论文研究-DNS缓存毒化攻击和解决方案DNSSEC .pdf

所需积分/C币:9 2019-08-20 18:22:33 210KB .PDF
1
收藏 收藏
举报

DNS缓存毒化攻击和解决方案DNSSEC,谭果,,DNS是Internet的基础构件中十分重要的一个部分。随着各种针对DNS的攻击形式,尤其是DNS缓存毒化攻击产生并对Internet安全产生严重危害,DN
国武技论文在线 缓存毒化攻击 现有系统并没有针对数据包来源和完整性进行验证的机制。 是否接受 个反馈薮据包依据的是:这个数据包的若干字段与发出去的数据包的若干字段的匹 配与否 回馈数据包的目标地址和端∏号字段与送出去的数据包的源地址和端∏号 回馈数据包的源地址与送出去的数据包目标地址一致 查询问题字段前后一致; 查询编号字段前后一致 满足以上条件的第一个到达的效据包将被接受。缓存毒化攻击首先发起目标域 名的查询,将满足以上条件的假冒信息抢先发送给缓存服务器,达到对缓存毒化的目 般的缓存毒化攻击针对的是缓存服务器的某个或若干个记求,也就是某个或 若干个域名,攻击危害有限,难度较大。首先,攻击时机难掌握。当缓存服务器中存 在目标域名的信息时,攻击无法实施,而且只能是域名在缓存服务器当中失效到貞实的域名 信息到来之前进行。这个时间窗凵可能只有零点几秒。其次,在掌握攻击时机的前提下,需 对査询编号( 进行猜测。该编号是位的二进制数。攻击者要对的次方的 数集进行猜测,并发出大量的假数据包以增加匹配概率,如果失败,再次发动攻山就很难找 寻时机了。 当前的 系统没有什么机制阻止仟何一个服务器管辖某个域。也就是说 可以管辖 同样也可以管辖 。只不 是被上级域授权的,上级授权服务器中不会有 的记 录,所以正常情况下递归查询从根服务器逐级往下只会找到 。怎样让 得到 的管辖权,也就是将对 的查询转移到 而不是 。这就要求有人告诉本地的域名服务器, 就是管辖 这个域的服务器,而且需要在正确的反馈回米 之前让本地的域名服务器相信。 的攻击就是为了掌控某个域。首先,攻击者发起查询,查询的域名是目 标域不存在的域名,例如 这样,缓存服务器肯定会发起递归查 询。按下来攻击者发送人量虚假授权记录,告诉缓有服务器目标域名去哪儿解析。在 大量的虚假数据包暴力兀配下,缓存服务器一日接受这个授权记录,攻击者便接管了 这个域。所有关于 的查询被告知到攻击者所设置的服务器去获得答案,而攻击 者可以对这个域的信息进行任意设定。 的攻击方式比一般毒化改击优越性在于,随时可以发起攻击而不用担心攻击时 机的问题;失败之后可以立即重新发起攻击;破坏性更大,如果能得到·些重要网站的域的 管辖权,如银行、新闻机构的网站,砹坏力可以说是无限量。 的作用和原理 为使用者提供了两种服务:数据来源证明、数据完整性证明。数据来源证明 保证了数据来自真正管辖它的域名服务器,数据完整性证明保证了数据没有因为传输 国武技论文在线 错误或者其他原因发生变更。 采用了数字签名技术对数据进行加密和验证 要求每个授权服 务器用私钥对资源记录进行加密,得到数字签名。这个数字签名将在查询过程当中, 随着与之对应的资源记录一起发送给客户端:客户端用相应的公钥对数字签名进行解密,以 验证资源记录的来源和完整性。在这里,私钥是离线保存的,是不能公开的。公钥随着 应答反馈给客户端 由于公钥是可以在网终中传输的,攻击者可以伪造出成套的密钥、签名以及资源记录来 欺骗客户端,所以公钥本身也需要得到骏证。这种验证需要上一级服务器的参与。每 级的授权服务器在生成密钥之后,公钥要向上一级服务器派发。上一级 会用自己的私钥对派发来的公钥进行签章,并将数字签名存放在·定的数据结构中,以备客 户端来验证这个公钥。 可以看出的数据传输过程当中出现了额外的开销,即数字签名、密钥的传送。