目錄
2.6.1. 簡介
2.6.2. 術語
2.6.2.1. mDNS
2.6.2.2. FQDN
2.6.2.3. TLD
2.6.2.4. IDN
2.6.2.5. CNAME
2.6.2.6. TTL
2.6.3. 請求回應
2.6.3.1. DNS記錄
2.6.3.2. 回應碼
2.6.4. 域名系統作業原理
2.6.4.1. 決議程序
2.6.4.2. 域傳送
2.6.5. 服務器型別
2.6.5.1. 根服務器
2.6.5.2. 權威服務器
2.6.5.3. 遞回服務器
2.6.6. DNS利用
2.6.6.1. DGA
2.6.6.2. DNS隧道
2.6.7. 加密方案
2.6.7.1. DoT
2.6.7.2. DNS-over-DTLS
2.6.7.3. DoH
2.6.7.4. DNS-over-QUIC
2.6.7.5. DNSCrypt
2.6.8. 相關漏洞
2.6.8.1. DNS劫持
2.6.8.2. 拒絕服務
2.6.1. 簡介
DNS是一個簡單的請求-回應協議,是將域名和IP地址相互映射的一個分布式資料庫,能夠使人更方便地訪問互聯網,DNS使用TCP和UDP協議的53埠,
2.6.2. 術語
2.6.2.1. mDNS
Multicast DNS (mDNS),多播DNS,使用5353埠,組播地址為 224.0.0.251 或 [FF02::FB] ,在一個沒有常規DNS服務器的小型網路內可以使用mDNS來實作類似DNS的編程介面、包格式和操作語意,mDNS協議的報文與DNS的報文結構相同,但有些欄位對于mDNS來說有新的含義,
啟動mDNS的主機會在進入局域網后向所有主機組播訊息,包含主機名、IP等資訊,其他擁有相應服務的主機也會回應含有主機名和IP的資訊,
mDNS的域名是用 .local 和普通域名區分開的,
2.6.2.2. FQDN
FQDN (Fully-Qualified Domain Name) 是域名的完全形態,主要是包含零長度的根標簽,例如 www.example.com. ,
2.6.2.3. TLD
Top-Level Domain (TLD) 是屬于根域的一個域,例如 com 或 jp ,
TLD一般可以分為 Country Code Top-Level Domains (ccTLDs) 、Generic Top-Level Domains (gTLDs) 以及其它,
2.6.2.4. IDN
Internationalized Domain Names for Applications (IDNA) 是為了處理非ASCII字符的情況,
2.6.2.5. CNAME
CNAME即Canonical name,又稱alias,將域名指向另一個域名,
2.6.2.6. TTL
Time To Live,無符號整數,記錄DNS記錄過期的時間,最小是0,最大是2147483647 (2^31 - 1),
2.6.3. 請求回應
2.6.3.1. DNS記錄
-
A記錄
- 回傳域名對應的IPv4地址
-
NS記錄
- 域名服務器
- 回傳該域名由哪臺域名服務器決議
-
PTR記錄
- 反向記錄
- 從IP地址到域名的記錄
-
MX記錄
- 電子郵件交換記錄
- 記錄郵件域名對應的IP地址
2.6.3.2. 回應碼
- NOERROR
No error condition
- FORMERR
Format error - The name server was unable to interpret the query
- SERVFAIL
Server failure - The name server was unable to process this query due to a problem with the name server
- NXDOMAIN
this code signifies that the domain name referenced in the query does not exist
- NOTIMP
Not Implemented - The name server does not support the requested kind of query
- REFUSED
Refused - The name server refuses to perform the specified operation for policy reasons
- NODATA
A pseudo RCODE which indicates that the name is valid, for the given class, but [there] are no records of the given type A NODATA response has to be inferred from the answer.
