http://blog.51cto.com/zdzhu/1575498

http://www.cis.syr.edu/~wedu/seed/Labs_12.04/Networking/DNS_Remote/

?

DNS介紹

DNS是一個多層次的分布式數據庫系統，它基本的功能是完成域名解析，即提供域名和IP地址之間的映射關系，

屬于互聯網的基礎設施，為互聯網上用戶提供便利。

DNS的工作原理概述

? ?DNS解析過程：

? ?假設我們在客戶端上要查詢的域名為www.test.com,并且客戶端和我們的本地緩存DNS滿足如下條件：

? ? ? （1）客戶端是首次訪問www.test.com，即客戶端本地沒有緩存記錄。

? ? ? （2） 本地緩存DNS中沒有www.test.com緩存記錄，

? ? ? ? ? ? ? ? 當然，本地緩存DNS肯定不是www.test.com的權威DNS。

? ? ? ? ? ? ? ? 那么，客戶端發起www.test.com查詢請求后的過程如下圖所示：

? ? ? ? ? ? ? ??

? ? ? ? ? ? ? （1）客戶端向本地緩存DNS發起遞歸查詢www.test.com的請求。

? ? ? ? ? ? ? （2）本地緩存DNS檢查本地資源記錄，若存在則作授權回答；若不存在，則檢查本地緩存，

? ? ? ? ? ? ? ? ? ? ? ?如存在則直接給客戶端返回結果。若本地資源記錄和緩存中都不存在，則向根DNS發起迭代查詢。

? ? ? ? ? ? ? ? ? ? ? ?本例子中本地緩存DNS向根DNS發起www.test.com的迭代查詢。

? ? ? ? ? ? ?（3）根DNS返回com域的權威名字服務器（即頂級域DNS）的NS記錄和對應IP地址。

? ? ? ? ? ? ?（4）本地緩存DNS繼續向頂級域DNS發起www.test.com的迭代查詢。

? ? ? ? ? ? ?（5）頂級域名服務器返回test.com域的權威DNS的NS記錄和IP地址。

? ? ? ? ? ? ?（6）本地緩存DNS繼續向test.com的權威DNS發起www.test.com的迭代查詢。

? ? ? ? ? ? ?（7）test.com的權威DNS應答www.test.com的查詢請求。

? ? ? ? ? ? ?（8）本地緩存DNS將應答結果保存在本地緩存，并將結果應答給客戶端。

DNS緩存投毒攻擊

? ? ? ? DNS緩存投毒攻擊可以分為傳統的緩存投毒攻擊和Kaminsky緩存投毒攻擊。但無論傳統的DNS緩存投毒

? ? ? ? 還是后來出現的Kaminsky緩存投毒均出現在下圖紅色區域，即權威DNS應答本地緩存DNS發起的迭代請求

? ? ? ? 的過程中。

? ? ? ??

傳統的DNS緩存投毒攻擊

? ? ? ? 由于DNS采用UDP協議傳輸查詢和應答數據包，屬于簡單信任機制。對接收到的應答數據包僅進行查詢包IP地址、

端口和隨機查詢ID的確認，而不會對數據包的合法性做任何分析。如果若匹配，則接受其作為正確應答數據包，繼續DNS

解析過程，并丟棄后續到達的所有應答數據包。這就使得攻擊者可以仿冒權威名字服務器向緩存DNS服務器發送偽造應答

包，力爭搶先完成應答以污染DNS緩存。

? ? ? ?如果攻擊者發送的偽造應答包在權威DNS發送的正確應答包之前到達緩存DNS服務器，并與原查詢包IP地址、端口和

隨機查詢ID相匹配，就能夠成功污染DNS緩存。

? ? ? ?例如，攻擊者偽造上面的test.com權威應答內容，將www.test.com的A記錄修改成一個非法的IP地址比如1.1.1.1，且偽

造權威DNS的IP地址、端口號以及查詢ID提前一步應答給本地緩存DNS，那么本地緩存DNS就會將此內容視為合法，并緩存

到本地然后應答給客戶端。即使后來真正的應答到了本地緩存DNS，那也沒有辦法再改變。

?

傳統的DNS緩存投毒的缺陷??

? ? ? ?根據DNS的工作原理可知：被攻擊的域名只有在本地緩存DNS中沒有和緩存，那么才有可能攻擊成功。本地緩存DNS中

已經存在該域名的緩存，那么攻擊者只能等到該域名緩存的生存時間（TTL）過期后再組織下一次攻擊。這樣的攻擊效率和命

中率是比較低的。

?

