攻击基于代理模式防御DNS欺骗攻击

dns欺骗攻击  时间:2021-02-27  阅读:()

基于代理模式防御DNS欺骗攻击

//.paper. edu.cn

- 1 -

中国科技论文在线

基于代理模式防御DNS欺骗攻击

王虎张华高飞**

作者简介王虎1989男硕士研究生 网络安全

北京邮电大学网络与交换技术国家重点实验室北京100876

5摘要 DNS是目前互联网重要的基础部分对它的攻击将会影响整个互联网的工作。 DNS

欺骗攻击时攻击者常用的方法它具有隐蔽性强、打击面广、攻击效果明显的特点。 DNS安

全问题越来越得到人们重视但是目前针对此攻击的解决方案主要为DNSSEC。而DNSSEC

只是利用数字签名保证数据的真实性和完整性所以其存在密钥安全问题并且增加了计算负

荷 目前还没有广泛的应用。本文在分析DNS欺骗原理的基础上提出一种以本地代理的方10

式进行部署的检测防御系统。它不仅能有效的防御DNS欺骗攻击而且计算负荷较小、处

理时延较短。

关键词数据安全与计算机安全 DNS欺骗攻击攻击检测攻击防御

中图分类号 TP393.08

15

Agent-based models defense DNS spoofing attacks

WANG Hu, ZHANG Hua, GAO Fe i

(State Key Laboratory of Networking and Switching Technology, BeijingUniversity of Posts and

Telecommunications, Beijing 100876)

Abstract: DNS is an important basis for part of the Internet. Onceit is attacked, it will affect the 20entire Internet work. DNS spoofingattacks when the attacker commonly

used method, it hasconcealed against awide range, the effect is obvious characteristicsof the attack, but the solutionfor this attack is just DNSSEC. But DNSSEC just use digital signaturesto ensure the authenticityand integrity of the data, so it exists key security issues andincreasing the computational load. It isno widely used. Based on the analysis the principle of DNS spoofing,this paper presents a 25detection defense system, which in the local proxy mode deployment.It can not only effectivelydefense DNS spoofing attacks, and spend less computational load andthe shorter processing timedelay.

Key words: Data security and computer security; DNS spoofing attacks;attack detection; attack

