dns服務面臨的安全

1、DNS服務面臨的安全隱患主要包括：DNS欺騙（DNSSpoffing）、拒絕服務（Denialofservice，DoS）攻擊、分布式拒絕服務攻擊和緩沖區(qū)漏洞溢出攻擊（BufferOverflow）。1.DNS欺騙欺騙DNS欺騙即域名信息欺騙是最常見的DNS安全問題。當一個DNS服務器掉入陷阱，使用了來自一個惡意DNS服務器的錯誤信息，那么該DNS服務器就被欺騙了。DNS欺騙會使那些易受攻擊的DNS服務器產生許多安全問題，例如：將用戶引

2、導到錯誤的互聯網站點，或者發(fā)送一個電子郵件到一個未經授權的郵件服務器。網絡攻擊者通常通過兩種方法進行DNS欺騙。（1）緩存感染黑客會熟練的使用DNS請求，將數據放入一個沒有設防的DNS服務器的緩存當中。這些緩存信息會在客戶進行DNS訪問時返回給客戶，從而將客戶引導到入侵者所設置的運行木馬的Web服務器或郵件服務器上，然后黑客從這些服務器上獲取用戶信息。（2）DNS信息劫持入侵者通過監(jiān)聽客戶端和DNS服務器的對話，通過猜測服務器響應給客戶

3、端的DNS查詢ID。每個DNS報文包括一個相關聯的16位ID號，DNS服務器根據這個ID號獲取請求源位置。黑客在DNS服務器之前將虛假的響應交給用戶，從而欺騙客戶端去訪問惡意的網站。（3）DNS重定向攻擊者能夠將DNS名稱查詢重定向到惡意DNS服務器。這樣攻擊者可以獲得DNS服務器的寫權限。2.拒絕服務攻擊拒絕服務攻擊黑客主要利用一些DNS軟件的漏洞，如在BIND9版本（版本9.2.0以前的9系列）如果有人向運行BIND的設備發(fā)送特定的

4、DNS數據包請求，BIND就會自動關閉。攻擊者只能使BIND關閉，而無法在服務器上執(zhí)行任意命令。如果得不到DNS服務，那么就會產生一場災難：由于網址不能解析為IP地址，用戶將無方訪問互聯網。這樣，DNS產生的問題就好像是互聯網本身所產生的問題，這將導致大量的混亂。3、分布式拒絕服務攻擊、分布式拒絕服務攻擊DDOS攻擊通過使用攻擊者控制的幾十臺或幾百臺計算機攻擊一臺主機，使得服務拒絕攻擊更難以防范：使服務拒絕攻擊更難以通過阻塞單一攻擊源主

5、機的數據流，來防范服務拒絕攻擊。SynFlood是針對DNS服務器最常見的分布式拒絕服務攻擊。SYNFlood攻擊利用的是IPv4中TCP協(xié)議的三次握手（ThreeWayHshake）過程進行的攻擊。大家知道協(xié)議規(guī)定，如果一端想向另一端發(fā)起TCP連接，它需要首先發(fā)送TCPSYN包到對方，對方收到后發(fā)送一個TCPSYNACK包回來，發(fā)起方再發(fā)送TCPACK包回去，這樣三次握手就結束了。我們把TCP連接的發(fā)起方叫作“TCP客戶機（TCPCl