×

【每日一记10】+第8天+什么是DNSSEC与DNS欺骗与劫持
  

平凡的小网工 1210

{{ttag.title}}
今天来说一下什么是DNSSEC与DNS欺骗与劫持
那么DNSSEC的定义是什么呢?
域名系统安全扩展(DNSSEC)是一组扩展DNS协议的规范,可为接收自权威DNS服务器的响应添加加密身份验证,阻止黑客采用各种技术将计算机引导到恶意网站和服务器。尽管很多通用域名和国家级顶级域名(TLD)已经部署了DNSSEC,但个人和最终用户级别的域名大多尚未采纳。

DNS欺骗和劫持是什么?
2008年,安全研究员Dan Kaminsky发现了DNS协议中的一个根本缺陷,该缺陷影响广为应用的DNS服务器软件。外部攻击者可利用此缺陷毒害电信提供商和大型企业的DNS服务器缓存,迫使这些服务器向DNS查询提供恶意响应,从而将用户导航至假冒网站或流氓电子邮件服务器。当时IT界组织了一场空前的安全漏洞协同响应,修复了该缺陷,但DNS劫持攻击的威胁依然留存。由于DNS流量不经身份验证或加密,攻击者只要能控制用户DNS解析路径中的某个DNS服务器,就能够提供恶意响应,并将用户重定向到恶意服务器。这就是所谓的中间人攻击。
DNS好似互联网电话簿由于联网协议使用网际协议(IP)地址,计算机间通信需要的就是数字形式的IP地址,而非主机名。而利用DNS,计算机就可将便于人类识别记忆的域名,转换为联网所需的IP地址。
域名系统采用层次结构,顶部13个服务器集群管理着所谓根域,往下一层是.com或.net等顶级域(TLD),或.us或.ca等国家/地区代码TLD的服务器,然后是google.com等特定域名的服务器,再往下可能是处理cloud.google.com之类特定子域的单独服务器。
客户端(如计算机或设备)每次查询域名,都会从上到下遍历此层次结构,直至找到所查询主机名归属的权威DNS服务器,获得响应的IP地址。但是,为提高DNS的性能,这些响应可以在查询路径中的服务器上缓存一段时间。大多数设备不会查询根域本身,但会查询充当解析服务器的本地DNS服务器,而此解析服务器又可能查询另一个DNS解析服务器。例如,家用路由器通常起到DNS解析服务器的作用,并且是本地网络上所有计算机和设备在DNS链中的第一个跃点。通常,路由器还会将请求转发到客户ISP运营的DNS解析服务器上。
我们十分有必要了解DNS的工作原理,因为整个查询链中的任何服务器都可能是薄弱环节,成为攻击者提供恶意响应的源头。某些恶意软件将计算机上的DNS设置更改为使用攻击者控制下的DNS服务器,这种情况下,受感染计算机的用户将受到影响。大量攻击已篡改家用路由器上的DNS设置(这种手法名为路由器网址嫁接),影响被黑路由器所服务网络上的所有用户。其他攻击则篡改ISP的DNS解析服务器,依赖这些服务器的所有客户都可能会受影响。

打赏鼓励作者,期待更多好文!

打赏
暂无人打赏

gqce 发表于 2020-8-10 15:53
  
感谢分享
一一氵 发表于 2020-8-10 16:05
  

感谢分享,学习了
sangfor_闪电回_小六 发表于 2020-8-11 17:15
  
您好,感谢楼主分享,如文章为转载的内容需附上原文链接+个人点评或见解哦!

关于笔记内容社区建议如下↓
创作笔记指南:
内容图文结合,文章不用太长,条理清晰,有实质性的参考价值,能解决实际问题;
建议笔记采用的结构:
QA(问题-答案)式结构,先说问题,再给建议或者解决方案(可以多条并列)以故障排错为例:问题现象--原因分析---排查思路和解决方法--排查结果--注意事项” 可以参考这样的组织结构写作;
杜绝复制粘贴式、抄袭、滥竽充数、灌水、过于简单的内容(否则将取消激励,造成个人时间浪费!小编会审核每一条笔记的哦)
参考案例:https://bbs.sangfor.com.cn/forum ... read&tid=100181
蟲爺 发表于 2021-3-2 17:27
  
感谢分享
发表新帖
热门标签
全部标签>
安全效果
每日一问
西北区每日一问
技术笔记
技术盲盒
【 社区to talk】
干货满满
新版本体验
标准化排查
产品连连看
信服课堂视频
技术咨询
每周精选
功能体验
自助服务平台操作指引
排障那些事
GIF动图学习
技术晨报
安装部署配置
运维工具
解决方案
2023技术争霸赛专题
秒懂零信任
故障笔记
技术圆桌
云计算知识
用户认证
技术顾问
资源访问
存储
技术争霸赛
「智能机器人」
以战代练
社区新周刊
畅聊IT
答题自测
专家问答
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
原创分享
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
地址转换
虚拟机
迁移
加速技术
排障笔记本
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
通用技术
卧龙计划
华北区拉练
天逸直播
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
高手请过招
升级&主动服务
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版版主

12
185
6

发帖

粉丝

关注

121
313
351

发帖

粉丝

关注

本版达人

LoveTec...

本周分享达人

新手24116...

本周提问达人