第10章安全问题
本章的内容包括:
• 电子欺骗和域名查询。电子欺骗可以使D N S服务器相信一台不可靠的主机是一台合法
的辅服务器。不道德的黑客用这种技术来获得域区文件的副本,而当内部计算机的地址
被他们知道后,就很容易受到直接的攻击。
• 拒绝服务。大量服务请求涌向一台机器使它不能正常工作,这是某些攻击形式的第一步。
这种情况下的保护是对维持高可用性服务的一个练习。几个D N S相关的配置在这方面会
有所帮助。
• 使用D N S和防火墙。防火墙是一种运行专门软件的计算机或特殊装置,用限制通过它们
的访问来保护一个或多个网络。防火墙的配置变化较大,从专用的的硬件、路由器解决
方案,多台机器的方案到只有一台有两个或更多网卡的机器。要有一个与I n t e r n e t的连
接和一个与内部网或D M Z的连接,D N S根据解析和公共需要作特殊的配置。
• 服务通告。知道有关目标的更多知识通常有助于攻击者探索其弱点。与主机保护和已公
布名字空间中的服务通告相关的问题经常通过限制访问这些公布的内容来解决。D N S和
N e t B I O S名空间是大家都很关注的,但服务记录和L D A P服务增加的因素却是全新的。
• 动态D D N S,这种新能力有很多许诺,也有很多危险。在使用这种动态更新机制时对
Windows 2000 操作系统特有的问题在此作简单的翻新。
• 邮件安全性:S M T P,P O P,I M A P和E x c h a n g e邮件服务器可能遭受多种攻击。介绍若干
比较严重的安全隐患,并建议如何使用DNS MX记录和邮件中继来减少受攻击的可能
性。
• W W W安全性。因为We b服务器和浏览器功能越来越强,使用越来越普遍,也就越来越
可能成为破坏安全性的入口。描述某些We b安全性问题,以及一些可用来防卫的技术。
• F T P安全性。F T P服务器对于通过来传送软件和电子文档是十分有用的,也可We b
服务器中实现和发布。描述和F T P有关的安全问题。
本章并不覆盖设置网络连接到I n t e r n e t时应考虑的所有安全问题。本章的目的是帮助读者
理解这些安全问题和D N S服务的关系。有人说安全性应从设计开始。除非从开始设计,安全
的弱点总是分层的拼凑物,或者通过重新设计实现的。事实上,网络安全不是一件事情,而
是由很多细小的配置部分共同促成的。在说明对公共网络连接的需求和它的风险时,本章把
重点放在D N S上。很多风险必须在内部说明。例如,除了所选择的那些可以引出F T P和
Te l n e t服务器的内部端口。过滤掉所有其他的并不很好。大的企业可以从内部获得效益,在
安全领域实行逻辑分割,并且在这些情况下,在处理公共网络时面临的一些问题也可应用在
内部。
在处理安全问题时,应确保跟上所有新的安全公报、补丁和b u g修正。除了仍与你的提供
商保持联系外,还应该与其他一些企业保持联系,这些企业不一定把重点放在D N S上,但也
发布警告和提供咨询。
10.1 电子欺骗和域名查询
D N S电子欺骗是指黑客进入系统并更改主机的I P映射使之指向虚假的主机。发生这种电
子欺骗的可能性是存在的,但要完全成功也比较难。黑客对D N S服务器攻击的最大危害是破
坏域区信息的完整性,并可能将查询请求转指到其他的主机。有幸的是这类攻击是比较容易
防卫和更正的。
N s l o o k u p、p i n g、t r a c e r o u t e等应用程序可用来确定计算机的信息是否被修改(特别是发
现不属于这个节点或这个域的I P地址)。如果觉得存在问题,可查询其他授权服务器和检查结
果。如果攻击发生在一定时间以前,错误信息可能已经在网络中缓存,但这些信息将会过期
并回到正常的工作状态。如果不能确信你的服务器中是否有错误信息,就用n s l o o k u p反复查
询,并检查它的结果。为了确定被破坏的数据来自缓存还是已进入到域区数据中,可以使用
高级模式在D N S管理控制台中检查,也可以使用D N S C M D . E X E检查,如果问题出在缓冲中,
可以刷新服务器的缓存,重新经过每一个工具。可以停机、重启域区或服务器,强迫从它的
存储中读取域区信息。应该在分析出了破坏点在哪儿以后再采取相应的措施。
当然,这些情况不应该发生,但如果发生了,就需要立即更正。把一个监视器放在合适
的地方、特别是大的域区旁是很重要的。然而,如果可以进行早期探测,攻击的踪迹是新的
并且阻止将来受攻击的可能性将增加。在有些情况下,可以很成功地实现监视,如观察服务
器性能和网络的不正常测量结果比观察域区中被破坏的数据或错误的回答更容易。不要忽视
D N S C M D . E X E,它可以描绘域区数据的传送、可以在一定点与标准数据进行周期性的比较。
困难的是确定黑客是如何或从什么地方侵入系统来进行第一次修改。使用入侵检测软件
包或监听可有助于追查黑客。有很多书籍和资料专门讨论和处理这个问题。
黑客从变换域区可得到的好处是可以将用户引向他们控制的机器。然后,黑客利用这种
设置来获得他想截取的用户注册信息和邮件帐户信息,并利用这些信息侵入网络上的其他主
机。当黑客拿一个未授权的机器作为授权服务器对一个域进行操作时,他就可以通过截取和
回答查询来污染I n t e r n e t上其他名字服务器的缓存。虽然有些保护方法反对这样做,但
Windows2000 DNS服务器可以通过配置保护它的缓存。
减少这种入侵危险的一种方法是使用反向查找来进行验证。如果一台主机想装扮成另一
台服务器,则反向查找可以验证此I P地址是否能回到同一个主机。实际上,有些F T P和H T T P
服务器在允许或连接前就用这种方法进行了验证。为了在你的环境中使用这种保护方法,
最低0.47元/天 解锁文章
09-08
3306
3306
05-01
“相关推荐”对你有帮助么?
-
非常没帮助 -
没帮助 -
一般 -
有帮助 -
非常有帮助
提交
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
