DNS
域名系統 Domain Name System(DNS) 是 Internet 的電話簿,人類通過域名在線訪問資訊,例如 nytimes.com 或 espn.com,Web 瀏覽器通過Internet 協議 (IP)地址進行互動,DNS 將域名轉換為IP 地址,因此瀏覽器可以加載 Internet 資源,
每臺連接到 Internet 的設備都有一個唯一的 IP 地址,其他機器使用該地址來查找該設備,DNS 服務器無需人類記憶 IP 地址,例如 192.168.1.1(在 IPv4 中),或更復雜的較新的字母數字 IP 地址,例如 2400:cb00:2048:1::c629:d7a2(在 IPv6 中),
域層次結構Domain Hierarchy
DNS 層次結構,也稱為域名空間,是一種倒置的樹形結構,DNS 層次結構樹在結構頂部有一個稱為根域的域——用“.”表示,正如我們上面提到的,根域下面是頂級域,將 DNS 層次結構劃分為包含二級域、子域和主機的段,
因此,DNS 層次結構由以下五個級別組成:
根級域
DNS 根級別是DNS 層次結構樹中的最高級別,因為它是決議域名的第一步,根DNS 服務器是根區域的 DNS,它通過為適當的 TLD(頂級域)提供權威名稱服務器串列來處理根區域中的記錄請求并回答其他請求,這些是為 DNS 根區域提供服務的權威名稱服務器,這些服務器包含頂級域的全域串列,根區域包含以下內容:
組織層次結構——例如 .com、.net、.org、.edu,
地理層次結構- 例如 .ca、.uk、.fr、.pe,
目前,指定了13 個根名稱服務器,其邏輯名稱格式為“ letter.root-servers.net ”,其中字母的范圍從“A”到“M”,分別代表Verisign、馬里蘭大學、NASA和互聯網名稱與數字地址分配機構 (ICANN),
頂級域名 (TLD)
DNS 層次結構中的下一個級別是頂級域Top-Level Domains(TLD),有超過 1000 個 TLD,涵蓋從“.abb “到”.zw ”并且還在增長,正如我們所見,TLD 分為兩個子類別:組織層次結構和地理層次結構,
組織層次結構分為商業企業(“ .com ”)、政府物體(“ .gov ”)、教育機構(“ .edu ”)和非營利組織(“.org”)等領域,
同時,地理層次結構表示托管域的國家/地區,示例包括加拿大的“ .ca ”、英國的“ .uk ”、澳大利亞的“ .au ”,甚至南極洲的“ .aq ”,
想要迎合當地客戶的組織可以選擇同時使用組織和地理層次結構的 TLD,例如:“ .com.et ”代表埃塞俄比亞企業,“. org.al ”代表阿爾巴尼亞組織,“ . gov.it ”代表意大利政府
二級域名 (SLD)
如果域包含在頂級域中,則該域是二級域,二級域是一個標簽——通常是與網站或擁有它的企業相關的名稱——緊鄰頂級域的左側,并用點分隔,
在域名系統 (DNS) 層次結構中,二級域(SLD 或 2LD)是直接位于頂級域 (TLD) 之下的域,例如,在“ ivanlee.com ”中, “ ivanlee ”是“ .com ”TLD的二級域,
子域
一個子域——有時也稱為“三級域”,– 與根域相關,左側表示為二級域,在 URL “ regina.ivanlee.com ”中,子域地址將是“ regina ”,
主機
在層次結構中,決議程序從根級 DNS、頂級 DNS 開始,一直向下到二級 DNS,然后通過任意數量的子域,直到我們得到我們想要決議的實際主機名IP地址,
域層次結構描述了域命名空間的組織方式,但不描述域名系統的組織方式.
