有关DNS的几个安全性问题

最新推荐文章于 2024-08-06 17:24:04 发布
最新推荐文章于 2024-08-06 17:24:04 发布
阅读量2.3k 收藏 2
点赞数
文章标签: 运维
原文链接:http://www.cnblogs.com/F4ncy/archive/2005/01/03/85766.html
版权
本文探讨了DNS服务的四个安全问题:1) named服务程序缺陷;2) 区域文件泄露;3) DNS抑制;4) 本地DNS文件欺骗。作者通过实例解释了这些威胁,提出了解决方案,如更新服务程序、限制查询权限、使用加密信道和保护本地DNS对照表。
摘要由CSDN通过智能技术生成

有关DNS的几个安全性问题

作者:demonalex

在TCP/IP架构中最不安全的莫过于应用层的数据安全了,什么程序/操作系统远程缓冲区溢出、脚本注入都发生在这一层,知道它如何不安全了吧?!今天我想谈谈的也是在这一层的、与各位日常的网迷们息息相关的协议----DNS服务的安全性问题。

最近总结出的有四种出于DNS服务而考虑的安全问题。
1)named服务程序本身的缺陷问题
2)区域文件泄露问题
3)DNS抑制
4)本地DNS文件欺骗
上述的第一、二种威胁是针对DNS服务器,而三、四种则属于针对DNS客户端的。

named服务程序本身的缺陷主要是指该服务的开发者在开发的阶段因为不注意而导致该服务在应用层方面出现类型缓冲区溢出导致攻击者得到ROOTSHELL或D.o.S导致服务或系统出错瘫痪之类的问题,相关缺陷的详细资料可以查阅当地的cert网站。勤加补丁或升级named服务程序是针对这个问题的最佳解决方法了。

区域文件泄露的问题很久以前就出现的了。状态是当客户端使用类似nslookup这样的工具更换主查询DNS服务器以后,该主服务器会以为客户端是本地的从DNS服务器,从而允许客户端查询整个DNS区域文件的内容的。下面是一个典型例子(/**/为解说部分):
------------------------------------------------------------------------------------------------------
C:\>nslookup
Default Server: tempdns2.guangzhou.gd.cn
Address: 61.144.56.101

> set q=all                          /*这里设置查询为全部*/
> super1.com.cn
Server: tempdns2.guangzhou.gd.cn
Address: 61.144.56.101

Non-authoritative answer:
super1.com.cn
    primary name server = ns.xinnetdns.com        /*在这里得到了该域的主域名服务器地址*/
    responsible mail addr = hostmaster.xinnetdns.com
    serial = 1090836369
    refresh = 3600 (1 hour) <

