【期末复习】北京邮电大学《网络安全》课程期末复习笔记(5. DNS安全)

已于 2022-10-01 22:25:20 修改
阅读量551 收藏
点赞数
文章标签: 安全 网络 网络安全
于 2022-09-30 21:05:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46440934/article/details/127129127
版权

【相关博客链接】

【期末复习】北京邮电大学《网络安全》课程期末复习笔记(1. 网络安全概述)

【期末复习】北京邮电大学《网络安全》课程期末复习笔记(2. 恶意代码)

【期末复习】北京邮电大学《网络安全》课程期末复习笔记(3. ARP攻击)

【期末复习】北京邮电大学《网络安全》课程期末复习笔记(4. 拒绝服务攻击)

【期末复习】北京邮电大学《网络安全》课程期末复习笔记(6. 网络安全扫描)

【期末复习】北京邮电大学《网络安全》课程期末复习笔记(7. 防火墙)

【期末复习】北京邮电大学《网络安全》课程期末复习笔记(8. 入侵检测系统)

【期末复习】北京邮电大学《网络安全》课程期末复习笔记(9. 虚拟专用网络)

【期末复习】北京邮电大学《网络安全》课程期末复习笔记(10. 应用安全PGP)

【期末复习】北京邮电大学《网络安全》课程期末复习笔记(11. 社会工程学)

5. DNS安全

5.1. DNS 工作流程

  1. 递归查询:一般客户机和服务器之间是递归查询,DNS服务器如果未能在本地找到相应的信息,就代替用户向其它服务器进行查询,这时它是代替用户扮演了解析器(resolver)的角色,直到最后把结果找到,也可能根本没有结果,那就返回错误,并返回给用户为止
  2. 反复查询(迭代查询):一般服务器之间属于反复查询。DNS服务器返回的要么是本地存在的结果信息,要么是一个错误码,告诉查询者你要的信息这里没有,然后再返回一个可能会有查询结果的DNS服务器地址,让查询者到那里去查一查
  3. 在这里插入图片描述

5.2. DNS安全威胁

  1. dns协议报文格式

  2. 在这里插入图片描述

  3. DNS应答包被客户端接受需要满足以下五个条件

    1. 应答包question域和请求包question域的域名信息一致
      1. Questions: 表示查询问题区域节的数量
    2. 应答包的Transaction ID和请求包中的Transaction ID一致
      1. 会话标识(2字节):是DNS报文的ID标识,对于请求报文和其对应的应答报文,这个字段是相同的,通过它可以区分DNS应答报文是哪个请求的响应
    3. 应答包的源IP地址与请求包的目的IP地址一致(指定对方IP地址)
    4. 应答包的目的IP地址和端口与请求包的源IP地址和端口一致(指定自己的IP和端口)
    5. 第一个到达的符合以上四个条件的应答包

  4. 从以上五个条件可以看出,最初设计DNS时没有考虑它的安全问题,这导致DNS协议存在很多漏洞,这使得DNS很容易受到攻击

  5. DNS的安全漏洞主要体现在以下三个方面

    1. DNS报文只使用序列号来进行有效性鉴别,序列号由客户程序设置并由服务器返回结果,客户程序通过它来确定响应与查询是否匹配,这就引入了序列号攻击的危险
    2. 从协议定义上来看,在DNS应答报文中可以附加信息,该信息可以和所请求的信息没有直接关系,这样,攻击者就可以在应答中随意添加某些信息,如:指示某域的权威域名服务器的域名及IP,导致在被影响的域名服务器上查询该域的请求都会被转向攻击者所指定的域名服务器上去,从而对网络的完整性构成威胁
    3. DNS的缓存机制,当一个客户端/DNS服务器,收到有关域名和IP的映射信息时,它会将该信息存放在缓存中,当再次遇到对此域名的查询请求时就直接使用缓存中的结果而无需重新查询。可以通过ipconfig /displaydns命令查看本地DNS缓存信息

  6. DNS欺骗攻击流程

    1. 针对某个客户端进行攻击,伪造answer,使得这个客户端访问我们指定的IP地址

  7. DNS下毒攻击流程

    1. 针对本地DNSserver,伪造其他DNS服务器的answer,从而该DNSserver缓存了这个伪造的answer,这样,在其他客户机向本地DNSserver查询这个域名的时候,就会访问我们指定的IP地址

  8. 缓冲区溢出攻击

    1. 攻击者构造特定的畸形数据包来对DNS服务器进行缓冲区溢出攻击

    2. 危害

      1. 更改MX记录,造成邮件被截获、修改或删除
      2. 更改A记录,将www服务器的域名指向黑客具有的同样www 内容的主机,诱使访问者登陆,获取访问者的密码等相关信息
      3. 利用这台主机作为攻击其他机器的跳板

