攻击基于代理模式防御DNS欺骗攻击

dns欺骗攻击  时间:2021-02-27  阅读:()

基于代理模式防御DNS欺骗攻击

//.paper. edu.cn

- 1 -

中国科技论文在线

基于代理模式防御DNS欺骗攻击

王虎张华高飞**

作者简介王虎1989男硕士研究生 网络安全

北京邮电大学网络与交换技术国家重点实验室北京100876

5摘要 DNS是目前互联网重要的基础部分对它的攻击将会影响整个互联网的工作。 DNS

欺骗攻击时攻击者常用的方法它具有隐蔽性强、打击面广、攻击效果明显的特点。 DNS安

全问题越来越得到人们重视但是目前针对此攻击的解决方案主要为DNSSEC。而DNSSEC

只是利用数字签名保证数据的真实性和完整性所以其存在密钥安全问题并且增加了计算负

荷 目前还没有广泛的应用。本文在分析DNS欺骗原理的基础上提出一种以本地代理的方10

式进行部署的检测防御系统。它不仅能有效的防御DNS欺骗攻击而且计算负荷较小、处

理时延较短。

关键词数据安全与计算机安全 DNS欺骗攻击攻击检测攻击防御

中图分类号 TP393.08

15

Agent-based models defense DNS spoofing attacks

WANG Hu, ZHANG Hua, GAO Fe i

(State Key Laboratory of Networking and Switching Technology, BeijingUniversity of Posts and

Telecommunications, Beijing 100876)

Abstract: DNS is an important basis for part of the Internet. Onceit is attacked, it will affect the 20entire Internet work. DNS spoofingattacks when the attacker commonly

used method, it hasconcealed against awide range, the effect is obvious characteristicsof the attack, but the solutionfor this attack is just DNSSEC. But DNSSEC just use digital signaturesto ensure the authenticityand integrity of the data, so it exists key security issues andincreasing the computational load. It isno widely used. Based on the analysis the principle of DNS spoofing,this paper presents a 25detection defense system, which in the local proxy mode deployment.It can not only effectivelydefense DNS spoofing attacks, and spend less computational load andthe shorter processing timedelay.

Key words: Data security and computer security; DNS spoofing attacks;attack detection; attack

