声明
本文是学习360 DNS安全白皮书. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们
DNS 攻击研究趋势
DNS 域名系统作为大规模分布式网络,可以抽象为一个有向图。NS 名字服务器和解析器构成图的节点,而 NS 名字服务器和解析器之间的路由则构成了有向图的边。因此加强 DNS 的安全性就是要加强这些节点和边的安全性。节点的安全主要通过安全评估来保证,包括安全漏洞扫描和权威名字服务器可用性测量; 边的安全性则体现在关键路由发现和保护上。此外,DNSSEC 有效配置与平滑过渡、DNS 配置错误检测以及对 DNS 攻击的检测和防御等问题也是未来研究的热点问题。
基于 DNS 系统安全评估
DNS 域名系统安全评估主要是依据“木桶原理”对 DNS 域名系统安全方面进行测评,发现 DNS 域名系统中存在的薄弱环节。另外要对特定 DNS 域名系统请求进行监测,统计其中无效 DNS 请求,分析其对 DNS 系统的影响。具体评估方法包括安全漏洞扫描和权威名字服务器分布探测。
基于 DNS 域名系统关键路由点防护
DNS 域名系统防护关键路由的第一要点为如何定位。DNS 关键路由发现需要对目标 NS 服务器进行分布式路由探测,然后将探测结果进行分析和综合,最终找到大部分路由的汇接点。探测结果的准确性依赖于测试机的分布情况,测试机分布越广泛,探测结果就越准确。通过对 DNS 系统的关键路由进行防护,能够有效分析造成网络时延的成因并定位故障点,极大改善整个互联网的性能和QoS 服务质量,并对互联网关键基础设施的规划建设和