没有合适的资源?快使用搜索试试~ 我知道了~
加强linux系统的DNS服务的安全防御能力归纳.pdf
1.该资源内容由用户上传,如若侵权请联系客服进行举报
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
版权申诉
0 下载量 47 浏览量
2021-11-14
22:15:42
上传
评论
收藏 205KB PDF 举报
温馨提示
试读
27页
加强linux系统的DNS服务的安全防御能力归纳.pdf
资源推荐
资源详情
资源评论
M8-1 加强 Linux 系统的 DNS服务的安全防御能力
1.1 场景描述
1.1.1 学习目的
学生通过该能力模块的学习 , 能够独立完成和熟练掌握安全配臵 DNS服务器,加
强 Linux 系统的 DNS服务的安全防御能力。
1.1.2 学习要求
理解: DNS服务存在安全风险
掌握: DNS服务安全选项配臵
掌握: DNS服务 TSIG配臵
1.1.3 学习重点和难点
1. 学习重点
保护 DNS服务器本身安全
保护 Zone Transfer 的安全
保护 DNS 免于 Spoofed 攻击
使用 TSIG 保护 DNS服务器
保护 Dynamic Update 的安全
2. 学习难点
使用 TSIG 保护 DNS服务器
1.2 知识准备
1.2.1 Zone Transfer
DNS的区域传输目的是为了 DNS的备份,当 DNS服务器坏了,它的数据不会丢
失。注意在配臵区域传输是一定要注意辅助服务器上建立的区域是辅助区域且与主服
务器的域名相同, 而且区域传输是双向的, 不但需要在辅助服务器上配臵还要在主服
务器上进行相应的配臵。
1.2.2 DNS威胁
DNS服务面临的安全问题主要包括: DNS欺骗(DNS Spoffing )、拒绝服务(Denial
of service ,DoS)攻击、分布式拒绝服务攻击和缓冲区漏洞溢出攻击( Buffer
Overflow )。
1. DNS欺骗
DNS欺骗即域名信息欺骗是最常见的 DNS安全问题。当一个 DNS服务器
掉入陷阱, 使用了来自一个恶意 DNS服务器的错误信息, 那么该 DNS服
务器就被欺骗了。 DNS欺骗会使那些易受攻击的 DNS服务器产生许多安
全问题,例如:将用户引导到错误的互联网站点,或者发送一个电子邮
件到一个未经授权的邮件服务器。网络攻击者通常通过三种方法进行
DNS欺骗。图 1 是一个典型的 DNS欺骗的示意图。
2. TuPkVGdvW6tl
(1)缓存感染
黑客会熟练的使用 DNS请求,将数据放入一个没有设防的 DNS服务器的缓存当
中。这些缓存信息会在客户进行 DNS访问时返回给客户, 从而将客户引导到入侵者所
设臵的运行木马的 Web服务器或邮件服务器上, 然后黑客从这些服务器上获取用户信
息。
(2)DNS信息劫持
入侵者通过监听客户端和 DNS服务器的对话,通过猜测服务器响应给客户端的
DNS查询 ID。每个 DNS报文包括一个相关联的 16 位 ID 号, DNS服务器根据这个 ID
号获取请求源位臵。 黑客在 DNS服务器之前将虚假的响应交给用户, 从而欺骗客户端
去访问恶意的网站。
(3)DNS复位定向
攻击者能够将 DNS名称查询复位向到恶意 DNS服务器。这样攻击者可以获得 DNS服务
器的写权限。
2. 拒绝服务攻击
黑客主要利用一些 DNS软件的漏洞,如在 BIND 9 版本(版本 9.2.0 以前的 9 系列)
如果有人向运行 BIND的设备发送特定的 DNS数据包请求, BIND就会自动关闭。攻击
者只能使 BIND关闭,而无法在服务器上执行任意命令。如果得不到 DNS服务,那么
就会产生一场灾难:由于网址不能解析为 IP 地址,用户将无方访问互联网。这样,
DNS产生的问题就好像是互联网本身所产生的问题,这将导致大量的混乱。
3、分布式拒绝服务攻击
DDOS 攻击通过使用攻击者控制的几十台或几百台计算机攻击一台主机,使得服务
拒绝攻击更难以防范: 使服务拒绝攻击更难以通过阻塞单一攻击源主机的数据流, 来
防范服务拒绝攻击。 Syn Flood 是针对 DNS服务器最常见的分布式拒绝服务攻击。
4. 缓冲区漏洞
Bind 软件的缺省设臵是允许主机间进行区域传输( zone transfer )。区域传输主要
用于主域名服务器与辅域名服务器之间的数据同步, 使辅域名服务器可以从主域名服
务器获得新的数据信息。 一旦起用区域传输而不做任何限制, 很可能会造成信息泄漏,
黑客将可以获得整个授权区域内的所有主机的信息, 判断主机功能及安全性, 从中发
现目标进行攻击。
1.2.3 TSIG
