关于DNS及其安全性的学习(一)

最新推荐文章于 2023-11-23 10:26:12 发布
最新推荐文章于 2023-11-23 10:26:12 发布
阅读量714 收藏 2
点赞数
分类专栏: 漏洞复现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/neu_webin/article/details/78509337
版权

除了计算机网络学到的DNS解析方式、第一次深入学习一下DNS的安全相关问题,从最基础的定义、简介开始记录一下学习的过程

0X00 什么是DNS

DNS(Domain Name System,域名系统),因特网上作为域名和IIP地址相互映射的一个分布式数据库,能够使用户更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。通过主机名,最终得到该主机名对应的IP地址的过程叫做域名解析(或主机名解析)。DNS协议运行在UDP协议之上,使用端口号53。在RFC文档中RFC 2181对DNS有规范说明,RFC 2136对DNS的动态更新进行说明,RFC 2308对DNS查询的反向缓存进行说明。

0X01 DNS的功能

每个IP地址都可以有一个主机名,主机名由一个或多个字符串组成,字符串之间用小数点隔开。有了主机名,就不要死记硬背每台IP设备的IP地址,只要记住相对直观有意义的主机名就行了。这就是DNS协议所要完成的功能。
主机名到IP地址的映射有两种方式:
DNS (11张)
1)静态映射,每台设备上都配置主机到IP地址的映射,各设备独立维护自己的映射表,而且只供本设备使用;
2)动态映射,建立一套域名解析系统(DNS),只在专门的DNS服务器上配置主机到IP地址的映射,网络上需要使用主机名通信的设备,首先需要到DNS服务器查询主机所对应的IP地址。
通过主机名,最终得到该主机名对应的IP地址的过程叫做域名解析(或主机名解析)。在解析域名时,可以首先采用静态域名解析的方法,如果静态域名解析不成功,再采用动态域名解析的方法。可以将一些常用的域名放入静态域名解析表中,这样可以大大提高域名解析效率。
这里总结一下大概功能就是通过域名递归查询找到相应的IP地址,这样访问的时候不需要记住复杂的IP地址而只需要通过好记的域名就可以准确通信
Mr_BeanX
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用DNS名称作为安全性依据的漏洞优化
Hello World
09-07 5233
漏洞 问题描述:程序中采用DNS名称进行安全认证,但DNS名称是容易被攻击者进行欺骗的。 许多 DNS 服务器都很容易被攻击者欺骗,所以应考虑到某天软件有可能会在有问题的 DNS 服务器环境下运行。如果允许攻击者进行 DNS 更新(有时称为 DNS 缓存中毒),则他们会通过自己的机器路由您的网络流量,或者让他们的 IP 地址看上去就在您的域中。勿将系统安全寄托在 DNS 名称上。 例如...
网络安全知识入门.docx
06-09
在实际的学习中,我发现直接上手去学习效率并不是很好,因为网络安全也有很多的专业名词是不了解的所以在系统的学习之前对本文可能涉及到的专业名词做一个解释很有必要。 网络安全知识入门全文共18页,当前为第2页。...
IP地址获取问题(InetAddress.getLocalHost().getHostAddress())
热门推荐
風的博客
03-07 2万+
JDK1.7+Tomcat7.0+Eclipse+SSM+Bootstrap 看来还是有人遇到和我一样的问题!!!(每次进入某管理,就会去Controller的index2方法,里面调用日志Service的add方法) 我当前的IP地址应该是:“192.168.90.218”(下图显示了),却是:“169.254.226.193”!!! 在数据库里:(真的新增了“169...
网络安全知识(1).doc
06-09
网络安全知识入门 下面是对于网络安全的一些了解。 网络安全的知识体系非常庞大,想要系统的完成学习非简单的几天就可以完成的。所以 这篇文章是以实际需求为出发点,把需要用到的知识做系统的串联起来,形成知识体系 ,便于理解和记忆,使初学者可以更快的入门。 1、什么是网络安全 首先我们要对网络安全有一个基本的概念。网络安全是指网络系统的硬件、软件及其系 统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连 续可靠正常地运行,网络服务不中断。简单来说就是,保护网络不会因为恶意攻击而中 断。了解了网络安全的职责,我们就可以从网络攻击的方式,网络攻击检测手段等几个 方面来处理。在实际的学习中,我发现直接上手去学习效率并不是很好,因为网络安全 也有很多的专业名词是不了解的所以在系统的学习之前对本文可能涉及到的专业名词做 一个解释很有必要。 2、网络安全名词解释 1. IRC服务器:RC是Internet Relay Chat 的英文缩写,中文一般称为互联网中继聊天。IRC的工作原理非常简单,您只要在自己的 PC上运行客户端软件,然后通过因特网以IRC协议连接到一台IRC服务器上即可。它的特 点是速度非常之快,聊天时几乎没有延迟的现象,并且只占用很小的带宽资源。 2. TCP协议:TCP(Transmission Control Protocol 传输控制协议)是一种面向连接的、可靠的、基于字节流的传输层通信协议。