DNS Zone
DNS分為許多不同的區域,這些區域區分 DNS 命名空間中的不同管理區域,DNS 區域是由特定組織或管理員管理的 DNS 命名空間的一部分,DNS 區域是一個管理空間,允許對 DNS 組件(例如權威名稱服務器)進行更精細的控制,域名空間是一個層次樹,頂部是 DNS 根域,DNS 區域從樹中的域開始,也可以向下擴展到子域,以便一個物體可以管理多個子域,
一個常見的錯誤是將 DNS 區域與域名或單個DNS 服務器相關聯,事實上,一個 DNS 區域可以包含多個子域,并且多個區域可以存在于同一臺服務器上,DNS 區域不一定在物理上彼此分離,區域嚴格用于委派控制,
域名系統是根據區域組織的,每個區域通過授權(服務器)管理自己的 DNS 資訊,
區域和域
usa.example.com是一個域,然后它又分出了三個子域分別是“chicago,boston,nyc”,同時也創建了兩個區域,
域和子域都是概念上的劃分,區域是實際物理意義上的劃分,也就是根據權限域名服務器劃分,
總之,一個域中的子域不一定和域是同一個權限域名服務器,因此也不一定是同一個區,
你如果有足夠的權限域名服務器,大可一個每個子域都配一個權限域名服務器,都當作一個區,
權威名稱服務器
當遞回決議器從TLD名稱服務器收到回應時,該回應會將決議器定向到權威名稱服務器,DNS 查詢的目標是最終向權威 DNS 服務器詢問答案
權威的名稱服務器通常是決議器在IP地址程序中的最后一步,權威名稱服務器包含特定于它所服務的域名的資訊(例如google.com),并且可以為遞回決議器提供在DNS A記錄中找到的服務器的IP地址,或者該域名具有CNAME記錄(別名)它將為遞回決議器提供一個別名域名,這時遞回決議器將必須執行一個全新的DNS查找,以從權威名稱服務器獲取記錄(通常是一個包含IP地址的A記錄),
每個 DNS 區域至少有一個發布有關區域資訊的權威名稱服務器,
o 通常,一臺主服務器和一臺輔助服務器
o 例如,example.com 區域有兩個權威域名服務器:a.iana-servers.net 和 b.iana-servers.net,
權威域名服務器不限于一個區域,它可以維護多個區域的記錄,
DNS根服務器
樹的根被稱為 ROOT 區域,互聯網號碼分配機構 (IANA) 負責維護該區域,
根服務器或 DNS 根服務器是負責 DNS 以及整個 Internet 功能的名稱服務器,它們是任何域名名稱決議的第一步,這意味著它們將域名轉換為 IP 地址,
域名到 IP 地址的映射使用 DNS 區域以分層順序進行,根服務器為層次結構頂部的根區域提供服務,并且它們發布根區域檔案,根區是頂級域的全域串列,它包含通用頂級域(.com、.net、.org)、國家代碼頂級域(.no、.se、.uk)和國際化頂級域名,即以國家/地區本地字符撰寫的 ccTLD,根區來自互聯網號碼分配機構 (IANA),它是互聯網名稱與數字地址分配機構 (ICANN) 的一部分,
根區域使用DNSSEC進行簽名,并發送給根服務器運營商以發布到他們的根服務器,反過來,根區域檔案包含所有 TLD 的權威服務器的資源記錄,因此,他們可以通過兩種方式作業:
- 直接回答對根區域中這些資源記錄的查詢,或
- 將查詢提交給請求的 TLD 的適當名稱服務器
雖然在第二種情況下,它們不直接參與名稱決議,但根服務器位于整個 Internet 基礎架構的根中,沒有它們,我們今天所知道和使用的大多數在線世界都將無法訪問,
如何作業
根服務器的作業方式歸結為名稱決議的程序:
- 當您在 Web 瀏覽器中鍵入www.securitytrails.com時,它將首先轉到您配置的 ISP DNS 服務器或其他DNS 服務器,有時,該 DNS 服務器可能會將有關域的資訊存盤在快取中,如果是這種情況,它會簡單地回應該資訊并為您提供該網站,
- 但是,如果沒有存盤該資訊,DNS 服務器將向根服務器發送查詢,根服務器不會有關于www.securitytrails.com的特定 IP 地址的資訊,但它會知道服務于該 TLD(.com) 的名稱服務器在哪里,
- 根服務器將回傳 TLD 服務器串列,因此提供商或配置的服務器可以再次發送查詢,這次是發送到 TLD 服務器,
- 然后,TLD 服務器將回傳存盤所需域的權威名稱服務器,
- 這是發出請求的服務器向托管相關域區域的權威服務器發送查詢的時候,
- 一旦請求到達權威服務器,它將使用www.securitytrails.com的 IP 地址回應請求服務器
- 當請求服務器獲得此資訊時,它將快取它以供將來的請求使用,并將答案回傳給您的決議器,決議器會將其發送到您的網路瀏覽器并允許您訪問所需的網站,
有多少個跟服務器
在研究這個問題的答案時,我們經常會看到數字 13 彈出,那么,你可能會問,為什么只有 13 個根服務器?