DNS 的事务签名分为 TSIG (Transaction Signatures) 与 SIG0 (SIGnature)
两种。该如何选择呢 ? 首先,要先判断客户端与服务器间的信任关系为何, 若是可信
任者,可选择对称式的 TSIG。TSIG 只有一组密码,并无公开 / 私密金钥之分;若是
非完全信任者,可选择非对称式金钥的 SIG0,虽有公开 / 私密金钥之分,相对的,设
定上也较复杂。 至于要选用哪种较适合, 就由自己来判断。 通常区带传输是主域名服
务器到辅助域名服务器。
1.TSIG 技术
交易签章 (TSIGRFC 2845),是为了保护 DNS安全而发展的。从 BIND 8.2 版本
开始引入 TSIG 机制,其验证 DNS 讯息方式是使用共享金钥 (Secret Key) 及单向
杂凑函式 (One-way hash function) 来提供讯息的验证和数据的完整性。主要针对区
带传输( ZONE Transfer )进行保护的作用,利用密码学编码方式为通讯传输信息加
密以保证 DNS 讯息的安全,特别是响应与更新的讯息数据。也就是说在 DNS服务器
之间进行辖区传送时所提供保护的机制,以确保传输数据不被窃取及监听。
2.SIG0 技术简介
SIG0是一九九九年三月 由 IBM 公司的 D. Eastlake 提出成为标准。其是利用
公开金钥机制为辖区资料进行数字签章的动作,以保证每笔传输的 source record
具有可验证性与不可否认性。 实际上 SIG0 才是防止 DNS Spoofing 发生最主要的技
术, SIG0 是使用公开金钥加密法,让辖区管理者为其辖区数据加上数字签章,由此
证明辖区资料的可信赖性。除此之外, SIG0 保有是否选择认证机制的弹性,以及可
灵活地配合自订的安全机制。
1.3 注意事项
在对 DNS进行安全配臵之前,需要确认 DNS是否能够正常解析。
1.4 操作步骤
1.4.1 选择没有安全缺陷的 DNS版本
BIND主要分为三个版本:
(1)v4:1998年多数 unix 捆绑
(2)v8:如今使用最多最广大版本
安全信息: http://security.nsfocus.com/showQueryL.asp?libID=530
(3)v9:最新版本,免费( http://www.isc.org)
2. 保持 DNS服务器配臵正确、可靠
dlint 是专门检查 DNS配臵文件开源代码软件:
http://www.domtools.com/dns/dlint.shtml
dnstop 可以查询 DNS服务器状态:
http://www.ctearns.org/dnstop/dentop-20010809-1.i386.rpm
1.4.2 保护 DNS服务器本身安全
第一步:隔离 DNS服务器
DNS服务器要专用, 不要在 DNS服务器上运行其它服务, 尽量允许普通用户登录。
第二步:隐藏 DNS服务器
网络攻击者对 DNS服务进行攻击前, 首先要知道 BIND有版本号,根据 BIND版本
号找到漏洞来确定攻击 DNS服务器方法,攻击者使用 dig 命令可以查询到 BIND的版
本号。为了保障 DNS服务器安全的首先要隐藏 DNS服务器。下面是没有隐藏 DNS服务,
攻击者查询到的 DNS服务器的版本。
[root@centos ~]# dig @192.168.123.11 txt chaos version.bind
; <<>> DiG 9.3.4-P1 <<>> @192.168.123.11 txt chaos version.bind
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 10122
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION:
;version.bind. CH TXT
;; ANSWER SECTION:
version.bind. 0 CH TXT "9.2.4"
;; AUTHORITY SECTION:
version.bind. 0 CH NS version.bind.
;; Query time: 20 msec
;; SERVER: 192.168.123.11#53(192.168.123.11)
剩余26页未读,继续阅读
资源评论
xhr131452007
- 粉丝: 7
- 资源: 14万+
下载权益
C知道特权
VIP文章
课程特权
开通VIP
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功