defense 30

0引言

DNS是一个用于管理主机名字和IP地址信息映射的系统。它将容易记忆的主机名称同

IP地址进行了映射很大程度上方便了人们的使用。 DNS是大部分网络应用可以正常工作

的基础但是由于其协议本身的缺陷没有提供适当的信息保护和认证机制使得DNS很35

容易受到攻击。

一直以来 国内外很多学者都在研究DNS安全性的问题对于DNS协议所固有的安全

缺陷给出了一些解决方案。 IETF的域名系统安全工作组提出了域名系统安全扩展协议

DNSSEC

[1] 该协议增加了认证机制增强了协议本身的安全性。但是目前该协议

在系统效

率和密钥管理等方面还存在一定的问题而且离大规模的普及和应用还有一定的距离并且40

该协议也牺牲了原有DNS快速高效响应的优势。因此除了对DNS协议本身的安全研究之外

缺乏一种不牺牲DNS快速响应特性的防御方案。

本文第二节将介绍DNS的一些基础知识并在此基础之上分析DNS缓存服务器的域

//.paper. edu.cn

- 2 -

中国科技论文在线

名解析过程和易遭受攻击的原因。第三节将阐述两种DNS欺骗攻击的实现过程和原理。第

四节将介绍DNSSEC的功能以及工作原理并对其进行脆弱性分析。第五节

介绍本文主要45

的创新方案——基于代理的DNS欺骗防御系统并分析其工作原理和组成部分并在第六

节对利用ADMID攻击平台进行攻防实验的数据和结果进行了分析论证防御系统的有效性

和高效性。

1 DNS基础

在设计伊始 DNS就被设计成一个公共的数据库。 由于规模庞大使得DNS系统不可能50

在一个中心服务器上维护这么大量和频繁变更的信息。所以DNS系统必定是一个分布式的

系统。构成DNS系统的重要部分是DNS服务器。根据功能的不同可分为授权DNS服务器

Authoritative DNS和缓存DNS服务器(Cache DNS) 。授权DNS服务器管理了它所在域的

域名信息是这些域名信息的源和发布者。缓存DNS服务器的信息来源于

授权DNS服务器

为的是将查询过的信息缓存下来一段时间再次查询相同信息时不用再向授权DNS服务器55

询问 以分担授权DNS服务器的工作。现有的DNS协议没有对域名空间中的信息做任何访

问限制。 DNS内部也没有为数据提供任何安全认证和数据完整性检查。这些问题导致了DNS

容易遭到中间人欺骗攻击和缓存中毒攻击从而不能正常的工作。

2 DNS欺骗攻击原理

2. 1中间人欺骗攻击60

由于DNS协议缺乏必要的认证机制客户端无法确认接收到的信息的真实性和权威性

基于名字的认证过程并不能起到真正的识别作用而且接收到的应答报文中往往含有额外的

附加信息其正确性也无法判断这一特点为位于客户端和域名服务器之间的中间人攻击者

提供了可乘之机。中间人攻击者主要通过监听数据包和猜测请求或应答报文中的ID号来实

现这种攻击。 中间人攻击[2]的原理如图1所示。它具体的实现过程如下

65

图1中间人攻击示意图

1)合法用户向DNS服务器发送DNS查询设ID号为9。该ID号是唯一的其目的

在于辨识查询和对应的响应。 70

2) 中间人也就是攻击者监听到合法用户发出的DNS查询域名和ID号等信息之后

伪造一个DNS响应发送给合法用户。攻击者必须尽快的伪造出DNS响应并发送给

合法用户。这样才能保证合法用户收到DNS服务器的响应之前收到伪造的DNS

响应从而达到欺骗攻击的效果。

3) DNS服务器向合法用户发送正常的DNS响应。但是此时合法用户已经收到中间人75

伪造的ID号为9的DNS响应。由DNS协议标准[3]可知合法用户将丢弃DNS服

//.paper. edu.cn

- 3 -

中国科技论文在线

务器的正常DNS响应。

2.2 DNS缓存中毒

为了减少网络中DNS的通信量所有的名字服务器均使用高速缓存。高速缓存的使用

节省了访问的时间却使得DNS缓存中数据的一致性受到了威胁。 DNS缓

HyperVMart:加拿大vps,2核/3G/25G NVMe/G口不限流量/季付$10.97,免费Windows系统

hypervmart怎么样?hypervmart是一家成立了很多年的英国主机商家,上一次分享他家还是在2年前,商家销售虚拟主机、独立服务器和VPS,VPS采用Hyper-V虚拟架构,这一点从他家的域名上也可以看出来。目前商家针对VPS有一个75折的优惠,而且VPS显示的地区为加拿大,但是商家提供的测速地址为荷兰和英国,他家的优势就是给到G口不限流量,硬盘为NVMe固态硬盘,这个配置用来跑跑数据非常...

2021年7月最新洛杉矶CN2/香港CN2 vps套餐及搬瓦工优惠码 循环终身优惠6.58%

搬瓦工怎么样?2021年7月最新vps套餐推荐及搬瓦工优惠码整理,搬瓦工优惠码可以在购买的时候获取一些优惠,一般来说力度都在 6% 左右。本文整理一下 2021 年 7 月最新的搬瓦工优惠码,目前折扣力度最大是 6.58%,并且是循环折扣,续费有效,可以一直享受优惠价格续费的。搬瓦工优惠码基本上可能每年才会更新一次,大家可以收藏本文,会保持搬瓦工最新优惠码更新的。点击进入:搬瓦工最新官方网站搬瓦工...

零途云:香港站群云服务器16IP220元/月,云服务器低至39元/月

零途云(Lingtuyun.com)新上了香港站群云服务器 – CN2精品线路,香港多ip站群云服务器16IP/5M带宽,4H4G仅220元/月,还有美国200g高防云服务器低至39元/月起。零途云是一家香港公司,主要产品香港cn2 gia线路、美国Cera线路云主机,美国CERA高防服务器,日本CN2直连服务器;同时提供香港多ip站群云服务器。即日起,购买香港/美国/日本云服务器享受9折优惠,新...

dns欺骗攻击为你推荐
cornerradius怎么用代码写一个圆角矩形?如何免费开通黄钻如何免费开通黄钻??博客外链请问怎么利用博客做外链呢51自学网站网上自学网站有哪些?最好是免费的,我想学习网页设计网站联盟百度网盟是什么,怎么加入神雕侠侣礼包大全神雕侠侣手游版四重大礼包怎么得到啊?宕机宕机是什么意思?二层交换机请教:二层交换机是干什么用的啊?机械键盘轴机械键盘蓝轴有什么作用服务器连接异常手机服务器连接异常
域名备案流程 狗爹 免备案空间 win8升级win10正式版 eq2 免费吧 cdn加速是什么 免费测手机号 四核服务器 环聊 英雄联盟台服官网 华为云建站 攻击服务器 SmartAXMT800 新网dns 美国vpn代理 认证机构 服务器是什么 建站行业 阿里云宕机故障 更多