攻击基于代理模式防御DNS欺骗攻击

dns欺骗攻击  时间:2021-02-27  阅读:()

基于代理模式防御DNS欺骗攻击

//.paper. edu.cn

- 1 -

中国科技论文在线

基于代理模式防御DNS欺骗攻击

王虎张华高飞**

作者简介王虎1989男硕士研究生 网络安全

北京邮电大学网络与交换技术国家重点实验室北京100876

5摘要 DNS是目前互联网重要的基础部分对它的攻击将会影响整个互联网的工作。 DNS

欺骗攻击时攻击者常用的方法它具有隐蔽性强、打击面广、攻击效果明显的特点。 DNS安

全问题越来越得到人们重视但是目前针对此攻击的解决方案主要为DNSSEC。而DNSSEC

只是利用数字签名保证数据的真实性和完整性所以其存在密钥安全问题并且增加了计算负

荷 目前还没有广泛的应用。本文在分析DNS欺骗原理的基础上提出一种以本地代理的方10

式进行部署的检测防御系统。它不仅能有效的防御DNS欺骗攻击而且计算负荷较小、处

理时延较短。

关键词数据安全与计算机安全 DNS欺骗攻击攻击检测攻击防御

中图分类号 TP393.08

15

Agent-based models defense DNS spoofing attacks

WANG Hu, ZHANG Hua, GAO Fe i

(State Key Laboratory of Networking and Switching Technology, BeijingUniversity of Posts and

Telecommunications, Beijing 100876)

Abstract: DNS is an important basis for part of the Internet. Onceit is attacked, it will affect the 20entire Internet work. DNS spoofingattacks when the attacker commonly

used method, it hasconcealed against awide range, the effect is obvious characteristicsof the attack, but the solutionfor this attack is just DNSSEC. But DNSSEC just use digital signaturesto ensure the authenticityand integrity of the data, so it exists key security issues andincreasing the computational load. It isno widely used. Based on the analysis the principle of DNS spoofing,this paper presents a 25detection defense system, which in the local proxy mode deployment.It can not only effectivelydefense DNS spoofing attacks, and spend less computational load andthe shorter processing timedelay.

Key words: Data security and computer security; DNS spoofing attacks;attack detection; attack

