设置的运行木马的web服务器或邮件服务器上,然后黑客从这些服务器上获取用户信息。
入侵者通过监听客户端和dns服务器的对话,通过猜测服务器响应给客户端的dns查询id。每个dns报文包括一个相关联的16位id号,dns服务器根据这个id号获取请求源位置。黑客在dns服务器之前将虚假的响应交给用户,从而欺骗客户端去访问恶意的网站。攻击者能够将dns名称查询重定向到恶意dns服务器。这样攻击者可以获得dns服务器的写权限。
黑客主要利用一些dns软件的漏洞,如在bind9版本(版本9.2.0以前的9系列)如果有人向运行bind的设备发送特定的dns数据包请求,bind就会自动关闭。攻击者只能使bind关闭,而无法在服务器上执行任意命令。如果得不到dns服务,那么就会产生一场灾难:由于网址不能解析为ip地址,用户将无方访问互联网。这样,dns产生的问题就好像是互联网本身所产生的问题,这将导致大量的混乱。
ddos攻击通过使用攻击者控制的几十台或几百台计算机攻击一台主机,使得服务拒绝攻击更难以防范:使服务拒绝攻击更难以通过阻塞单一攻击源主机的数据流,来防范服务拒绝攻击。synflood是针对dns服务器最常见的分布式拒绝服务攻击。synflood攻击利用的是ipv4中tcp协议的三次握手(three-wayhandshake)过程进行的攻击。大家知道协议规定,如果一端想向另一端发起tcp连接,它需要首先发送tcpsyn包到对方,对方收到后发送一个tcpsyn+ack包回来,发起方再发送tcpack包回去,这样三次握手就结束了。我们把tcp连接的发起方叫作tcp客户机(tcpclient),tcp连接的接收方叫作tcp服务器(tcpserver)。
值得注意的是在tcp服务器收到tcpsynrequest包时,在发送tcpsyn+ack包回tcp客户机前,tcp服务器要先分配好一个数据区专门服务于这个即将形成的tcp连接。一般把收到syn包而还未收到ack包时的连接状态成为半开连接(half-openconnection)。在最常见的synflood攻击中,攻击者在短时间内发送大量的tcpsyn包给受害者,这时攻击者是tcp客户机,受害者是tcp服务器。根据上面的描述,受害者会为每个tcpsyn包分配一个特定的数据区,只要这些syn包具有不同的源地址(这一点对于攻击者来说是很容易伪造的)。这将给tcp服务器系统造成很大的系统负担,最终导致系统不能正常工作。
黑客利用dns服务器软件存在漏洞,比如对特定的输入没有进行严格检查,那幺有可能被攻击者利用,攻击者构造特殊的畸形数据包来对dns服务器进行缓冲区溢出攻击。如果这一攻击成功,就会造成dns服务停止,或者攻击者能够在dns服务器上执行其设定的任意代码。例如,前一阵子针对linux平台的bind的攻击(e.g.lionworm)程序,就是利用某些版本的bind漏洞,取得root权限,一旦入侵完成之后,入侵者就可以完全控制整个相关的网络系统,影响非常严重。
点成动态丨 2023中国(南京)国际科教技术及装备博览会(CESEE)精彩回顾
电子线对我们有着非常巨大的实际性价值
当3D打印应用在无人机有何不同?
STM32复位来源(寄存器版)
美国防部禁令对电池民间商业合作没有影响
有必要全面提升BINDDNS服务器的安全性能
EMC指令如何而来
NVR平台刚性需求与弹性需求
行业方案|电子行业SRM供应商管理解决方案
吃货成都朝圣记 一部手机记录美食那些事儿
福布斯中国发布最佳CEO排名 比亚迪王传福和宁德时代曾毓群上榜
IFA2019,将有哪些趋势性的技术亮点呈现?
