少妇高潮喷水久久久影院,色99热久久99热国产精品

服務器托管的DNS安全保障工作怎樣進行

發(fā)布時間：2019-11-28 點擊數(shù)：1654

服務器托管用戶經(jīng)常使用DNS服務器來減少源主機的流量。對于用戶來說，在日常運維過程中，要特別注意DNS服務器的安全工作，特別是漏洞的安全性。

服務器托管DNS安全

1.四個用于加載頁面的DNS服務器
域名解析服務器（解析名稱服務器）：一種服務器，用于存儲查詢的IP域名條目或從另一臺DNS服務器請求IP域名條目并響應查詢。
根名稱服務器：根區(qū)域的名稱服務器。它直接響應查詢請求，并返回相應頂級域名服務器的列表。
TLD名稱服務器：TLD名稱服務器是Internet上的高級DNS服務器之一。搜索www.qq.com時，“。com” TLD服務器將首先響應，在其條目中搜索“ qq”字符串。

權(quán)威名稱服務器：權(quán)威名稱服務器是DNS查詢過程中的最后一站。它存儲特定區(qū)域的域名條目記錄。

2. DNS服務類型
根據(jù)處理DNS查詢的不同技術(shù)機制，DNS服務分為兩種：
遞歸DNS服務：遞歸DNS服務響應DNS查詢并向授權(quán)域名服務發(fā)起域名條目查詢，或在其緩存的DNS條目中實現(xiàn)查詢。

特權(quán)DNS服務：特權(quán)DNS服務本身存儲DNS條目。因此，如果查詢授權(quán)的DNS服務以獲取存儲的IP域名條目，則無需向另一臺服務器發(fā)起查詢。

3.公共DNS和私有DNS
對于要在Internet上由公眾訪問的服務器，它需要具有公共DNS記錄，并且其IP地址可以在Internet上訪問，也就是說，它不會被諸如防火墻之類的訪問控制技術(shù)所阻止?？梢赃B接到公共DNS服務器的任何人都可以在不進行身份驗證的情況下訪問公共DNS服務器。
但是，并非所有DNS記錄都是公開的。為了使員工能夠輕松訪問公司Intranet上的服務器，許多公司都有自己的私有DNS。專用DNS用于存儲內(nèi)部公司文件服務器，郵件服務器，域控制器，數(shù)據(jù)庫服務器，應用程序服務器等的域名和IP，這些域名和IP不應公開給Internet。
重要的是要注意，私有DNS服務器（如公共DNS服務器）不需要身份驗證即可訪問它們。這主要是因為在DNS技術(shù)創(chuàng)建之初，安全性并不是要考慮的技術(shù)問題。因此，在大多數(shù)情況下，企業(yè)內(nèi)部網(wǎng)絡上的任何用戶都可以查詢內(nèi)部DNS服務器中存儲的信息，而無需身份驗證。

查詢DNS的七個步驟

（1）當用戶嘗試訪問Internet上的計算機時，例如，在瀏覽器的地址欄中輸入www.xxx.com時，將啟動DNS查詢。
（2）DNS查詢的第一站是本地DNS緩存。當用戶訪問網(wǎng)絡上的不同域名時，與這些域名對應的IP地址將存儲在本地緩存中。如果用戶以前訪問過www.xxx.com，則該網(wǎng)站的IP地址將存儲在緩存中。
（3）如果本地DNS緩存中沒有域名的IP，則DNS將使用遞歸DNS服務器進行檢查。在Internet上，ISP服務提供商通常會構(gòu)建和運行遞歸DNS服務器。
（4）遞歸DNS服務器具有自己的緩存。如果用戶查詢的IP地址存儲在其緩存中，它將直接返回給用戶。如果沒有，查詢將啟動到另一個DNS服務器。
（5）下一站是TLD名稱服務器，當用戶查詢域名www.xxx.com時存儲。 cn地址的TLD名稱服務器將響應查詢請求。該服務器不存儲我們所需的IP地址，但可以將查詢請求轉(zhuǎn)發(fā)到正確的授權(quán)機構(gòu)名稱服務器。
（6）權(quán)威域名服務器使用www.xxx.com的IP地址響應此查詢，遞歸DNS服務器將其存儲在本地DNS緩存中，并將該地址返回給用戶的計算機。
（7）用戶計算機的本地DNS服務獲得www.xxx.com的IP地址并實現(xiàn)訪問。然后，將域名的IP地址記錄在本地緩存中，并記錄其生存時間（TTL），即本地DNS記錄的有效時間。如果用戶對域名的下一次訪問超過了TTL時間，則對www.xxx的下一次訪問在.com，DNS將再次執(zhí)行上述過程。