defense 30

0引言

DNS是一个用于管理主机名字和IP地址信息映射的系统。它将容易记忆的主机名称同

IP地址进行了映射很大程度上方便了人们的使用。 DNS是大部分网络应用可以正常工作

的基础但是由于其协议本身的缺陷没有提供适当的信息保护和认证机制使得DNS很35

容易受到攻击。

一直以来 国内外很多学者都在研究DNS安全性的问题对于DNS协议所固有的安全

缺陷给出了一些解决方案。 IETF的域名系统安全工作组提出了域名系统安全扩展协议

DNSSEC

[1] 该协议增加了认证机制增强了协议本身的安全性。但是目前该协议

在系统效

率和密钥管理等方面还存在一定的问题而且离大规模的普及和应用还有一定的距离并且40

该协议也牺牲了原有DNS快速高效响应的优势。因此除了对DNS协议本身的安全研究之外

缺乏一种不牺牲DNS快速响应特性的防御方案。

本文第二节将介绍DNS的一些基础知识并在此基础之上分析DNS缓存服务器的域

//.paper. edu.cn

- 2 -

中国科技论文在线

名解析过程和易遭受攻击的原因。第三节将阐述两种DNS欺骗攻击的实现过程和原理。第

四节将介绍DNSSEC的功能以及工作原理并对其进行脆弱性分析。第五节

介绍本文主要45

的创新方案——基于代理的DNS欺骗防御系统并分析其工作原理和组成部分并在第六

节对利用ADMID攻击平台进行攻防实验的数据和结果进行了分析论证防御系统的有效性

和高效性。

1 DNS基础

在设计伊始 DNS就被设计成一个公共的数据库。 由于规模庞大使得DNS系统不可能50

在一个中心服务器上维护这么大量和频繁变更的信息。所以DNS系统必定是一个分布式的

系统。构成DNS系统的重要部分是DNS服务器。根据功能的不同可分为授权DNS服务器

Authoritative DNS和缓存DNS服务器(Cache DNS) 。授权DNS服务器管理了它所在域的

域名信息是这些域名信息的源和发布者。缓存DNS服务器的信息来源于

授权DNS服务器

为的是将查询过的信息缓存下来一段时间再次查询相同信息时不用再向授权DNS服务器55

询问 以分担授权DNS服务器的工作。现有的DNS协议没有对域名空间中的信息做任何访

问限制。 DNS内部也没有为数据提供任何安全认证和数据完整性检查。这些问题导致了DNS

容易遭到中间人欺骗攻击和缓存中毒攻击从而不能正常的工作。

2 DNS欺骗攻击原理

2. 1中间人欺骗攻击60

由于DNS协议缺乏必要的认证机制客户端无法确认接收到的信息的真实性和权威性

基于名字的认证过程并不能起到真正的识别作用而且接收到的应答报文中往往含有额外的

附加信息其正确性也无法判断这一特点为位于客户端和域名服务器之间的中间人攻击者

提供了可乘之机。中间人攻击者主要通过监听数据包和猜测请求或应答报文中的ID号来实

现这种攻击。 中间人攻击[2]的原理如图1所示。它具体的实现过程如下

65

图1中间人攻击示意图

1)合法用户向DNS服务器发送DNS查询设ID号为9。该ID号是唯一的其目的

在于辨识查询和对应的响应。 70

2) 中间人也就是攻击者监听到合法用户发出的DNS查询域名和ID号等信息之后

伪造一个DNS响应发送给合法用户。攻击者必须尽快的伪造出DNS响应并发送给

合法用户。这样才能保证合法用户收到DNS服务器的响应之前收到伪造的DNS

响应从而达到欺骗攻击的效果。

3) DNS服务器向合法用户发送正常的DNS响应。但是此时合法用户已经收到中间人75

伪造的ID号为9的DNS响应。由DNS协议标准[3]可知合法用户将丢弃DNS服

//.paper. edu.cn

- 3 -

中国科技论文在线

务器的正常DNS响应。

2.2 DNS缓存中毒

为了减少网络中DNS的通信量所有的名字服务器均使用高速缓存。高速缓存的使用

节省了访问的时间却使得DNS缓存中数据的一致性受到了威胁。 DNS缓

ProfitServer折优惠西班牙vps,荷兰vps,德国vps,5折优惠,不限制流量

profitserver正在对德国vps(法兰克福)、西班牙vps(马德里)、荷兰vps(杜廷赫姆)这3处数据中心内的VPS进行5折优惠促销。所有VPS基于KVM虚拟,纯SSD阵列,自带一个IPv4,不限制流量,在后台支持自定义ISO文件,方便大家折腾!此外还有以下数据中心:俄罗斯(多机房)、捷克、保加利亚、立陶宛、新加坡、美国(洛杉矶、锡考克斯、迈阿密)、瑞士、波兰、乌克兰,VPS和前面的一样性...

萤光云(13.25元)香港CN2 新购首月6.5折

萤光云怎么样?萤光云是一家国人云厂商,总部位于福建福州。其成立于2002年,主打高防云服务器产品,主要提供福州、北京、上海BGP和香港CN2节点。萤光云的高防云服务器自带50G防御,适合高防建站、游戏高防等业务。目前萤光云推出北京云服务器优惠活动,机房为北京BGP机房,购买北京云服务器可享受6.5折优惠+51元代金券(折扣和代金券可叠加使用)。活动期间还支持申请免费试用,需提交工单开通免费试用体验...

HyperVMart:加拿大vps,2核/3G/25G NVMe/G口不限流量/季付$10.97,免费Windows系统

hypervmart怎么样?hypervmart是一家成立了很多年的英国主机商家,上一次分享他家还是在2年前,商家销售虚拟主机、独立服务器和VPS,VPS采用Hyper-V虚拟架构,这一点从他家的域名上也可以看出来。目前商家针对VPS有一个75折的优惠,而且VPS显示的地区为加拿大,但是商家提供的测速地址为荷兰和英国,他家的优势就是给到G口不限流量,硬盘为NVMe固态硬盘,这个配置用来跑跑数据非常...

dns欺骗攻击为你推荐
安装程序配置服务器失败sql server 2000 安装程序配置服务器失败百度抢票浏览器百度手机浏览器怎么抢票 手机百度浏览器抢票方法ios7固件下载iOS的固件有正版盗版之分吗?我看到了蜂威网有iOS7的固件想下载试用一下,那里是测试版是正版吗qq空间打扮如何打扮QQ空间?分词技术怎么在SEO中学会运用关键词分词技术如何清理ie缓存怎么样清理IE缓存?微信电话本怎么用微信电话本好用吗黑龙江计算机等级考试网计算机二级是不是可以查了recovery教程怎样进入recovery进行双清nokia最新手机2017年诺基亚有哪些新手机 2017年NOKIA新机发布汇总
域名查询软件 秒解服务器 edis 精品网 淘宝双十一2018 搜狗12306抢票助手 200g硬盘 免费防火墙 域名接入 linux使用教程 万网空间购买 google台湾 丽萨 帽子云排名 好看的空间 沈阳idc 空间排行榜 winds webmin cdn免备案空间 更多