设备拆卸的基本原则及常用方法
Borosil推出了一种名为“ Suraksha”的UV-C消毒设备
腾讯加速推进IPv6,QQ、微信即将完成IPv6技术升级
兆瀚×金融 | 长沙银行科技+,一场数字转型的蓄势“狂飙”
火灾传感器如何保证工作人员的安全
基于语音识别技术用于录音应用
Wolfram语言与Mathematica 13.2版本(2)
友达收购BHTC将减轻外部影响,利于面板下游布局
互联网上dns服务器的事实标准就是isc的bind,billmanning对in-addr域的调查发现,有95%的域名服务器(2的2000次方个服务器中)使用的是各种版本的“bind”。这其中包括了所有的dns根服务器,而这些根服务器对整个服务器的正常运转起着至关重要的作用。
dns服务面临的安全隐患主要包括:dns欺骗(dnsspoffing)、拒绝服务(denialofservice,dos)攻击、分布式拒绝服务攻击和缓冲区漏洞溢出攻击(bufferoverflow)。
dns欺骗即域名信息欺骗是最常见的dns安全问题。当一个dns服务器掉入陷阱,使用了来自一个恶意dns服务器的错误信息,那么该dns服务器就被欺骗了。dns欺骗会使那些易受攻击的dns服务器产生许多安全问题,例如:将用户引导到错误的互联网站点,或者发送一个电子邮件到一个未经授权的邮件服务器。网络攻击者通常通过两种方法进行dns欺骗。
黑客会熟练的使用dns请求,将数据放入一个没有设防的dns服务器的缓存当中。这些缓存信息会在客户进行dns访问时返回给客户,从而将客户引导到入侵者所设置的运行木马的web服务器或邮件服务器上,然后黑客从这些服务器上获取用户信息。
入侵者通过监听客户端和dns服务器的对话,通过猜测服务器响应给客户端的dns查询id。每个dns报文包括一个相关联的16位id号,dns服务器根据这个id号获取请求源位置。黑客在dns服务器之前将虚假的响应交给用户,从而欺骗客户端去访问恶意的网站。攻击者能够将dns名称查询重定向到恶意dns服务器。这样攻击者可以获得dns服务器的写权限。
黑客主要利用一些dns软件的漏洞,如在bind9版本(版本9.2.0以前的9系列)如果有人向运行bind的设备发送特定的dns数据包请求,bind就会自动关闭。攻击者只能使bind关闭,而无法在服务器上执行任意命令。如果得不到dns服务,那么就会产生一场灾难:由于网址不能解析为ip地址,用户将无方访问互联网。这样,dns产生的问题就好像是互联网本身所产生的问题,这将导致大量的混乱。
ddos攻击通过使用攻击者控制的几十台或几百台计算机攻击一台主机,使得服务拒绝攻击更难以防范:使服务拒绝攻击更难以通过阻塞单一攻击源主机的数据流,来防范服务拒绝攻击。synflood是针对dns服务器最常见的分布式拒绝服务攻击。synflood攻击利用的是ipv4中tcp协议的三次握手(three-wayhandshake)过程进行的攻击。大家知道协议规定,如果一端想向另一端发起tcp连接,它需要首先发送tcpsyn包到对方,对方收到后发送一个tcpsyn+ack包回来,发起方再发送tcpack包回去,这样三次握手就结束了。我们把tcp连接的发起方叫作tcp客户机(tcpclient),tcp连接的接收方叫作tcp服务器(tcpserver)。
值得注意的是在tcp服务器收到tcpsynrequest包时,在发送tcpsyn+ack包回tcp客户机前,tcp服务器要先分配好一个数据区专门服务于这个即将形成的tcp连接。一般把收到syn包而还未收到ack包时的连接状态成为半开连接(half-openconnection)。在最常见的synflood攻击中,攻击者在短时间内发送大量的tcpsyn包给受害者,这时攻击者是tcp客户机,受害者是tcp服务器。根据上面的描述,受害者会为每个tcpsyn包分配一个特定的数据区,只要这些syn包具有不同的源地址(这一点对于攻击者来说是很容易伪造的)。这将给tcp服务器系统造成很大的系统负担,最终导致系统不能正常工作。
黑客利用dns服务器软件存在漏洞,比如对特定的输入没有进行严格检查,那幺有可能被攻击者利用,攻击者构造特殊的畸形数据包来对dns服务器进行缓冲区溢出攻击。如果这一攻击成功,就会造成dns服务停止,或者攻击者能够在dns服务器上执行其设定的任意代码。例如,前一阵子针对linux平台的bind的攻击(e.g.lionworm)程序,就是利用某些版本的bind漏洞,取得root权限,一旦入侵完成之后,入侵者就可以完全控制整个相关的网络系统,影响非常严重。
点成动态丨 2023中国(南京)国际科教技术及装备博览会(CESEE)精彩回顾
电子线对我们有着非常巨大的实际性价值
当3D打印应用在无人机有何不同?
STM32复位来源(寄存器版)
美国防部禁令对电池民间商业合作没有影响
有必要全面提升BINDDNS服务器的安全性能
EMC指令如何而来
NVR平台刚性需求与弹性需求
行业方案|电子行业SRM供应商管理解决方案
吃货成都朝圣记 一部手机记录美食那些事儿
福布斯中国发布最佳CEO排名 比亚迪王传福和宁德时代曾毓群上榜
IFA2019,将有哪些趋势性的技术亮点呈现?
设备拆卸的基本原则及常用方法
Borosil推出了一种名为“ Suraksha”的UV-C消毒设备
腾讯加速推进IPv6,QQ、微信即将完成IPv6技术升级
兆瀚×金融 | 长沙银行科技+,一场数字转型的蓄势“狂飙”
火灾传感器如何保证工作人员的安全
基于语音识别技术用于录音应用
Wolfram语言与Mathematica 13.2版本(2)
友达收购BHTC将减轻外部影响,利于面板下游布局