這是因為原始 DNS 基礎設施的限制,它僅使用包含 32 個位元組的IPv4,IP地址需要放入單個資料包中,當時限制為 512 位元組,因此,每個 IPv4 地址都是 32 位,其中 13 個達到 416 位元組,剩下的 96 位元組用于協議資訊,
以前,13 個 IP 地址中的每一個都只有一個服務器,而今天我們為每個 IP 地址都有一個服務器集群——創建了一個由全球數百臺使用任播路由的服務器組成的網路,這有助于平衡它們的去中心化并確保可靠性,即使其中一個根服務器由于例如 DDoS 攻擊或任何其他型別的 DNS 攻擊而變得不可用,
然而,隨著 IPv6 的出現不受資料包大小限制的限制,幾乎可以肯定我們將來會看到更多的 DNS 根服務器彈出,
根服務器串列:
| 主機名 | IP 地址 IPv4 / IPv6 | 組織 |
|---|---|---|
| a.root-servers.net | 198.41.0.4、2001:503:ba3e::2:30 | 威瑞信公司 |
| b.root-servers.net | 199.9.14.201、2001:500:200::b | 南加州大學 (ISI) |
| c.root-servers.net | 192.33.4.12、2001:500:2::c | 有說服力的通信 |
| d.root-servers.net | 199.7.91.13、2001:500:2d::d | 馬里蘭大學 |
| e.root-servers.net | 192.203.230.10、2001:500:a8::e | 美國國家航空航天局 |
| f.root-servers.net | 192.5.5.241、2001:500:2f::f | 互聯網系統聯盟公司 |
| g.root-servers.net | 192.112.36.4、2001:500:12::d0d | 美國國防部 (NIC) |
| h.root-servers.net | 198.97.190.53, 2001:500:1::53 | 美國陸軍(研究實驗室) |
| i.root-servers.net | 192.36.148.17, 2001:7fe::53 | 網點 |
| j.root-servers.net | 192.58.128.30、2001:503:c27::2:30 | 威瑞信公司 |
| k.root-servers.net | 193.0.14.129, 2001:7fd::1 | 成熟的NCC |
| l.root-servers.net | 199.7.83.42、2001:500:9f::42 | 互聯網名稱與數字地址分配機構 |
| m.root-servers.net | 202.12.27.33, 2001:dc3::35 | 寬專案 |
頂級域區域
從這些根服務器中,我們可以獲得有關頂級域 (TLD) 的區域的資訊,即 TLD 區域,
每個 TLD 區域都有多個權威域名服務器,必須在根服務器上注冊,所以查詢根服務器的時候,雖然自己不知道答案,但知道名字屬于哪個TLD
當 TLD 名稱服務器在 TLD 內注冊時,它需要向 TLD 區域提供(至少兩個)名稱服務器,當一個 TLD 域名服務器收到一個查詢時,即使它不能提供最終的答案,相應區域的權威域名服務器也知道
DNS查詢流程
(1)查看瀏覽器快取
當用戶通過瀏覽器訪問某域名時,瀏覽器首先會在自己的快取中查找是否有該域名對應的 IP 地址(若曾經訪問過該域名且沒有清空快取便存在),
(2)查看系統快取
當瀏覽器快取中無域名對應 IP 則會自動檢查用戶計算機系統 Hosts 檔案 DNS 快取是否有該域名對應 IP,
(3)查看路由器快取
當瀏覽器及系統快取中均無域名對應 IP 則進入路由器快取中檢查,以上三步均為客服端的 DNS 快取,
(4)查看ISP DNS 快取
當在用戶客服端查找不到域名對應 IP 地址,則將進入 ISP DNS 快取中進行查詢,比如你用的是電信的網路,則會進入電信的 DNS 快取服務器中進行查找,
(5)詢問根域名服務器
當以上均未完成,則進入根服務器進行查詢,全球僅有 13 臺根域名服務器,1 個主根域名服務器,其余 12 為輔根域名服務器,根域名收到請求后會查看區域檔案記錄,若無則將其管轄范圍內頂級域名(如.com、.cn等)服務器 IP 告訴本地 DNS 服務器,