2.6.4. 域名系統作業原理
2.6.4.1. 決議程序
DNS決議程序是遞回查詢的,具體程序如下:
- 用戶要訪問域名www.example.com時,先查看本機hosts是否有記錄或者本機是否有DNS快取,如果有,直接回傳結果,否則向遞回服務器查詢該域名的IP地址
- 遞回快取為空時,首先向根服務器查詢com頂級域的IP地址
- 根服務器告知遞回服務器com頂級域名服務器的IP地址
- 遞回向com頂級域名服務器查詢負責example.com的權威服務器的IP
- com頂級域名服務器回傳相應的IP地址
- 遞回向example.com的權威服務器查詢www.example.com的地址記錄
- 權威服務器告知www.example.com的地址記錄
- 遞回服務器將查詢結果回傳客戶端
2.6.4.2. 域傳送
DNS服務器可以分為主服務器、備份服務器和快取服務器,域傳送是指備份服務器從主服務器拷貝資料,并使用得到的資料更新自身資料庫,域傳送是在主備服務器之間同步資料庫的機制,
2.6.5. 服務器型別
2.6.5.1. 根服務器
根服務器是DNS的核心,負責互聯網頂級域名的決議,用于維護域的權威資訊,并將DNS查詢引導到相應的域名服務器,
根服務器在域名樹中代表最頂級的 . 域, 一般省略,
13臺IPv4根服務器的域名標號為a到m,即a.root-servers.org到m.root-servers.org,所有服務器存盤的資料相同,僅包含ICANN批準的TLD域名權威資訊,
2.6.5.2. 權威服務器
權威服務器上存盤域名Zone檔案,維護域內域名的權威資訊,遞回服務器可以從權威服務器獲得DNS查詢的資源記錄,
權威服務器需要在所承載的域名所屬的TLD管理局注冊,同一個權威服務器可以承載不同TLD域名,同一個域也可以有多個權威服務器,
2.6.5.3. 遞回服務器
遞回服務器負責接收用戶的查詢請求,進行遞回查詢并回應用戶查詢請求,在初始時遞回服務器僅有記錄了根域名的Hint檔案,
2.6.6. DNS利用
2.6.6.1. DGA
DGA(Domain Generate Algorithm,域名生成演算法)是一種利用隨機字符來生成C&C域名,從而逃避域名黑名單檢測的技術手段,常見于botnet中,一般來說,一個DGA域名的存活時間約在1-7天左右,
通信時,客戶端和服務端都運行同一套DGA演算法,生成相同的備選域名串列,當需要發動攻擊的時候,選擇其中少量進行注冊,便可以建立通信,并且可以對注冊的域名應用速變IP技術,快速變換IP,從而域名和IP都可以進行快速變化,
DGA域名有多種生成方式,根據種子型別可以分為確定性和不確定性的生成,不確定性的種子可能會選用當天的一些即時資料,如匯率資訊等,
2.6.6.2. DNS隧道
DNS隧道工具將進入隧道的其他協議流量封裝到DNS協議內,在隧道上傳輸,這些資料包出隧道時進行解封裝,還原資料,
2.6.7. 加密方案
作為主流的防御方案,DNS加密有五種方案,分別是 DNS-over-TLS (DoT)、DNS-over-DTLS、DNS-over-HTTPS (DoH)、DNS-over-QUIC以及DNSCrypt,
2.6.7.1. DoT
DoT方案在2016年發表于RFC7858,使用853埠,主要思想是Client和Server通過TCP協議建立TLS會話后再進行DNS傳輸,Client通過SSL證書驗證服務器身份,
2.6.7.2. DNS-over-DTLS
DNS-over-DTLS和DoT類似,區別在于使用UDP協議而不是TCP協議,
2.6.7.3. DoH
DoH方案在發表RFC8484,使用 https://dns.example.com/dns-query{?dns} 來查詢服務器的IP,復用https的443埠,流量特征比較小,DoH會對DNS服務器進行加密認證,不提供fallback選項,目前Cloudflare、Google等服務商對DoH提供了支持,
2.6.7.4. DNS-over-QUIC
DNS-over-QUIC安全特性和DoT類似,但是性能更高,目前沒有合適的軟體實作,
2.6.7.5. DNSCrypt
DNSCrypt使用X25519-XSalsa20Poly1305而非標準的TLS,且DNSCrypt的Client需要額外的軟體,Server需要的專門的證書,
2.6.8. 相關漏洞
2.6.8.1. DNS劫持
DNS劫持有多種方式,比較早期的攻擊方式是通過攻擊域名決議服務器,或是偽造DNS回應的方法,來將域名決議到惡意的IP地址,
隨著互聯網應用的不斷發展,出現了基于廢棄記錄的劫持方式,這種方式發生的場景是次級域名的決議記錄指向第三方資源,而第三方資源被釋放后,決議記錄并沒有取消,在這種場景下,可以對應申請第三方資源,以獲取控制決議記錄的能力,
2.6.8.2. 拒絕服務
DNS服務通常會開啟UDP埠,當DNS服務器擁有大量二級域NS記錄時,通過DNS的UDP反射攻擊可以實作高倍的拒絕服務,
轉載請註明出處,本文鏈接:https://www.uj5u.com/ruanti/356154.html
標籤:其他