Kaminsky緩存投毒攻擊

? ? ? 2008 年的夏天，Dan Kaminsky 發現了一種新型DNS 緩存投毒攻擊，該攻擊的方式一經公開立即引起了網絡安全界的廣泛關注。

??????Kaminsky緩存投毒攻擊克服了傳統DNS 緩存投毒攻擊存在的攻擊所需時間長、成功率很低的缺陷。其攻擊原理如下：

（1）攻擊者向被攻擊的本地緩存DNS發送一個域名的DNS 查詢請求，該查詢請求中的域名主機使用隨機序列和目標域名的組合。例如www123456.test.com，其中ns2.test.com為目標域名，www123456是隨機生成的。很顯然，這個查詢的域名主機記錄在test.com的權威DNS中是不存在的。正常test.com的權威DNS要返回NXDOMIAN（代表域名不存在）。換句話說就是本地緩存DNS中肯定沒有www123456.test.com的緩存記錄，本地緩存DNS接收到這個域名查詢請求后肯定是要出去迭代請求的。

（2）攻擊者偽造test.com的權威DNS應答數據包中，應答資源記錄部分與正確應答包中部分是與正常結果一樣的，比如test.com的DNS的IP地址、UDP端口號、應答結果是NXDOMAIN。但是，在應答報文中的授權資源記錄部分，攻擊者偽造一個test.com的NS記錄為ns2.test.com，且該記錄對應的A記錄IP是2.2.2.2（可能是一個釣魚網站的IP）。那么該資源記錄信息將也被寫入本地緩存DNS的Cache 中，在Cache 保持時間內，對test.com名字服務器所管轄的所有域名的查詢都將被發送到攻擊者自己控制的IP（2.2.2.2）中。

Kaminsky緩存投毒的優勢

? ? ??傳統DNS 緩存投毒攻擊中，存在攻擊所需時間長、攻擊成功率低的問題，而Kaminsky 攻擊克服了這一缺陷。因為Kaminsky 攻擊中，每次查詢都會在目標域名上添加隨機序列，這使得在被攻擊的本地緩存DNS的 Cache 中根本就不存在各個臨時構造域名主機的記錄，因此若攻擊不成功，則立即更換隨機序列連續不斷地進行攻擊，不存在有效攻擊時間的問題進而提升了攻擊成功率。
?????? 傳統DNS 緩存投毒攻擊成功后，只是污染了該與權威區中的某個域名，而Kaminsky 攻擊成功后，污染的是本地緩存DNS Cache中一個域名主機的NS記錄（即該域名的權威主機記錄），之后對該名字服務器管轄的所有域名主機的查詢都將被發送到攻擊者控制的IP 地址中，破壞力度遠高于傳統緩存投毒攻擊。

?

緩存投毒攻擊防護

? ?最后，我們來說說如何做好DNS的防護，降低DNS被緩存投毒的風險。簡單總結大概有以下幾點：

（1）作為權威域名的負責方，要盡量的部署多臺權威DNS，比如一主多備。這樣能有效的防止自己域名被投毒。

??????? 例如，test.com區，本來只有一個DNS服務器，NS為dns.test.com，對應的IP為1.1.1.1。那么攻擊者偽造源IP回包的時候只需要偽造這一個IP應答給本地緩存DNS就可以了，因為本地緩存DNS肯定是向1.1.1.1發起了迭代請求。但如果有多臺權威DNS，那么這個攻擊的成功率就會降低，攻擊的時間就會變長。因為，本地緩存DNS可能是向5.5.5.5發了www123456.test.com的域名解析請求。攻擊者回的包可能回的是3.3.3.3，就算是偽造5.5.5.5回的包，那么可能已經在真正應答之后了。

（2）在選擇DNS軟件時要盡量選擇DNS ”源端口隨機性”較好的軟件或者版本。

???????? 例如，現在應用比較廣泛的開源Bind軟件，在比較早期的版本中，源端口的隨機性并不是很好。微軟windows serve中的DNS軟件做“本地緩存DNS”更是不太合適，因為無論從源端口隨機性、解析性能等等諸多方面都不健壯。但它也有自身的有點，例如與AD域的配合等方面。

（3）在現有的DNS基礎上綁定新的安全機制，比如部署DNSSEC或者增加新的安全認證協議。

總結

以上是生活随笔為你收集整理的DNS安全 DNS缓存投毒与防护的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。