《域名服務(wù)系統(tǒng)風(fēng)險(xiǎn)調(diào)查報(bào)告》_第1頁(yè)
《域名服務(wù)系統(tǒng)風(fēng)險(xiǎn)調(diào)查報(bào)告》_第2頁(yè)
《域名服務(wù)系統(tǒng)風(fēng)險(xiǎn)調(diào)查報(bào)告》_第3頁(yè)
《域名服務(wù)系統(tǒng)風(fēng)險(xiǎn)調(diào)查報(bào)告》_第4頁(yè)
《域名服務(wù)系統(tǒng)風(fēng)險(xiǎn)調(diào)查報(bào)告》_第5頁(yè)
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

精品文章精品文章《域名服務(wù)系統(tǒng)風(fēng)險(xiǎn)調(diào)查報(bào)告》關(guān)于域名服務(wù)系統(tǒng)風(fēng)險(xiǎn)的調(diào)查報(bào)告國(guó)際經(jīng)濟(jì)與貿(mào)易專業(yè)李慶生調(diào)查目的及意義:我于xx年3至5月在上海琵西網(wǎng)絡(luò)信息技術(shù)有限公司做畢業(yè)實(shí)習(xí)。我的實(shí)習(xí)的主要內(nèi)容是聯(lián)系國(guó)外的需要注冊(cè)中國(guó)或亞洲境內(nèi)域名的公司,申請(qǐng)作為其代理幫助他們注冊(cè)包括.cn,.hk,.aisa在內(nèi)的多種域名。主要工作就是聯(lián)系國(guó)外公司的負(fù)責(zé)人,并洽談相關(guān)的代理細(xì)節(jié)問(wèn)題,并完成為其注冊(cè)的相關(guān)步驟。在實(shí)習(xí)過(guò)程中,結(jié)合自己的實(shí)習(xí)經(jīng)歷及域名服務(wù)行業(yè)的具體情況,做了一個(gè)關(guān)于域名服務(wù)行業(yè)普遍存在的風(fēng)險(xiǎn)的調(diào)查報(bào)告,最后在參考域名行業(yè)知識(shí)的前提下提出了相關(guān)的防范建議。調(diào)查內(nèi)容:我國(guó)互聯(lián)網(wǎng)絡(luò)域名服務(wù)系統(tǒng)的相關(guān)風(fēng)險(xiǎn)。調(diào)查方式:在調(diào)查的過(guò)程中除了采用我國(guó)互聯(lián)網(wǎng)絡(luò)信息中心的一些統(tǒng)計(jì)數(shù)據(jù)及方法外,還通過(guò)具體的事件案例調(diào)查,一般分析與具體事例相結(jié)合,最后總結(jié)出我國(guó)互聯(lián)網(wǎng)絡(luò)信息域名服務(wù)系統(tǒng)存在的風(fēng)險(xiǎn)。調(diào)查結(jié)果:域名服務(wù)包含了權(quán)威域名服務(wù)和遞歸域名服務(wù),服務(wù)的正確、安全和可靠運(yùn)行對(duì)于整個(gè)互聯(lián)網(wǎng)的發(fā)展和建設(shè)來(lái)說(shuō)至關(guān)重要。分析發(fā)現(xiàn),國(guó)內(nèi)域名服務(wù)在配置管理和運(yùn)行維護(hù)方面均存在不同程度的安全隱患,域名服務(wù)系統(tǒng)面臨的風(fēng)險(xiǎn)如下:風(fēng)險(xiǎn)一:信息更改或過(guò)期:各級(jí)域名解析系統(tǒng)通常與域名注冊(cè)、whois等系統(tǒng)協(xié)調(diào)工作,任一環(huán)節(jié)的漏洞都可能被黑客利用,篡改域名解析數(shù)據(jù)。權(quán)威域名解析服務(wù)的主服務(wù)器或輔服務(wù)器如因配置不當(dāng),也容易被攻擊,造成權(quán)威解析服務(wù)故障。