最低0.47元/天 解锁文章
weixin_30588729
关注
增强DNS安全性的措施
weixin_45486362的博客
04-13 1072
选择没有缺陷的DNS版本 (2) v8,曾经使用最多最广的版本,其详细内容可以参阅“BIND8+域名服务器安全增强” (3)v9,最新版本的BIND,全部重新写过,免费(但是由商业公司资助),BIND9在2000年10月份推出,根据调查v9版本的BIND是最安全的,它的最新安全版本在其官方网站http://www.isc.org/上,下 载源代码安装即可。例如,Linux 系统针对拒绝服务攻击只要...
使用DNSObserver检测DNS相关的安全漏洞
focus on security
05-18 258
DNSObserver是个功能强大的DNS服务,可以帮助我们检测各种类型的盲注漏洞。 它可以监控渗透测试人员所搭建服务器的带外DNS交互信息,并通过Slack发送查询通知。 DNSObserver可以帮助我们寻找的漏洞包括操作系统给盲注漏洞、SQL盲注漏洞和XXE盲注漏洞等。 安装 1. 注册一个自己的域名。 2. 搭建一台虚拟专用服务器VPS来运行脚本。 3. Slack工作空间和一个Webhook。 域名和DNS配置 如果你还没有自己的虚拟专用服务器,可以使用你熟悉的服务提供商创建.
DNS安全概述
最新发布
2401_84466361的博客
08-06 779
举个例子:现在很多服务都是托管在云上面,如果一个子域名曾经使用过,并且对外提供了服务,在下线服务的时候没有移除相应的DNS记录,同一个云上的其他用户就有可能使用原服务相同的公网IP。DoH,是一个通用服务,用于增强DNS本身的安全性。当用户对某个域名发起解析请求时,DNS服务器首先会在自身DNS缓存中查看是否有对应的结果,如果命中结果,会直接告知客户端,无需进行全球解析查询。也有一些运营商,出于某种目的,会支持DNS流量,但是其提供的硬件资源不够,引起DNS解析异常缓慢甚至超时,严重影响用户体验。
您需要知道的10件与DNS安全有关的事情
Purpleendurer@CSDN
09-14 2777
Ten things you should know about securing DNS您需要知道的10件与DNS安全有关的事情by  Dr. Thomas Shinder MCSE 作者:Thomas Shinder博士 微软认证系统工程师翻译:endurer 2005.09.14第一稿Keywords:  Security | TCP/IP | Network security 关键字:安全
DNS的主要缺陷
ipbaobao的专栏
11-03 736
 近日有关DNS最大的新闻,莫过于ICANN正式批准正式支持包括汉语、阿拉伯文等在内的非拉丁语,来之不易。 80年底初发明DNS的主要原因是随着互联网上主机数量的不断上升,通过本地的hosts.txt文件找到对方越来越困难,也越来越不可靠。DNS成功解决了这一问题,总体看很健壮,规模应用的扩展性也很好,也很容易延伸到一些新的领域(如IPv6, E.164)。 作为互联网关键基础
DNS协议工作过程;DNS安全隐患
weixin_30496431的博客
05-28 690
DNS协议工作过程   下面以域名为m.xyz.com的主机欲通过另一个主机的域名y.abc.com的IP地址为例,简述DNS协议过程。 主机m.xyz.com先向其本地服务器dns.xyz.com进行递归查询。 本地域名服务器先查询高速缓存,如果不久前已经查询过域名y.abc.com的IP,那么本地域名服务器就不必向根域名服务器查询,而是直接把高速缓存中存放的上次查询的结果(即y.abc.co...
使用DNS名称作为安全性依据的漏洞优化
Hello World
09-07 5437
漏洞 问题描述:程序中采用DNS名称进行安全认证,但DNS名称是容易被攻击者进行欺骗的。 许多 DNS 服务器都很容易被攻击者欺骗,所以应考虑到某天软件有可能会在有问题DNS 服务器环境下运行。如果允许攻击者进行 DNS 更新(有时称为 DNS 缓存中毒),则他们会通过自己的机器路由您的网络流量,或者让他们的 IP 地址看上去就在您的域中。勿将系统安全寄托在 DNS 名称上。 例如...
DNS安全与稳定性
Kim_Weir的专栏
06-03 4402
DNS安全与稳定性1. 域名劫持域名劫持一直是困扰许多开发者的问题之一,其表现即域名A应该返回的DNS解析结果IP1被恶意替换为了IP2,导致A的访问失败或访问了一个不安全的站点。下面我们一起看看几种常见的域名劫持的场景。一种可能的域名劫持方式即黑客侵入了宽带路由器并对终端用户的Local DNS进行篡改,指向黑客自己伪造的Local DNS,进而通过控制Local DNS的逻辑返回错误的IP信息...
提示dns服务错误怎么办 dns错误问题多种解决方法
10-01
解决DNS错误问题通常可以从以下几个方面着手: 1. **检查网络连接**:确保电脑已经正确连接到网络,如果使用的是无线网络,检查是否连接到正确的Wi-Fi网络,并确认网络信号稳定。 2. **刷新DNS缓存**:在Windows...