DNS查詢的分類

DNS查詢需要給DNS服務器傳遞的信息包括：
當前查詢是什么類型；
要返回什么信息。
標準的DNS查詢有以下三種類型：
遞歸查詢：在遞歸查詢中，計算機請求DNS服務器返回一個IP地址，或確認該DNS服務器不知道該IP。
迭代查詢：在迭代查詢中，查詢者向DNS服務器請求返回一個最佳答案。如果DNS服務器中查不到被查詢IP，它將返回權(quán)限域名服務器或TLD域名服務器。查詢者將繼續(xù)此迭代過程，直到找到被查詢IP或超時。
非遞歸查詢：DNS解析服務器使用此類查詢來查找自身緩存中沒有存儲的IP。

DNS緩存

如果每次有任何用戶試圖訪問www.xxx.com，都必須向權(quán)限域名服務器發(fā)起對該域名的查詢請求，將會產(chǎn)生大量的網(wǎng)絡流量！因此，為了使計算機不用在每一次訪問某個域名時都向DNS服務器發(fā)起IP查詢請求，計算機上通常會存儲一個自身的域名-IP映射庫，這個映射庫被稱為“DNS緩存”。
加快DNS請求響應速度
減少DNS請求在互聯(lián)網(wǎng)上占用的帶寬
但是，DNS緩存方法也存在一些問題，包括：
DNS信息的變化需要一定的時間才能傳播開--這意味著，所有DNS服務器都將其緩存更新為最新的IP數(shù)據(jù)之前，往往需要一段時間
攻擊者可能利用DNS緩存發(fā)起攻擊
DNS緩存有以下幾種不同的類型：
瀏覽器DNS緩存：目前大多數(shù)瀏覽器均內(nèi)置了DNS緩存功能，使用本地緩存方式實現(xiàn)DNS解析通常快速且高效。
操作系統(tǒng)（OS）DNS緩存：目前，大多數(shù)用戶計算機操作系統(tǒng)均具備DNS客戶端，可用于管理DNS解析和請求。此類DNS緩存也是本地化的，因此速度快且無需占用帶寬。
遞歸解析DNS緩存：每個DNS遞歸服務器中都有DNS緩存，用于存儲可向其發(fā)起下一步請求的IP。

DNS常見漏洞

用戶內(nèi)部DNS服務器會存儲用戶網(wǎng)絡域中所有服務器的內(nèi)部域名與IP，并能夠在無需身份認證的情況下實施訪問。這使得DNS成為攻擊者在內(nèi)網(wǎng)探測階段的重要信息來源。
DNS緩存信息并非一定與權(quán)限域名服務器一致，攻擊者有可能篡改DNS緩存，如果用戶內(nèi)網(wǎng)的DNS服務器被攻擊篡改，則使用該DNS服務器發(fā)起域名訪問的計算機就會被誘騙到錯誤的服務器。

DNS服務器可能將內(nèi)網(wǎng)的域名查詢從內(nèi)網(wǎng)工作站遞歸轉(zhuǎn)發(fā)至外網(wǎng)服務器，攻擊者可能利用此行為創(chuàng)建內(nèi)外網(wǎng)之間的“隱通道”來泄露內(nèi)網(wǎng)數(shù)據(jù)。

服務器托管DNS安全

1. 利用DNS實施探測
一旦攻擊者穿透防火墻進入用戶內(nèi)網(wǎng)并控制某臺計算機，就可以利用內(nèi)網(wǎng)的DNS服務查找重要的服務器信息，如郵件服務器、域名服務器等各類有價值的信息。如果攻擊者具備足夠的技術(shù)能力，甚至可能利用內(nèi)部DNS服務器批量發(fā)送用戶網(wǎng)絡中區(qū)的信息，此類攻擊被稱為“DNS區(qū)傳輸攻擊”。
以下給出了在Windows操作系統(tǒng)環(huán)境中實現(xiàn)該攻擊的流程：
打開命令提示符（ctrl+ esc ??輸入字母“cmd” ??回車）
輸入“ipconfig”，將看到當前計算機所在的域名、IP地址以及許多其他信息（后續(xù)命令中將會使用）
鍵入“nslookup[IP]”，將看到正在響應請求的DNS服務器名稱，如果名稱已知，則會顯示列出名稱和IP地址的DNS記錄
鍵入“nslookup-type=soa [當前計算機所在域名]”，執(zhí)行此命令將返回當前計算機的權(quán)限D(zhuǎn)NS服務器，如果您嘗試滲透網(wǎng)絡，則不會很方便。