風(fēng)險(xiǎn)二:dns系統(tǒng)應(yīng)用程序崩潰:域名解析服務(wù)系統(tǒng)所用軟件極其重要,如因配置不當(dāng)或升級(jí)延遲,軟件存在的漏洞容易被黑客利用。近年來(lái)開(kāi)源軟件bind被廣泛使用,一旦該軟件出現(xiàn)嚴(yán)重安全漏洞,互聯(lián)網(wǎng)服務(wù)體系將面臨災(zāi)難性崩潰。風(fēng)險(xiǎn)三:域名劫持(domainnamehijacking):通過(guò)各種攻擊手段控制了域名管理密碼和域名管理郵箱,然后將該域名的ns紀(jì)錄指向到黑客可以控制的dns服務(wù)器,然后通過(guò)在該dns服務(wù)器上添加相應(yīng)域名紀(jì)錄,從而使網(wǎng)民訪問(wèn)該域名時(shí),進(jìn)入了黑客所指向的內(nèi)容。值得注意的是:域名被劫持后,不僅網(wǎng)站內(nèi)容會(huì)被改變,甚至?xí)?dǎo)致域名所有權(quán)也旁落他人。如果是國(guó)內(nèi)的cn域名被劫持,還可以通過(guò)和注冊(cè)服務(wù)商或注冊(cè)管理機(jī)構(gòu)聯(lián)系,較快地拿回控制權(quán)。如果是國(guó)際域名被劫持,而且又是通過(guò)國(guó)際注冊(cè)商注冊(cè),那么其復(fù)雜的解決流程,再加上非本地化的服務(wù),會(huì)使得奪回域名變得異常復(fù)雜。風(fēng)險(xiǎn)四:中間人攻擊(maninthemiddleattack):中間人攻擊,是攻擊者冒充域名服務(wù)器的一種欺騙行為,它主要用于向主機(jī)提供錯(cuò)誤dns信息。中間人攻擊大多數(shù)本質(zhì)都是被動(dòng),其檢測(cè)和防御十分困難。風(fēng)險(xiǎn)五:nsec游走:早期的dnssec使用nsec方案,會(huì)造成區(qū)文件被遍歷、枚舉,從而泄露所管理的域名解析數(shù)據(jù),既是商業(yè)數(shù)據(jù)的泄露,也容易成為黑客攻擊的靶子。風(fēng)險(xiǎn)六:分布式拒絕服務(wù)攻擊(ddosattack):ddos攻擊手段是在傳統(tǒng)的dos攻擊基礎(chǔ)之上產(chǎn)生的更有效的攻擊方式。其攻擊手段往往是攻擊者組織大量的傀儡機(jī)同時(shí)向域名服務(wù)器發(fā)送大量查詢報(bào)文,這些報(bào)文看似完全符合規(guī)則,但往往需要dns服務(wù)器花費(fèi)大量時(shí)間進(jìn)行查詢,從而使dns癱瘓。xx年5月19日全國(guó)大面積斷網(wǎng)事件起因即為ddos攻擊。風(fēng)險(xiǎn)七:緩存窺探(cachesnooping):dns緩存窺探是一個(gè)確定某一個(gè)資源記錄是否存在于一個(gè)特定的dns緩存中的過(guò)程。通過(guò)這個(gè)過(guò)程攻擊者可以得到一些信息,例如解析器處理了哪些域名查詢。攻擊者通常利用緩存窺探尋找可攻擊對(duì)象。風(fēng)險(xiǎn)八:緩存中毒(或dns欺騙)(cachepoisoningordnsspoofing):通過(guò)向dns服務(wù)器注入非法網(wǎng)絡(luò)域名地址實(shí)現(xiàn)緩存中毒攻擊,對(duì)該類安全威脅的檢測(cè)十分困難。利用該漏洞輕則可以讓用戶無(wú)法打開(kāi)網(wǎng)頁(yè),重則是網(wǎng)絡(luò)釣魚(yú)和金融詐騙,給受害者造成巨大損失。由于軟件實(shí)現(xiàn)技術(shù)水平參差不齊,端口、報(bào)文id隨機(jī)算法落后的域名服務(wù)器容易遭受緩存中毒攻擊。風(fēng)險(xiǎn)九:dns放大、反射攻擊:目前的ddos攻擊通常與“dns放大攻擊”和“dns反射攻擊”配合實(shí)施。