    3. 拒绝服务攻击: 域名无法解析为IP地址,用户无法访问互联网

  9. DNS安全防范

    1. 选择安全的没有缺陷的BIND版本
    2. DNS服务器配置正确可靠
      1. 隔离DNS服务器: DNS服务器上不应该再运行其他服务
      2. 为BIND创建chroot: chroot是指更改某个进程所能看到的根目录,即将某进程限制在指定的目录中,保证该进程只能对该目录及其子目录有所动作,从而保证整个服务器的安全
      3. 隐藏BIND版本号
      4. 请求限制
      5. 限制区传送
      6. 关闭动态更新
_Seesth_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
2020-10-27
weixin_43627314的博客
10-27 1597
DNS报文格式解析 DNS 分为查询请求和查询响应,请求和响应的报文结构基本相同。DNS 报文格式如图所示。 上图中显示了 DNS 的报文格式。其中,事务 ID、标志、问题计数、回答资源记录数、权威名称服务器计数、附加资源记录数这 6 个字段是DNS的报文首部,共 12 个字节。 整个 DNS 格式主要分为 3 部分内容,即基础结构部分、问题部分、资源记录部分。下面将详细地介绍每部分的内容及含义。 基础结构部分 DNS 报文的基础结构部分指的是报文首部,如图所示。 该部分中每个字段含义如下。 事务 I
BUPT CS:APP lab 3 缓冲区溢出攻击实验
Hush
11-21 4051
用tar -xvf target.tar指令解压接收到的文件,用objdump -d target/ctarget > ctarget.txt指令和objdump -d target/rtarget > rtarget.txt指令生成反汇编代码文件,然后开始分析。 Phase_1 阅读实验讲义可知,本关要使得getbuf()函数返回的时候,执行touch1()而...
缓冲区溢出攻击实验
热门推荐
blackturtle的博客
05-26 2万+
又一个计系系统的实验。
缓存区溢出攻击实验(3)
PTkin的博客
03-28 3496
缓存区溢出攻击实验(3)本实验预计分 3 个小实验来做,本文是第三个实验。
BUPT CSAPP lab3 缓冲区溢出
qq_52606374的博客
03-24 3712
一、实验目的 1.理解C语言程序的函数调用机制,栈帧的结构。 2.理解x86-64的栈和参数传递机制 3.初步掌握如何编写更加安全的程序,了解编译器和操作系统提供的防攻击手段。 3.进一步理解x86-64机器指令及指令编码。 二、实验环境 1.SecureCRT(10.120.11.12) 2.Linux 3.Objdump命令反汇编 4.GDB调试工具 5.。。。。。 三、实验内容 登录bupt1服务器,在home目录下可以找到一个targetn.tar文件,解压后得到如下文件: README.txt;
期末复习北京邮电大学网络安全课程期末复习笔记(4. 拒绝服务攻击)
weixin_46440934的博客
09-30 787
1. 每个机器都需要为半开连接分配一定的资源 2. 这种半开连接的数量是有限制 3. 共计方利用TCP连接三次握手过程,打开大量的半开TCP连接 4. 目标机器不能进一步接受TCP连接。机器就不再接受进来的连接请求 5. 攻击细节 1. 连接请求是正常的,但是,**源IP地址往往是伪造**的,并且是一台**不可达**的机器的IP地址,否则,被伪造地址的机器会重置这些半开连接 2. 一般,半开连接超时之后,会自动被清除,所以,攻击者的系统发出SYN包的速度要比目标机器清除半开连接的速度要快
期末复习北京邮电大学网络安全课程期末复习笔记(8. 入侵检测系统)
weixin_46440934的博客
10-01 1246
1. 入侵检测是从计算机网络或计算机系统中的若干关键点**搜集**信息并对其进行**分析**,从中**发现**网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种机制 8.2. 入侵检测功能 1. 监控、分析用户和系统活动 2. 发现入侵企图或异常现象 3. 记录、报警和响应 4. 审计系统的配置和弱点、评估关键系统和数据文件的完整性等
期末复习北京邮电大学网络安全课程期末复习笔记(11. 社会工程学)
weixin_46440934的博客
10-01 1032