(6)詢問頂級域名服務器
頂級域名服務器收到請求后查看區域檔案記錄,若無記錄則將其管轄范圍內權威域名服務器的 IP 地址告訴本地 DNS 服務器,
(7)詢問權威域名(主域名)服務器
權威域名服務器接受到請求后查詢自己的快取,如果沒有則進入下一級域名服務器進行查找,并重復該步驟直至找到正確記錄,
(8)保存結果至快取
本地域名服務器把回傳的結果保存到快取,以備下一次使用,同時將該結果反饋給客戶端,客戶端通過這個 IP 地址即可訪問目標Web服務器,至此,DNS遞回查詢的整個程序結束,
DNS系統承擔著將域名決議成IP地址的重要作用,是計算機之間實作訪問互聯的關鍵和基礎,因此,DNS決議的安全對于維持網路穩定運行至關重要,企業相關管理者和運營者一定要做好域名及域名決議的安全防護作業,定期進行資料掃描分析,啟用全方位DNS風險監測,實時關注DNS運行狀態,同時做好妥善的應急備份準備,一旦發現問題,出現故障,第一時間回應解決,才能將DNS故障風險及其帶來的損失降至最低點,
本地DNS檔案
在 Linux 中,DNS 決議器依賴于兩個檔案
/etc/hosts:存盤一些主機名的 IP 地址, 在機器聯系本地 DNS 服務器之前,它首先查看這個檔案,
如果一臺機器在hosts檔案中找不到IP地址,它會查詢它的本地DNS服務器,但它需要知道本地DNS的IP地址,
/etc/resolv.conf向機器的 DNS 決議器提供有關本地 DNS 服務器 IP 地址的資訊, DHCP提供的本地DNS服務器的IP地址也存放在這里
模擬本地服務器
1. ask ROOT
DNS 回應中有 4 種型別的部分:
o Question section:向名稱服務器描述問題
o Answer section:回答問題的記錄
o Authority section:指向權威名稱服務器的記錄
o Additional section:與查詢相關的記錄由于根服務器不知道答案,所以沒有答案部分,
2-3: Ask .net & example.net servers
DNS快取
當本地 DNS 服務器從其他 DNS 服務器獲取資訊時,它會快取該資訊,
? 快取中的每條資訊都有一個生存時間值,因此它最侄訓超時并從快取中洗掉
DNS攻擊
- Denial-of-Service Attack拒絕服務攻擊:
? 當本地 DNS 服務器和權威域名服務器不回應 DNS 查詢時,機器無法檢索 IP 地址,這實質上會切斷通信
- DNS-spoofing attack DNS欺騙攻擊:
? 向受害者提供一個虛假的 IP 地址,誘騙他們與一臺與他們的意圖不同的機器進行通信, (重點)
- 對受感染機器的攻擊
- 本地DNS快取中毒
- 遠程DNS快取中毒
- 來自惡意 DNS 服務器的攻擊
對受感染的機器的攻擊
如果攻擊者獲得了機器上的 root 權限,他可以:修改/etc/resolv.conf:使用惡意DNS服務器作為本機本地DNS服務器,控制整個DNS行程,修改 /etc/hosts:向檔案中添加新記錄,提供某些選定域的 IP 地址, 例如,攻擊者修改 www.bank32.com 的 IP 地址并將其指向攻擊者的機器
本地DNS快取病毒
在嗅探來自用戶計算機或本地 DNS 服務器的查詢后偽造 DNS 回復, 只要他們在實際回復之前到達,他們就會被接受
遠程DNS快取病毒
挑戰之一:對于與本地 DNS 服務器不在同一網路上的遠程攻擊者,欺騙回復要困難得多,因為他們需要猜測查詢資料包使用的兩個亂數:
- 源埠號(16 位亂數)
- 交易 ID(16 位亂數)
快取效果:如果一次嘗試失敗,實際回復會被本地DNS服務器快取; 攻擊者需要等待快取超時以進行下一次嘗試
欺騙性 DNS 回復包的格式:
擊敗快取效應的卡明斯基攻擊:
每次詢問不同的查詢,所以快取答案并不重要,本地DNS服務器每次都會發出一個新的查詢
欺騙性 DNS 回復負載的格式:
來自惡意 DNS 服務器的攻擊
當用戶訪問一個網站時,例如,attacker32.com,DNS 查詢最侄訓到達attacker32.com 的權威域名服務器, 攻擊者是這個域名服務器,而受害者是本地 DNS 服務器