defense 30

0引言

DNS是一个用于管理主机名字和IP地址信息映射的系统。它将容易记忆的主机名称同

IP地址进行了映射很大程度上方便了人们的使用。 DNS是大部分网络应用可以正常工作

的基础但是由于其协议本身的缺陷没有提供适当的信息保护和认证机制使得DNS很35

容易受到攻击。

一直以来 国内外很多学者都在研究DNS安全性的问题对于DNS协议所固有的安全

缺陷给出了一些解决方案。 IETF的域名系统安全工作组提出了域名系统安全扩展协议

DNSSEC

[1] 该协议增加了认证机制增强了协议本身的安全性。但是目前该协议

在系统效

率和密钥管理等方面还存在一定的问题而且离大规模的普及和应用还有一定的距离并且40

该协议也牺牲了原有DNS快速高效响应的优势。因此除了对DNS协议本身的安全研究之外

缺乏一种不牺牲DNS快速响应特性的防御方案。

本文第二节将介绍DNS的一些基础知识并在此基础之上分析DNS缓存服务器的域

//.paper. edu.cn

- 2 -

中国科技论文在线

名解析过程和易遭受攻击的原因。第三节将阐述两种DNS欺骗攻击的实现过程和原理。第

四节将介绍DNSSEC的功能以及工作原理并对其进行脆弱性分析。第五节

介绍本文主要45

的创新方案——基于代理的DNS欺骗防御系统并分析其工作原理和组成部分并在第六

节对利用ADMID攻击平台进行攻防实验的数据和结果进行了分析论证防御系统的有效性

和高效性。

1 DNS基础

在设计伊始 DNS就被设计成一个公共的数据库。 由于规模庞大使得DNS系统不可能50

在一个中心服务器上维护这么大量和频繁变更的信息。所以DNS系统必定是一个分布式的

系统。构成DNS系统的重要部分是DNS服务器。根据功能的不同可分为授权DNS服务器

Authoritative DNS和缓存DNS服务器(Cache DNS) 。授权DNS服务器管理了它所在域的

域名信息是这些域名信息的源和发布者。缓存DNS服务器的信息来源于

授权DNS服务器

为的是将查询过的信息缓存下来一段时间再次查询相同信息时不用再向授权DNS服务器55

询问 以分担授权DNS服务器的工作。现有的DNS协议没有对域名空间中的信息做任何访

问限制。 DNS内部也没有为数据提供任何安全认证和数据完整性检查。这些问题导致了DNS

容易遭到中间人欺骗攻击和缓存中毒攻击从而不能正常的工作。

2 DNS欺骗攻击原理

2. 1中间人欺骗攻击60

由于DNS协议缺乏必要的认证机制客户端无法确认接收到的信息的真实性和权威性

基于名字的认证过程并不能起到真正的识别作用而且接收到的应答报文中往往含有额外的

附加信息其正确性也无法判断这一特点为位于客户端和域名服务器之间的中间人攻击者

提供了可乘之机。中间人攻击者主要通过监听数据包和猜测请求或应答报文中的ID号来实

现这种攻击。 中间人攻击[2]的原理如图1所示。它具体的实现过程如下

65

图1中间人攻击示意图

1)合法用户向DNS服务器发送DNS查询设ID号为9。该ID号是唯一的其目的

在于辨识查询和对应的响应。 70

2) 中间人也就是攻击者监听到合法用户发出的DNS查询域名和ID号等信息之后

伪造一个DNS响应发送给合法用户。攻击者必须尽快的伪造出DNS响应并发送给

合法用户。这样才能保证合法用户收到DNS服务器的响应之前收到伪造的DNS

响应从而达到欺骗攻击的效果。

3) DNS服务器向合法用户发送正常的DNS响应。但是此时合法用户已经收到中间人75

伪造的ID号为9的DNS响应。由DNS协议标准[3]可知合法用户将丢弃DNS服

//.paper. edu.cn

- 3 -

中国科技论文在线

务器的正常DNS响应。

2.2 DNS缓存中毒

为了减少网络中DNS的通信量所有的名字服务器均使用高速缓存。高速缓存的使用

节省了访问的时间却使得DNS缓存中数据的一致性受到了威胁。 DNS缓

PhotonVPS:$4/月,KVM-2GB/30GB/2TB/洛杉矶&达拉斯&芝加哥等

很久没有分享PhotonVPS的消息,最近看到商家VPS主机套餐有一些更新所以分享下。这是一家成立于2008年的国外VPS服务商,Psychz机房旗下的站点,主要提供VPS和独立服务器等,数据中心包括美国洛杉矶、达拉斯、芝加哥、阿什本等。目前,商家针对Cloud VPS提供8折优惠码,优惠后最低2G内存套餐每月4美元起。下面列出几款主机配置信息。CPU:1core内存:2GB硬盘:30GB NVm...

酷番云78元台湾精品CN2 2核 1G 60G SSD硬盘

酷番云怎么样?酷番云就不讲太多了,介绍过很多次,老牌商家完事,最近有不少小伙伴,一直问我台湾VPS,比较难找好的商家,台湾VPS本来就比较少,也介绍了不少商家,线路都不是很好,有些需求支持Windows是比较少的,这里我们就给大家测评下 酷番云的台湾VPS,支持多个版本Linux和Windows操作系统,提供了CN2线路,并且还是原生IP,更惊喜的是提供的是无限流量。有需求的可以试试。可以看到回程...

IntoVPS:按小时计费KVM月费5美元起($0.0075/小时),6个机房可选

IntoVPS是成立于2004年的Hosterion SRL旗下于2009年推出的无管理型VPS主机品牌,商家提供基于OpenStack构建的VPS产品,支持小时计费是他的一大特色,VPS可选数据中心包括美国弗里蒙特、达拉斯、英国伦敦、荷兰和罗马尼亚等6个地区机房。商家VPS主机基于KVM架构,最低每小时0.0075美元起($5/月)。下面列出几款VPS主机配置信息。CPU:1core内存:2GB...

dns欺骗攻击为你推荐
u盘无法读取U盘为什么不能显示苏州商标注册苏州商标注册申请流程是什么样的易pc笔记本电脑好?还是易PC笔记本电脑好?赵雨润《星辰变》电影什么时候能开机拍呢?淘宝收费淘宝交易收取的费用是多少bbsxp怎么用 CUTEFTP上传BBSXP到FTP服务器如何免费开通黄钻怎样才能免费开通黄钻无线路由器限速设置如何设置无线路由器局域网限速?快速美白好方法脸部快速美白有什么好方法啊百度手写百度手写显示
什么是虚拟主机 万网域名查询 泛域名解析 日本软银 plesk 荷兰服务器 外贸主机 webhostingpad info域名 轻博 国内加速器 申请空间 中国电信测速112 个人域名 佛山高防服务器 空间合租 hdd 服务器硬件防火墙 免费私人服务器 双12 更多