TCP的安全 是基于三次握手四次挥手的链接释放协议(握手机制略)。 3. UDP协议:UDP 是User Datagram Protocol的简称,UDP协议全称是用户数据报协议,在网络中它与TCP协议一样用于处理 数据包,是一种无连接的协议。其特点是无须连接,快速,不安全,常用于文件传输。 4. 报文:报文(message)是网络中交换与传输的数据单元,即站点一次性要发送的数据块。 报文包含了将要发送的完整的数据信息,其长短很不一致,长度不限且可变。 5. DNSDNS(Domain Name System,域名系统),因特网上作为域名和IP地址相互映射的一个分布式数据库,能够 使用户更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。DNS协议运行 在UDP协议之上,使用端口号53。DNS是网络攻击中的一个攻击密集区,需要重点留意。 6. ICMP协议:ICMP是(Internet Control Message Protocol)Internet控制报文协议。它是TCP/IP协议族的一个子协议,用于在IP主机、 路由器之间传递控制消息。 7. SNMP协议:简单网络管理协议(SNMP),由一组网络管理的标准组成,包含一个应用层 协议(application layer protocol)、数据库模型(database schema)和一组资源对象。该协议能够支持网络管理系统,用以监测连接到网络上的设 备是否有任何引起管理上关注的情况。 8. 僵尸病毒:僵尸网络病毒,通过连接IRC服务器进行通信从而控制被攻陷的计算机。僵尸 网络(英文名称叫BotNet),是互联网上受到黑客集中控制的一群计算机,往往被黑客用 来发起大规模的网络攻击。僵尸病毒的目的在我看来是黑客在实施大规模网络攻击之前 做好准备工作,提供大量可供发起攻击的"僵尸电脑"。 9. 木马病毒:木马(Trojan),也称木马病毒,是指通过特定的程序(木马程序)来控制另 一台计算机。"木马"程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我 繁殖,也并不"刻意"地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种 木马者提供打开被种主机的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远 程操控被种主机。木马病毒对现行网络有很大的威胁。 10. 蠕虫病毒:蠕虫病毒,一种常见的计算机病毒。它的传染机理是利用网络进行复制和传 播,传染途径是通过网络和电子邮件。。对于蠕虫,现在还没有一个成套的理论体系。 一般认为:蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性、 隐蔽性、破坏性等等,同时具有自己的一些特征,如不利用文件寄生(有的只存在于内 存中),对网络造成拒绝服务,以及和黑客技术相结合,等等。 3、常见网络攻击方式 网络攻击的方式多种多样,本文就以其中六种常见的攻击方式来做分析和了解。 3.1半连接攻击 众所周知TCP的可靠性是建立在其三次握手机制上面的,三次握手机制如果没有正常完成 是不会正常连接的。半连接攻击就是发生在三次握手的过程之中。如果A向B发起TCP请求 ,B也按照正常情况进行响应了,但是A不进行第3次握手,这就是半连接攻击。实际上半 连接攻击时针对的SYN,因此半连接攻击也叫做SYN攻击。SYN洪
软考网工选择题易错总结(2018上~2022下)
weixin_69884785的博客
10-15 6580
软考网工选择题易错总结(2018上~2022下)5年真题,2023之前已总结过,附链接,点击即可跳转,复习为主
修复安全问题
翱翔于知识的天空
07-15 2413
目录 一、高等级缺陷 1.输入验证:重定向 2.输入验证:路径遍历 二、中等级缺陷 1.API误用:使用DNS名称作为安全性的依据 2.输入验证:日志伪造 3.密码管理:不安全的随机数 待补充...
DNS的解析,查询,调度原理是什么?什么是DNS劫持,污染?如何监控?
DeveloperFire的博客
01-29 1755
其工作方式是:由于通常的DNS查询没有任何认证机制,而且DNS查询通常基于的UDP是无连接不可靠的协议,因此DNS的查询非常容易被篡改,通过对UDP端口53上的DNS查询进行入侵检测,一经发现与关键词相匹配的请求则立即伪装成目标域名的解析服务器(NS,Name Server)给查询者返回虚假结果。假设该域名的业务方希望缩短切换的时间,正确的做法是,至少提前5个小时修改记录,仅改小 TTL,例如改为5分钟,等待该变更同步到全网之后,再进行修改指向的操作,确认无误再将 TTL 修改为原本的值。
阿里巴巴规约扫描、奇安信扫描bug修改建议
look_word的博客
12-23 3633
阿里巴巴规约扫描、奇安信扫描bug修改建议
应用软件安全编程--27避免使用 DNS 名称作为安全性的依据
最新发布
奔跑的老吴
11-23 208
对避免使用DNS 名称作为安全性的依据的情况,示例给出了不规范用法(Java 语言)示例。程序中采用DNS 名称进行安全认证,但 DNS 名称是容易被攻击者进行欺骗的。以上代码片段中,如果发生 DNS 欺骗,会绕过安全验证。不要依赖 DNS 名称进行安全认证。
java dns ip_Java – 按名称DNS获取IP地址(?)
weixin_39937524的博客
02-12 178