这 就要求对 协议进行变更 增加了新的资源记录 和 是资源记录的数字签名; 存放了公钥;是对下一级公钥的数字签名 用 于返回记录不存在的否定回答,或者该域存在的命名的类型。 服务器先对资源记录用一定的算法计算出值,用私钥对 值进行加密,生成数字签名,并签名数据存放在新的资源记录类型 当中,随着 查询过程发送到客户端。客户端收到 回馈数据之后,使用公钥对数字签名进行解 密,得到值;然后对数据用同样的算法得到另个值。接下来对这两 个值进行比较,如若样,证明数据是完整的,可信的。 客户端获得公钥有两种方式,一和是事先在本地离线通过某种安全渠道获得,另一种是 通过查询荻取。对于后一种情况,需对查询荻得的进行验证。验证真伪 的数字签名存放在上一级授权服务器的记录里。客户端在验证获得的公钥时需要 从上一级服务器获得这个数字签名。而这个数字签名又同普通资源记录的数字签名一 样需要被该级授权服务器的公钥解密。由此类推逐级而上,直至可信任的公钥,形成 一条→→ 这样的信任链( )。信任链当中要求至少有一个节点(或者)是可 信仼的,也就是所谓的信任锚( )。从信任锚廾始,信仼链的一环扣一环保证了 客户端得到的信息的可靠性。 roo com edu 8foo.com ucla. edu 8 图信任链验证过程 国武技论文在线 的部署难题 在资源记录后增加了数字签名和的信息,所以的数据包超过了原来 的最大 大数据包在网终中传输可能要面临的一个直接的问题是超过了一般网终 设备的 为 。其结果是 数据包在通过这些改备传 输的吋候必须拆分为小的包,增加了拆分,传输和重组的廾销。在‖的设备条件下, 原米一个包可以搭载的数据包现在必须由多个包米分担,增加了因丢包而造成 査询失败的概率,效率必然降低。而出于效能和减少服务器开销的的考量,数据 最好不要拆分。一些家庭或者公司路由器所带的防火墙可能会将这些异常巨大的 数 据包过滤掉。一些采用协议的软件可能不支持大于 的数据包,查询失 败的结果可能是重新发起协议的查询,而协议相对与协议来说是十分 占用带宽和主机性能的。要让 完完全全融入到现有的 当中来,设备或者软 件的升级是必须的。这必然会对企业或者机构增加成本开销。 信任链是从信任锚开始的,信任锚的可靠性决定了最后结果的可靠性,这是一环扣一环 的。所以 机制的关键在于信任锚。信任锚如果被攻击者掌控, 的验证机 制就被击溃。如何从个安全可靠的渠道或者地方获得信仼锚是 要解决的重要问 总结 本文从缓存毒化攻击的原理和 的工作原理分析了系统安全问题。 缓存毒化攻击将缓存服务器的域名和地址对应关系修改,从而将采用协议的 客户端引导到攻击者所希望的地址处,达到欺诈甚至破坏的目的。在网络安全专家 发现了基于缓毒化原理之上的浙的攻击形式之后,系统变得不堪击。尽 管各种针对毒化攻击的预防措施和补丁发布,如查询包随机化,端凵随机化以及在 包问题字段加入冗佘信息做验证辨识,但它们仅仅是一定程度上降低了攻击成功的概 率 是最终的解决方案。 采用了数字签名的方式对数据进行签章和验证 提供了对信息来源的验证和对信息完整性的验证,从而保证了信息来源的可靠性 以及信息的正确忪。 参考文献

...展开详情
试读 5P 论文研究-DNS缓存毒化攻击和解决方案DNSSEC .pdf
立即下载 低至0.43元/次 身份认证VIP会员低至7折
抢沙发
一个资源只可评论一次,评论内容不能少于5个字
weixin_39841365 你的留言是对我莫大的支持
2019-08-20
上传资源赚积分or赚钱
    最新推荐
    论文研究-DNS缓存毒化攻击和解决方案DNSSEC .pdf 9积分/C币 立即下载
    1/5
    论文研究-DNS缓存毒化攻击和解决方案DNSSEC .pdf第1页

    试读结束, 可继续读1页

    9积分/C币 立即下载 >