在這兩類攻擊中,dns服務(wù)器往往不受攻擊目標(biāo),而是充當(dāng)了無(wú)辜的被利用者的角色。這種攻擊向互聯(lián)網(wǎng)上的一系列無(wú)辜的第三方dns服務(wù)器發(fā)送小的和欺騙性的詢問(wèn)信息。這些dns服務(wù)器隨后將向表面上是提出查詢的那臺(tái)服務(wù)器發(fā)回大量的回復(fù),導(dǎo)致通訊流量的放大并且最終導(dǎo)致攻擊目標(biāo)癱瘓。提供遞歸域名解析服務(wù)的主體需要控制服務(wù)范圍,盡可能的避免提供開(kāi)放遞歸服務(wù),并借助于流量分析監(jiān)測(cè)等手段發(fā)現(xiàn)潛在的ddos攻。防范建議:一、確保域名解析服務(wù)的獨(dú)立性,運(yùn)行域名解析服務(wù)的服務(wù)器上不能同時(shí)開(kāi)啟其他端口的服務(wù)。權(quán)威域名解析服務(wù)和遞歸域名解析服務(wù)需要在不同的服務(wù)器上獨(dú)立提供。二、采用安全的操作系統(tǒng)平臺(tái)和域名解析軟件,并關(guān)注軟件商發(fā)布的最新安全漏洞,定期升級(jí)軟件系統(tǒng)。三、選擇安全性高、服務(wù)便捷的域名注冊(cè)服務(wù)機(jī)構(gòu)和域名注冊(cè)管理機(jī)構(gòu);隱藏域名解析軟件及操作系統(tǒng)等版本信息;限制域名區(qū)文件的傳送權(quán)限;四、使用入侵檢測(cè)系統(tǒng),盡可能的檢測(cè)出中間人攻擊行為;需對(duì)域名服務(wù)器邊界網(wǎng)絡(luò)設(shè)備的流量、數(shù)據(jù)包進(jìn)行監(jiān)控,監(jiān)控方式可基于監(jiān)聽(tīng)、snmp、flow等網(wǎng)管技術(shù)和協(xié)議;對(duì)域名服務(wù)協(xié)議是否正常進(jìn)行監(jiān)控,即利用對(duì)應(yīng)的服務(wù)協(xié)議或采用相應(yīng)的測(cè)試工具向服務(wù)端口發(fā)起模擬請(qǐng)求,分析服務(wù)器返回的結(jié)果,以判斷當(dāng)前服務(wù)是否正常以及內(nèi)存數(shù)據(jù)是否變動(dòng)。在條件允許的情況下,在不同網(wǎng)絡(luò)內(nèi)部部署多個(gè)探測(cè)點(diǎn)分布式監(jiān)控;部署實(shí)施dnssec;五、采用nsec3方案解決該問(wèn)題;六、提供域名服務(wù)的服務(wù)器數(shù)量應(yīng)不低于2臺(tái),建議獨(dú)立的名字服務(wù)器數(shù)量為5臺(tái)。并且建議將服務(wù)器部署在不同的物理網(wǎng)絡(luò)環(huán)境中;限制遞歸服務(wù)的服務(wù)范圍;利用流量分析等工具檢測(cè)出ddos攻擊行為,以便及時(shí)采取應(yīng)急措施;在域名服務(wù)系統(tǒng)周圍部署抗攻擊設(shè)備,應(yīng)對(duì)這類型的攻擊;七、限制遞歸服務(wù)的服務(wù)范圍,僅允許特定網(wǎng)段的用戶使用遞歸服務(wù)。八、對(duì)重要域名的解析結(jié)果進(jìn)行重點(diǎn)監(jiān)測(cè),一旦發(fā)現(xiàn)解析數(shù)據(jù)有變化能夠及時(shí)給出告警提示;部署實(shí)施dnssec;九、利用流量分析等工具檢測(cè)出攻擊行為;在域名服務(wù)系統(tǒng)周圍部署抗攻擊設(shè)備,應(yīng)對(duì)這類型的攻擊;此外,為了加強(qiáng)域名服務(wù)的安全

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論