我的问题如下:我有一个java程序,一个服务器,正在等待来自客户端的TCP连接.问题是,服务器用于等待连接的IP地址可能随时间而变化……所以我希望客户能够以某种方式获得这个地址.我想我需要配置一些DNS服务器,但我不确切知道如何.如果免费提供此类服务等…所以我认为它会像这样工作:服务器启动时获取其IP.然后访问一些DNS(?)服务以使此IP可用.那么客户端就会生成像getByName这样的东西,看...
用getAddress方法获得IP地址
王军辉的专栏
05-05 2553
Java编程基础:用getAddress方法获得IP地址  发布时间:2009.04.22 04:51     来源:blogjava    作者:blogjavagetAddress方法和getHostAddress类似,它们的唯一区别是getHostAddress方法返回的是字符串形
基于eNSP加防火墙的千人中型校园/企业网络规划与设计(附所有配置命令)
06-04
文件中包含了基于eNSP加防火墙的千人中型校园/企业网络规划与设计的topo图及其完整的配置(2份 区别就是第二个加了无线网络规划设计(WIFI))(三层架构,核心层、汇聚层、计入层),并加所有的配置命令(以txt形式在...
awesome-k8s-security:精选的Kubernetes安全资源清单
03-30
与Kubernetes的安全性有关的所有内容(及其组件,例如CoreDNS等),无论是学习,破坏还是防御,都将在下面添加。 如果您还有其他良好的链接或建议,请随时提交PR! 基础 要了解...
计算机网络技术(第六版)课程标准.doc
05-25
任务:通过学习,使学生掌握计算机网络的工作原理,理解计算机网络的一系列标 准和协议,了解计算机网络的新技术,为计算机网络的应用和信息系统的建设打下坚实 的基础。 (二)课程教学的基本要求 通过本课程的...
嗅探工具 --- wireshark、tcpdump、dsniff、ettercap、bettercap、netsniff-ng
墨鱼菜鸡
07-11 4521
最好的 MitM 中间人攻击开源框架清单:https://github.com/Chan9390/Awesome-MitM 哔哩哔哩:https://search.bilibili.com/all?keyword=wireshark 1、WireShark WireShark 是一个开源免费的高性能网络协议分析软件,它的前身就是非常著名的网络分析软...
网络知识面试题
Misszhoudandan的博客
08-10 169
安全性(1)get 请求是不安全的,因为在传输过程,数据被放在请求的 url 中;post 请求的所有操作对用户来说都是不可见的。但是这种说法也不是绝对的,也可以在 get 请求加上 request body,给 post 请求带上 url 参数。请求长度限制(2)get 请求提交的 url 中的数据最多只能是几千个字节,这个限制是浏览器或者服务器给添加的,http协议并没有对 url 长度进行限制,目的是为了保证服务器和浏览器能够正常运行,防止有人恶意发送请求;
内网渗透DNS欺骗横向传播后门及控制
qq_28617309的博客
06-25 1080
内网渗透DNS欺骗横向传播后门及控制 by : blue_chocolate 未经作者授权禁止转载 摘要 “没有绝对安全的系统”伴随着科技发展,计算机广泛应用到社会事务和生活的各个方面,用户借助网络信息的共享性改变传统事务的处理方式,提高了工作效率,在带给人们快捷、方便的同时,也让社会面临着严峻的挑战,个人私密信息泄露、截获、篡改、伪造等各类网络安全问题层出不穷,威胁着个人的信息安全和社会的秩序稳定,使得我们在享受便利的同时,还要承受风险和威胁。 计算机犯罪案件逐年递增,计算机犯罪对.
Fortify安全扫描Java Android 代码审计 问题及解决方案整理
Swallow的博客
10-16 7440
Access Control: SecurityManager Bypass Explanation 使用通过即时调用者的类加载器检查执行任务的 Java API 时应小心谨慎。这些 API 会绕过可确保已向执行链中的所有调用者授予了必需安全权限的 SecurityManager 检查。由于这些 API 可能会削弱系统安全性,因此不应在不可信认的代码上调用它们。 在这种情况下: 1. 可以通过...
哪个软件包可以提高dns服务的安全性
06-14
DNSSEC(Domain Name System Security Extensions)是一种可以提高DNS服务安全性的软件包。DNSSEC可以提供数据完整性、身份验证和防篡改功能,有效地解决DNS缓存污染、DNS欺骗、DNS重放攻击等问题,增强了DNS服务的安全性和可靠性。 DNSSEC使用数字签名技术来保证DNS数据的完整性和身份验证。它通过对DNS数据进行数字签名,来验证DNS响应是否被篡改过或伪造过,从而防止DNS缓存污染和欺骗攻击。 在使用DNSSEC之前,需要在DNS域名服务器和客户端上安装相应的软件包,并进行相应的配置。常用的DNSSEC实现包括BIND、PowerDNS、Unbound等。在配置DNSSEC时,需要生成密钥和签名,设置安全策略等,才能确保DNSSEC的有效性和安全性。 因此,可以说DNSSEC是一种可以提高DNS服务安全性的软件包。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值