除了在回應的答案部分提供 IP 地址外,(惡意)DNS 服務器還在權限和附加部分提供資訊
攻擊者可以使用這些部分來提供欺騙資訊,如果欺騙資訊被客戶端(本地 DNS 服務器)接受,DNS 快取將被這些虛假 IP 地址毒害,
四部分虛假資訊的生成
-
Fake Data in the Additional Section
攻擊者通過告訴客戶端一些流行域名的 IP 地址來給客戶端一個“好處”,(example.net == attacker32.com)
它們將被丟棄:超出區域, 如果不丟棄它們將導致安全問題
-
Fake Data in the Authority Section
攻擊者放置了兩條 NS 記錄,都表明 ns.attacker32.com 是他們的權威域名服務器,
-
Fake Data in Both Authority and Additional
這是不允許的(超出區域),本地 DNS 服務器將自行獲取該主機名的 IP 地址, [快取資料但不信任它]
DNS保護
防御 DNS 快取中毒攻擊
DNSSEC 旨在通過幫助保護用戶免于重定向到欺詐性網站和非預期地址來加強對 Internet 的信任,通過這種方式,可以防止諸如快取中毒、域名移植和中間人攻擊等惡意活動,
DNSSEC 使用加密簽名對 IP 地址的決議進行身份驗證,以確保 DNS 服務器提供的答案有效且真實,如果您的域名正確啟用了 DNSSEC,則可以確保訪問者連接到與特定域名對應的實際網站,
最初目的是通過驗證嵌入在資料中的數字簽名來保護 Internet 客戶端免受偽造 DNS 資料的侵害,
當訪問者在瀏覽器中輸入域名時,決議器會驗證數字簽名,
如果資料中的數字簽名與存盤在主 DNS 服務器中的數字簽名匹配,則允許資料訪問發出請求的客戶端計算機,
DNSSEC 數字簽名可確保您與您打算訪問的站點或 Internet 位置進行通信,
DNSSEC 使用公鑰和數字簽名系統來驗證資料,它只是將新記錄與現有記錄一起添加到 DNS,這些新的記錄型別,例如 RRSIG 和 DNSKEY,可以通過與 A、CNAME 和 MX 等常見記錄相同的方式進行檢索,
這些新記錄用于使用稱為公鑰加密的方法對域進行數字“簽名”,
簽名的名稱服務器對每個區域都有一個公鑰和私鑰,當有人提出請求時,它會發送使用其私鑰簽名的資訊;然后接收者用公鑰將其解鎖,如果第三方
請注意,DNSSEC 不提供資料機密性,因為它不包括加密演算法,它僅攜帶驗證 DNS 資料是否真實可用所需的密鑰,
此外,DNSSEC 不能防御 DDoS 攻擊
DNSSEC 中的信任鏈
DNSSEC(域名系統安全擴展)信任鏈是在每個 DNS 查找節點上經過驗證的電子簽名或握手,換句話說,它是一個由域名的數字簽名驗證的查找鏈,通過所有查找節點來保護請求,這確保沒有流氓或非法玩家可以進入查找路徑并將查找重定向到虛假站點,
- RRSIG:包含記錄集的數字簽名,
- DNSKEY:使用 DNSSEC 記錄中的公鑰驗證簽名,
- 公鑰的單向散列必須由發送者的父區域使用 DS 提供
使用TLS/SSL
使用 DNS 協議獲取域名(www.example.net)的 IP 地址后,計算機會要求 IP 地址的所有者(服務器)證明它確實是 www.example.net
服務器必須出示由受信任物體簽名的公鑰證書,并證明它知道與 www.example.net 關聯的相應私鑰(即,它是證書的所有者)
HTTPS 建立在 TLS/SSL 之上, 它擊敗了 DNS 快取中毒攻擊,
DNSSEC vs TLS/SSL
- DNSSEC 和 TLS/SSL 都基于公鑰技術,但它們的信任鏈不同,
- DNSSEC 使用 DNS 區域層次結構提供信任鏈,因此父區域中的名稱服務器為子區域中的名稱服務器提供擔保,
- TLS/SSL 依賴于公鑰基礎設施,其中包含為其他計算機提供擔保的證書頒發機構
本文來自博客園,作者:ivanlee717,轉載請注明原文鏈接:https://www.cnblogs.com/ivanlee717/p/16851238.html
轉載請註明出處,本文鏈接:https://www.uj5u.com/qiye/525981.html
標籤:訊息安全
上一篇:只保留href和src的子目錄(ROOThtml鏈接)
下一篇:DNS原理,攻擊以及防御