1. 社会工程学是指,通过自然的、社会的和制度上的途径,利用人的**心理弱点**(如人的本能反应、好奇心、信任、贪婪)以及**规则制度上的漏洞**,在攻击者和被攻击者之间建立起**信任**关系,获得有价值的信息,最终可以通过**未经授权**的路径访问需要经过授权才能访问的资源 2. 社会工程学攻击与传统攻击的区别 1. 利用人的弱点 2. 关键:建立信任关系 3. 攻击行为难以通过技术措施进行防范 4. 通常是一个许多步骤组合在一起的攻击行为
期末复习北京邮电大学网络安全课程期末复习笔记(1. 网络安全概述)
dzqxwzoe的博客
01-27 795
保护(Protection)采用一切手段(主要指静态防护手段)保护信息系统的五大特性检测(Detection)检测本地网络安全漏洞和存在的非法信息流,从而有效阻止网络攻击响应(Reaction)对危及网络安全的事件和行为做出反应,阻止对信息系统的进一步破坏并使损失降到最低恢复(Restore)及时恢复系统,使其尽快正常对外提供服务,是降低网络攻击造成损失的有效途径信息保障阶段不仅包含安全防护的概念,更重要的是增加了主动和积极的防御观念。
北京邮电大学-数字信号处理-期末复习资料.pdf
06-17
北京邮电大学-数字信号处理-期末复习资料
北京邮电大学-数字广播-期末复习资料.pdf
06-17
北京邮电大学-数字广播-期末复习资料
北京邮电大学《软件工程》期末考试试卷期末复习资料.pdf
06-17
北京邮电大学《软件工程》期末考试试卷期末复习资料
北京邮电大学《物流》期末考试复习知识点.pdf
06-17
北京邮电大学《物流》期末考试复习知识点
北京邮电大学《数据库》期末复习资料.pdf
08-17
北京邮电大学《数据库》期末复习资料.pdf 本资源摘要信息涵盖了数据库系统的基本概念、数据库设计、数据模型、关系代数、SQL语言、数据库安全、数据独立性等多方面的知识点。 1. 数据库系统的基本概念: 实体-联系...
红队内网攻防渗透:内网渗透之内网对抗:横向移动篇&Kerberos&委派安全&非约束系&约束系&RBCD资源系&Spooler利用
最新发布
HACKONE的博客
06-23 87
机器A(域控)访问具有非约束委派权限的机器B的服务,会把当前认证用户(域管用户)的的TGT放在ST票据中,一起发送给机器B,机器B会把TGT存储在lsass进程中以备下次重用。简而言之,非约束委派是指用户账户将自身的TGT转发给服务账户使用。委派是一种域内应用模式,是指将域内用户账户的权限委派给服务账号,服务账号因此能以用户的身份在域内展开活动(请求新的服务等),类似于租房中介房东的关系去理解。攻击者拿到了一台配置非约束委派的机器权限,可以诱导域管来访问该机器,然后得到管理员的TGT,从而模拟域管用户。
在物联网设备安全中,如何有效进行固件更新管理?
2403_84237550的博客
06-17 433
• 更新后持续监控设备状态,评估更新效果,及时发现并解决更新带来的新问题。在物联网设备安全中,有效进行固件更新管理是一个关键环节,涉及到多个步骤和策略,以确保更新过程既安全又高效。• 在部署固件更新前,进行全面的安全验证和兼容性测试,确保更新包的来源可靠,未被篡改,并且不会影响设备的正常运行。• 记录每次固件更新的详细信息,包括更新时间、版本号、更新内容和操作人员等,以便追溯和审计。• 加强用户对固件更新重要性的认识,教育用户如何正确执行和验证更新,提升整体安全意识。
安全】Linux Fanotify使用入门
追寻梦想的青春
06-19 816
fanotify是另一种文件监控机制,在使用上两者类似,都是先调用init函数初始化句柄,然后调用类似watch的函数添加监控路径,再使用select+read的方式读取出变化的事件,根据事件中给出的参数获取文件的路径、事件类型以及其他需要的数据。如果是监控主机上的路径,directed结合FAN_EVENT_ON_CHILD标志就只能监控目录以及目录下的文件,per-mount可以监控pathname所在的挂载点中所有文件或者目录的变化,而global模式可以监控整个文件系统。
企业防盗版,如何保障上网安全
shenxinda_lu的博客
06-20 309
当需要访问互联网时,用户在隔离沙盒内进行操作,确保主机与互联网物理隔离,只有沙盒能够访问互联网,且沙盒与本机隔离。
北京邮电大学数据库x系统原理期末复习
07-28
北京邮电大学数据库系统原理课程是计算机科学与技术专业的一门核心课程,旨在让学生掌握数据库系统的基本原理、关系模型、SQL语言、事务管理等内容。以下为数据库系统原理期末复习的重点内容: 1. 数据库系统的概念...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值