DNS攻擊原理與防范方法

    隨著網絡的逐步普及，網絡安全已成為INTERNET路上事實上的焦點，它關系著INTERNET的進一步發展和普及，甚至關系著INTERNET的生存。可喜的是我們那些互聯網專家們並沒有令廣大INTERNET用戶失望，網絡安全技術也不斷出現，使廣大網民和企業有了更多的放心，下面就網絡安全中的主要技術作一簡介，希望能為網民和企業在網絡安全方面提供一個網絡安全方案參考。

    DNS的工作原理

    DNS分為Client和Server，Client扮演發問的角色，也就是問Server一個Domain Name，而Server必須要回答此Domain Name的真正IP地址。而當地的DNS先會查自己的資料庫。如果自己的資料庫沒有，則會往該DNS上所設的的DNS詢問，依此得到答案之後，將收到的答 案存起來，並回答客戶。

    DNS服務器會根據不同的授權區（Zone），記錄所屬該網域下的各名稱資料，這個資料包括網域下的次網域名稱及主機名稱。

    在每一個名稱服務器中 都有一個快取緩存區（Cache），這個快取緩存區的主要目的是將該名稱服務器所查詢出來的名稱及相對的IP地址記錄在快取緩存區中，這樣當下一次還有另 外一個客戶端到次服務器上去查詢相同的名稱 時，服務器就不用在到別台主機上去尋找，而直接可以從緩存區中找到該筆名稱記錄資料，傳回給客戶端，加速客戶端對名稱查詢的速度。例如：

    當DNS客戶端向指定的DNS服務器查詢網際網路上的某一台主機名稱 DNS服務器會在該資料庫中找尋用戶所指定的名稱 如果沒有，該服務器會先在自己的快取緩存區中查詢有無該筆紀錄，如果找到該筆名稱記錄後，會從DNS服務器直接將所對應到的IP地址傳回給客戶端 ，如果名稱服務器在資料記錄查不到且快取緩存區中也沒有時，服務器首先會才會向別的名稱服務器查詢所要的名稱。例如：

    DNS客戶端向指定的DNS服務器查詢網際網路上某台主機名稱，當DNS服務器在該資料記錄找不到用戶所指定的名稱時，會轉向該服務器的快取緩存區找尋是 否有該資料 ，當快取緩存區也找不到時，會向最接近的名稱服務器去要求幫忙找尋該名稱的IP地址 ，在另一台服務器上也有相同的動作的查詢，當查詢到後會回復原本要求查詢的服務器，該DNS服務器在接收到另一台DNS服務器查詢的結果後，先將所查詢到 的主機名稱及對應IP地址記錄到快取緩存區中 ，最後在將所查詢到的結果回復給客戶端。

   常見的DNS攻擊包括：

    1） 域名劫持

    通過采用黑客手段控制了域名管理密碼和域名管理郵箱，然後將該域名的NS紀錄指向到黑客可以控制的DNS服務器，然後通過在該DNS服務器上添加相應域名紀錄，從而使網民訪問該域名時，進入了黑客所指向的內容。

    這顯然是DNS服務提供商的責任，用戶束手無策。

    2） 緩存投毒

    利用控制DNS緩存服務器，把原本准備訪問某網站的用戶在不知不覺中帶到黑客指向的其他網站上。其實現方式有多種，比如可以通過利用網民ISP端的DNS 緩存服務器的漏洞進行攻擊或控制，從而改變該ISP內的用戶訪問域名的響應結果；或者，黑客通過利用用戶權威域名服務器上的漏洞，如當用戶權威域名服務器 同時可以被當作緩存服務器使用，黑客可以實現緩存投毒，將錯誤的域名紀錄存入緩存中，從而使所有使用該緩存服務器的用戶得到錯誤的DNS解析結果。

    最近發現的DNS重大缺陷，就是這種方式的。只所以說是“重大”缺陷，據報道是因為是協議自身的設計實現問題造成的，幾乎所有的DNS軟件都存在這樣的問題。