多活主备选择性DNS解析(一个域名对应多个IP)
热门推荐
追逐丶的博客
04-24 1万+
多活主备选择性DNS问题背景知识背景DNS解析存在多级缓存(此处仅列举到DNS服务器层;后续流程不涉及)DNS一对多域名的解析随机性DNS 域名解析负载均衡缺点:可能方案方案一、dns解析层面控制DNS解析结果1.1 通过内置DNS服务器控制IP解析(伪造DNS)1.2、让备机nginx的状态能够影响DNS服务器解析方案二、在DNS解析到备机后,提供备机跳转解决方案2.1 、在访问到备站点后,前端使用脚本/在备机nginx层进行域名重定向2.1.1 nginx层控制2.1.2 备机页面脚本层控制2.1.3
如何防护服务器安全?DNS服务器知识讲解
ic2121的博客
04-19 421
服务器是信息社会不可缺少的设备,任何网络服务都需要通过服务器提供服务。为增进大家对服务器的认识,本文将对服务器的安全防护以及DNS服务器的相关知识予以介绍。如果你对服务器具有兴趣,不妨和小编一起继续往下阅读哦。 一、服务器安全怎么防护 那么,我们应该怎么做,来做好服务器安全防护,来抵御网络攻击等风险呢?在这里跟大家分享几点经验: 1.制定内部数据安全风险管理制度 制定公司内部数据泄露和其他类型的安全风险协议,包括分配不同部门以及人员管理账号、密码等权限,定期更新密码避免被黑客盗取,以及其他可行措
安全DNS安全隐患谁来承担?
DNSPod
02-13 148
DNS防“猝死”秘诀网络安全问题一直是互联网技术的难点,而DNS安全又是互联网访问中重要而又不可或缺的一个环节。DNS是域名和IP地址相互映射的一个分布式数据库,能够使人更方便的访问互联...
DNS注意事项
weixin_33953249的博客
09-09 253
 1.DC与BDC上都安装DNS服务,而不是只在一台服务器上启用,防止DNS解析错误,为DNS解析提供冗余功能。   2.DC本机DNS服务器设置为自己的IP地址,BDC本机DNS服务器也设置为自己的IP地址。   3.DC辅助DNS服务器地址要设置为BDC的地址,相应的BDC上的辅助DNS服务器地址要设置为DC的IP地址。 转载于:https://blog.5...
运维安全需要注意的几个方面
weixin_34038652的博客
12-08 1478
截图:http://os.51cto.com/art/201509/491589.htm
信息安全DNS欺骗详解
lzhdim的专栏
02-11 403
  现在的Internet上存在的DNS服务器有绝大多数都是用bind来架设的,使用的bind版本主要为bind 4.9.5+P1以前版本和bind 8.2.2-P5以前版本.这些bind有个共同的特点,就是BIND会缓存(Cache)所有已经查询过的结果,这个问题就引起了下面的几个问题的存在.   1&gt;.DNS欺骗   在DNS的缓存还没有过期之前,如果在DNS的缓存中已经存在的记...
运维人员应该时刻谨记的十大安全法则
weixin_34005042的博客
10-10 248
网站安全问题可以说是现在最引人关注的问题。本文介绍了十条措施维护网站安全最低限度需要做到的事情,主要是给大家提供思路,为广大运维人员提供参考。这十条措施涉及到用户身份验证、数据加密传输、子网划分、灾难备份等多个方面的内容。   网站前端防护   措施1:网站用户的身份认证   一般可以采用用户名+密码验证,确认用户登录身份,并根据数据库中预设的权限,向用户展...
DNS服务器的安全措施都有哪些?
oldboyedu1的博客
11-23 1537
只缓冲DNS服务器是针对未授权域名的,它被用作递归查询或者使用转发器。随着时间推移,只缓冲DNS服务器可以收集大量的DNS反馈,这能极大地缩短它提供DNS响应的时间。当网络中的客户机使用这台DNS服务器去解析techrepublic.com时,这台DNS服务器通过向其他DNS服务器查询来执行递归以获得答案。DNS转发器是为其他DNS服务器完成DNS查询的DNS服务器。使用DNS转发器的主要目的是减轻DNS服务器处理的压力,把查询请求从DNS服务器转给转发器,从DNS转发器潜在的更大的DNS高速缓存中受益。
部署企业的DNS服务需注意的地方及遇到问题解决的方法
Wxlxunxuan的博客
06-13 746
前言在部署企业的DNS服务器的时候细心,不然容易忽略小的细节,容易出差错,这关于企业的项目的进程发展,所以一定要足够细心,如若出现了问题也要及时处理。一.dns的介绍DNS是Domain Name System(域名系统)的缩写,域名虽然便于人们记忆,但计算机只能通过IP地址来通信,域名和IP地址之间的转换工作称为域名解析,域名解析需要由专门的域名解析服务器来完成,DNS就是进行域名解析的服务器。二.配置的过程中需注意的地方(1)需从纯净版的虚拟机克隆出两台虚拟机(分别命名服务器和客户端)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值