龍源期刊網(wǎng) http://www.qikan.com.cnDNS 拒絕服務攻擊以及防范措施分析作者：白競雄來源：《硅谷》2014年第08期摘 要 文章首先就DNS 拒絕服務供給的概念與原理進行分析，而

龍源期刊網(wǎng) http://www.qikan.com.cn

DNS 拒絕服務攻擊以及防范措施分析

作者：白競雄

來源：《硅谷》2014年第08期

摘 要 文章首先就DNS 拒絕服務供給的概念與原理進行分析，而后進一步針對DNS 服務器攻擊防范措施展開了討論，對于深入了解DNS 的工作機制，提升其安全水平都有一定的積極意義。

關鍵詞 DNS；拒絕服務；攻擊；防范

中圖分類號：TP3 文獻標識碼：A 文章編號：1671-7597（2014）08-0082-01

當前信息時代之下，各種網(wǎng)頁訪問的有效性和信息的可得性，是衡量網(wǎng)站健康狀況的基本準繩，然而與信息化共同發(fā)展起來的，除了成熟的網(wǎng)絡環(huán)境，相關的安全問題也愈加尖銳。在諸多安全問題中，關于DNS 的拒絕服務，作為一個危機典范，受到越來越多的關注。 1 DNS拒絕服務供給的概念與原理

想要了解關于DNS 安全攻擊的原理，首先需要對DNS 的工作原理有所了解。域名系統(tǒng)（DNS ，Domain Name System）是當前互聯(lián)網(wǎng)環(huán)境下關鍵的基礎設施之一，其存在價值主要在于提供諸多網(wǎng)頁的主機名稱以及IP 地址之間的映射，確保包括網(wǎng)頁瀏覽以及電子郵件在內的諸多訪問請求能夠順利展開。從工作原理角度看，DNS 系統(tǒng)以一個分布式數(shù)據(jù)庫系統(tǒng)的形式存在，當客戶段需要解析某一個域名的IP 地址的時候，需要先向DNS 服務器發(fā)起查詢請求，由DNS 服務器先行搜索本地緩存，如果緩存中不存在相關記錄，則進一步展開遞歸查詢直到獲取到相應記錄，將獲取到的映射信息依據(jù)優(yōu)化算法進行存儲并且對客戶端的查詢請求予以回應。

從供給的表現(xiàn)角度看，拒絕服務攻擊（DoS ，Denial of Service）的本質目的在于剝奪計算機或網(wǎng)絡為合法用戶提供正常服務的能力，攻擊方通常通過網(wǎng)絡向DNS 服務段發(fā)起大量查詢服務，耗費DNS 服務器查詢資源導致無法對正常的用戶需求做出響應，也有可能篡改DNS 本地緩存的數(shù)據(jù)導致其真實性出現(xiàn)誤差，從而出現(xiàn)錯誤解析結果。從原理上看，可以將對于DNS 的攻擊劃分為兩種，包括欺騙式攻擊和反彈式攻擊。在欺騙式攻擊中，攻擊方采用緩沖區(qū)溢出或者特洛伊木馬等攻擊方式對DNS 服務器的高速緩存實現(xiàn)入侵，并且誘導使其存儲虛假信息，或者獲得root 權限改變服務器的轉換表使不同的域名映射到被攻擊的目標IP 上。對于這種情況，當正常用戶發(fā)出域名解析查詢請求的時候，會得到錯誤的IP 應答，從而使得用戶的計算機訪問跳轉到錯誤的網(wǎng)址。而對于反彈式攻擊而言，則是指攻擊方發(fā)送源IP 為被攻擊目標IP 的查詢報文到大量開放的DNS 服務器，DNS 服務器把相應的應答報文發(fā)送到被攻擊目標。被攻擊目標所在的網(wǎng)絡被大量的DNS 應答報文淹沒，導致帶寬被完全消耗無法對外提供服務。