NO.3 DNS服务
DNS服务是Internet上其它服务的基础,它是一种用于TCP/IP应用程序的分布式数据库,提供主机名字和IP地址之间的转换信息;对于每一个DNS节点,包含有该节点所在的机器的信息、邮件服务器的信息、主机CPU和操作系统等信息。􀂾
正向域名解析:机器名->IP,网络用户通过UDP协议与DNS服务器进行通信,返回用户所需的相关信息;􀂾
反向域名解析:客户向一台DNS服务器请求服务,服务器根据客户的IP反向解析该IP对应的域名;
客户机要首先从DNS服务器获得www.cnfan.net对应的IP地址,才能和远地服务器建立连接,DNS域名空间的域名是由分布在不同地方的域名服务器来管理的,域名解析是由用户指定的域名服务器来完成的,DNS域名服务采用的是客户/服务器(client/server)工作模式。客户方的解析过程函数(resolver),嵌套在其它应用的客户程序之内的,本地域名服务器始终运行它的域名服务器进程(named),该进程收到客户请求时,就开始进行域名解析。
域名系统的树状结构图:
DNS服务存在的主要安全问题:防火墙不会限制对DNS的访问、DNS可以泄漏内部的网络拓扑结构、DNS存在许多简单有效的远程缓冲溢出攻击,可以说DNS本身性能问题是关系到整个应用的关键,然而几乎所有的网站都需要DNS。无可避免,我们要面对它!
DNS的安全威胁:名字欺骗、信息隐藏、拒绝服务攻击、设置不当的DNS会泄漏过多的网络拓扑结构、利用被控制的DNS服务器入侵整个网络,破坏网络的安全完整性(篡改DNS的记录信息)、利用被控制的DNS服务器,绕过防火墙等其它安全设备的控制(DNS需要的端口是UDP 53和TCP 53,需要使用root执行权限)。
名字欺骗图:
DNS欺骗:
ARP欺骗:
