欺骗DNS 欺骗原理及其防御方案

DNS欺骗原理及其防御方案

【摘要】针对DNS欺骗表现出的危害性大、隐蔽性强的特点通过对DNSID欺骗攻击及DN S缓存中毒攻击的原理进行剖析应用概率学理论证明了“生日攻击”的危害分别给出相应的防御方案。对于不同类型的用户可以根据自身的条件和对信息安全要求级别的高低采用适合自己的应对方案。

【关键词】DNS欺骗 ARP欺骗 DNS ID欺骗 DNS缓存中毒生日攻击

0.概述

域名系统Domain Name System DNS是一个可以将域名和IP地址相互映射的分布式数据库。 目前针对DNS协议存在的问题很多专家给出了解决办法。 IETF提出的域名系统的安全协议Domain NameSystem SecurityDNSSEC旨在解决DNS的安全问题 但由于需要占用更多的系统开销和网络资源还要对相应的数据库和系统管理软件进行升级 并且新的软件尚处于测试阶段离DNSSEC普及性地应用还有一定的距离。现在主要的应对办法是升级DNS软件和加强服务器的安全配置除此之外 尚未发现较有效的防范措施。

以侦听为基础的DNS欺骗DNS spoofing和DNS缓存中毒DNS cachepoisoning对目标主机都具有欺骗性质 本文把这2种攻击方式都列入DNS欺骗攻击并加以讨论。为了予以区分把前者称之为DNS ID欺骗DNS IDspoofing并且尝试分别给出2类攻击的应对方案。针对DNS协议的攻击还有很多诸如“洪水”攻击和服务器攻陷等其他攻击手段不在本文研究范围之内。

1.DNS服务原理

DNS服务的工作原理如果某用户需要对域名www.example.com进行解析以得到其相应的IP地址而且假定本地DN S服务器不是目标域名授权DN S服务器和其缓存中没有相应的记录。

2.DNS ID欺骗攻击及其防御方案

2.1 DNS ID欺骗攻击原理

DNS ID欺骗以监听ID和端口号为基础如果是在交换机搭建的网络环境下欺骗者首先要向攻击目标实施ARP欺骗。以下是一个DNS ID欺骗DNS IDspoofing的实例。假设用户、欺骗者和DNS服务器同在一个局域网内。

攻击流程如下