负载均衡dns相关,dns污染?dns劫持?迭代?递归? 首先要了解DNS服务正常解析过程、然后在再来聊一聊DNS可能存在链路劫持、重绑分析等。
第一步: 先上脑图 第二步 :正常的dns解析共9步:
1、本地客户机提出域名解析请求,查找本地HOST文件后将该请求发送给本地的域名服务器。 3、当本地的域名服务器收到请求后,就先查询本地的缓存。 4、如果有该记录项,则本地的域名服务器就直接把查询的结果返回浏览器。 5、如果本地DNS缓存中没有该记录,则本地域名服务器就直接把请求发给根域名服务器。 6、然后根域名服务器再返回给本地域名服务器一个所查询域(根的子域)的主域名服务器的地址。 7、本地服务器再向上一步返回的域名服务器发送请求,然后接受请求的服务器查询自己的缓存,如果没有该记录,则返回相关的下级的域名服务器的地址。 9、本地域名服务器把返回的结果保存到缓存,以备下一次使用,同时还将结果返回给客户机。
*******什么是DNS劫持?DNS劫持通过篡改DNS服务器上的数据返回给用户一个错误的查询结果来实现的。 *******DNS劫持症状 在某些地区的用户在成功连接宽带后,首次打开任何页面都指向ISP提供的“电信互联星空”、“网通黄页广告”等内容页面。还有就是曾经出现过用户访问Google域名的时候出现了百度的网站。这些都属于DNS劫持。 ******什么是DNS污染?DNS污染是一种让一般用户由于得到虚假目标主机IP而不能与其通信的方法,是一种DNS缓存投毒攻击(DNS cache poisoning)。其工作方式是:由于通常的DNS查询没有任何认证机制,而且DNS查询通常基于的UDP是无连接不可靠的协议,因此DNS的查询非常容易被篡改,通过对UDP端口53上的DNS查询进行入侵检测,一经发现与关键词相匹配的请求则立即伪装成目标域名的解析服务器(NS,Name Server)给查询者返回虚假结果。而DNS污染则是发生在用户请求的第一步上,直接从协议上对用户的DNS请求进行干扰。 ******DNS污染症状:目前一些被禁止访问的网站很多就是通过DNS污染来实现的,例如YouTube、Facebook等网站。 解决方法: 对于DNS劫持,可以采用使用国外免费公用的DNS服务器解决。例如OpenDNS(208.67.222.222)或GoogleDNS(8.8.8.8)。 对于DNS污染,可以说,个人用户很难单单靠设置解决,通常可以使用VPN或者域名远程解析的方法解决,但这大多需要购买付费的VPN或SSH等,也可以通过修改Hosts的方法,手动设置域名正确的IP地址。
为什么要DNS流量监控?预示网络中正出现可疑或恶意代码的 DNS 组合查询或流量特征。例如: 1.来自伪造源地址的 DNS 查询、或未授权使用且无出口过滤地址的 DNS 查询,若同时观察到异常大的 DNS 查询量或使用 TCP 而非 UDP 进行 DNS 查询,这可能表明网络内存在被感染的主机,受到了 DDoS 攻击。 2.异常 DNS 查询可能是针对域名服务器或解析器(根据目标 IP 地址确定)的漏洞攻击的标志。与此同时,这些查询也可能表明网络中有不正常运行的设备。原因可能是恶意软件或未能成功清除恶意软件。 3.在很多情况下,DNS查询要求解析的域名如果是已知的恶意域名,或具有域名生成算法( DGA )(与非法僵尸网络有关)常见特征的域名,或者向未授权使用的解析器发送的查询,都是证明网络中存在被感染主机的有力证据。 4.DNS 响应也能显露可疑或恶意数据在网络主机间传播的迹象。例如,DNS响应的长度或组合特征可以暴露恶意或非法行为。例如,响应消息异常巨大(放大攻击),或响应消息的 Answer Section 或 Additional Section 非常可疑(缓存污染,隐蔽通道)。 5.针对自身域名组合的 DNS 响应,如果解析至不同于你发布在授权区域中的 IP 地址,或来自未授权区域主机的域名服务器的响应,或解析为名称错误( NXDOMAIN )的对区域主机名的肯定响应,均表明域名或注册账号可能被劫持或 DNS 响应被篡改。 6.来自可疑 IP 地址的 DNS 响应,例如来自分配给宽带接入网络 IP 段的地址、非标准端口上出现的 DNS 流量,异常大量的解析至短生存时间( TTL )域名的响应消息,或异常大量的包含“ name error ”( NXDOMAIN )的响应消息,往往是主机被僵尸网络控制、运行恶意软件或被感染的表现。 DNS迭代查询是指当客户机向DNS服务器发送请求时,如果该服务器本地没有储存查询的DNS信息,那么它会告诉客户机另一台DNS服务器的地址,客户机在向这台DNS服务器查询DNS信息,依次循环直到返回结果。12 递归查询是指当客户机向DNS服务器发送请求时,要求服务器必须对请求进行处理并予以响应,直接给出最终结果。 DNS迭代查询和递归查询的区别 迭代查询和递归查询的主要区别在于责任的分配方式不同。在迭代查询中,每次查询请求都由客户机发出,对查询的每次响应也直接返回给客户机,如果没有解析到IP地址,将返回一个逻辑上更接近DNS服务器的IP地址,客户机根据这个IP地址继续查询,直到返回最终结果或解析出错。而在递归查询中,接受查询请求的DNS服务器必须对请求进行处理并予以响应,直接给出最终结果。 DNS迭代查询和递归查询的应用场景 在实际应用中,递归查询通常用于本地DNS服务器无法在缓存中找到IP地址的情况,此时本地DNS服务器会向其他DNS服务器发起查询,直到找到最终结果。而迭代查询则更多地用于DNS服务器之间的查询,当一台DNS服务器无法提供所需数据时,它会提供另一台DNS服务器的地址,依次循环直到找到结果
若文字看不懂 可以看看上面图片百度和csdn都比较详细 旨对大家有所帮助
|