鍵入“nslookup-type=MX [當前計算機所在域名]”，通過執(zhí)行該命令，攻擊者可以準確獲知網(wǎng)內(nèi)郵件服務器的IP信息。

2. 利用DNS實施流量重定向
當用戶嘗試瀏覽到某個網(wǎng)站時，他們的計算機會在DNS服務器中查詢該網(wǎng)站的IP。如果DNS服務器中存有該記錄的緩存，則將直接返回該IP。如果沒有，它會查詢“上游”DNS服務器，并將結(jié)果中繼給最終用戶，同時緩存該信息以供下次使用。
在目前已知的攻擊中，攻擊者已經(jīng)能夠偽造DNS響應信息，使其看起來像是來自合法的DNS服務器。要達到這一目標，攻擊者可以利用DNS的三個弱點：
DNS對來自上游服務器的響應僅執(zhí)行非常弱的認證。響應信息只需包含正確的事務ID（一個16位二進制數(shù)字（0-65536））。事實證明，要猜出正確的事務ID，技術(shù)難度并不大。
DNS服務器接受同時響應多個查詢請求，因此攻擊者能夠同時對事務ID實施多次猜測（與暴力破解密碼思路類似）。
DNS使用的IP連接很容易被偽造。這意味著攻擊者可以從一臺計算機向DNS服務器發(fā)送流量，使其看起來像來自另一臺計算機，例如另一臺真實有效的DNS服務器。容易被偽造的IP連接類型并不多，不幸的是，DNS恰好是其中之一。
一旦攻擊者成功偽造了DNS響應消息，則其可以實現(xiàn)篡改接收端DNS服務器的緩存。以下就以一個典型的場景說明這一攻擊行為可能造成的嚴重后果：
假設攻擊者了解到用戶單位使用外部應用程序來處理經(jīng)費等重要事務。如果攻擊者篡改了用戶單位DNS服務器的相關記錄，則能夠?qū)⒂脩粽T騙至攻擊者偽造的服務器，誘騙用戶在攻擊者偽造的登陸頁面上錄入其賬號及口令信息。

更有耐心的攻擊者還可能將真實流量轉(zhuǎn)發(fā)給真實的服務器（充當“中間人”），因此用戶就不會發(fā)現(xiàn)攻擊正在發(fā)生。獲取用戶的身份信息后，攻擊者可以在其他相關系統(tǒng)上嘗試使用這些身份信息，或者直接出售這些信息。

3. 利用DNS構(gòu)建隱通道
假設攻擊者已經(jīng)設法進入了用戶單位網(wǎng)絡，控制了一臺內(nèi)網(wǎng)計算機，并且已經(jīng)找到了其想要竊取的關鍵數(shù)據(jù)。如何在不留任何痕跡的情況下將數(shù)據(jù)傳輸?shù)骄W(wǎng)外？攻擊者可能使用一種被稱為“DNS隧道”的技術(shù)來實現(xiàn)。通常的做法如下：
（1）攻擊者在互聯(lián)網(wǎng)上設置一個DNS域（如xxx.com），并創(chuàng)建一個權(quán)限域名服務器
（2）在被攻擊者控制的主機上，攻擊者可以將數(shù)據(jù)分解為小段并將其插入到一系列DNS查詢中
（3）用戶單位的DNS服務器將接收這些請求，并將這些請求轉(zhuǎn)發(fā)回xxx.com的權(quán)限域名服務器。攻擊者在其權(quán)限域名服務器接收到上述流量后，則可以運行程序以提取查詢信息的第一部分（。xxx.com前的內(nèi)容）并將其重新組合，從而將用戶網(wǎng)內(nèi)的數(shù)據(jù)不留痕跡地傳輸?shù)骄W(wǎng)外（此例中傳輸?shù)臄?shù)據(jù)是“My secret is that I know your data.”）。而用戶單位可能永遠不會意識到他們的DNS服務器被用于泄露自身的數(shù)據(jù)。

總的來說，DNS技術(shù)已存在了很長時間，互聯(lián)網(wǎng)上的每臺計算機都依賴它。然而，利用DNS進行內(nèi)網(wǎng)探測、劫持流量并創(chuàng)建隱蔽信道竊取數(shù)據(jù)，都是DNS服務可能造成的安全問題。幸運的是，通過監(jiān)控DNS服務器并應用安全數(shù)據(jù)分析，目前已有大量技術(shù)可以檢測并阻止這些攻擊。

全網(wǎng)數(shù)據(jù)專業(yè)提供深圳服務器租用，深圳服務器托管，深圳主機租用，云主機租用等國內(nèi)外服務器產(chǎn)品，詳情可咨詢客服了解。

上一篇：我們該怎樣對高防服務器托管進行DNS備份和恢復

下一篇：區(qū)塊鏈服務器租用被攻擊的特征