DNS漏洞:很幸运地避开了第一颗子弹(1)
2018-06-23 来源:
在最近的一篇文章“域名系统:痛苦的回忆是多么重要”,我曾经提到丹·卡明斯基(网络安全产品和服务提供商IOActive和Doxpara的测试总监)发现的这个问题。在前段时间举行的黑帽2008年会上,卡明斯基终于披露了发现的缺陷的细节。这个设计上的缺陷,导致域名服务器很容易受到缓存攻击的威胁。为了真正了解这个缺陷的严重程度,我们需要从域名系统的查询原理开始了解。
域名系统(DNS)
人类很容易记住由FQDN等字母组成的名字,而象计算机一类的数字机器则使用数字(网络地址)进行存储。域名系统就象两者之间进行交流的桥梁一样,让我们在网络浏览器中输入网络地址或者电子邮件地址而不是一个隐藏的数字。举例来说,如果要访问netsecurity.51cto.com网站的时间,可以利用我的网络浏览器进行下列操作步骤以达到目的:
1.在网络浏览器中输入netsecurity.51cto.com。
2.网络浏览器要求解析器(将FQDN之类的字母信息转换为数字网络地址的域名系统后台客户端应用)将netsecurity.51cto.com转换为一个网络地址(数字形式)。
3.解析器会首先检查系统的主机文件和本地缓存,看看是否有存在可用的字母信息转换为数字网络地址的组合。如果存在的话,解析器将通过网络地址进行连接。如果没有的话,解析器将连接我的互联网服务提供商的域名服务器,要求它提供netsecurity.51cto.com的网络地址。
4.如果互联网服务提供商的域名服务器在缓存中找到相关数据的话,它会立即再建立一个连接,将网络地址返回给解析器。关于域名服务器,我们需要明白的关键一点是。它只是一台域名服务器,需要其它服务器提供官方的信息。
5.如果没有找到的话,我的互联网服务提供商的域名服务器将连接官方的域名服务器查询techrepublic.com的网络地址。在这里解释一下,由字母组成的netsecurity.51cto.com有三个部分。在官方域名服务器进行查询的时间,首先是Com,接着是51cto,最后是netsecurity。
6.首先,我的互联网服务提供商的域名服务器将查询根域名服务器(官方的.com、 .net等)。根域名服务器将向我的互联网服务提供商的域名服务器返回.com域名服务器的信息。
7.接下来,我的互联网服务提供商的域名服务器将查询.com域名服务器(.com域名的官方域名服务器)中techrepublic.com的网络地址。.com域名服务器就可以将实际的网络地址发送给我的互联网服务提供商的域名服务器。
8.现在我的互联网服务提供商的域名服务器就可以查询51cto.com域名服务器上netsecurity.51cto.com的网络地址了。最后,我的互联网服务提供商的域名服务器将找到的网络地址发给我的计算机上的解析器,就可以建立连接了。
9.一旦连接建立,网络服务器就会将指定的网页发送到我的计算机上,并显示在网络浏览器中。
为了获得网站的网络地址看起来好象要耗费大量反复的工作。但值得庆幸的是,由于域名系统协议包含了多项功能,所以这些工作只需要几毫秒就可以完成。我想对这些功能进行一下快速概要的说明,因为它们和讨论的域名系统缺陷有很重要的关系。
缓存
为了减少查询的次数,域名系统使用了缓存。举例来说,我的互联网服务提供商的域名服务器可能已经有最近和.com域名服务器查询的结果。这样的话,我的互联网服务提供商的域名服务器就可以将这些信息保存在专门分割出来的一块缓存区域中。如果一个网站受到欢迎经常被访问,对于我的互联网服务提供商的域名服务器来说,比较好的办法是将网站的网络地址保存在缓存中。
生存期(TTL)
如果TechRepublic网站的技术部门决定改变netsecurity.51cto.com网站的网络地址。在这种情况下,如何保证世界各地的域名服务器尽快得到netsecurity.51cto.com的新网络地址?这个时间,缓存中的一个叫做生存期(TTL)的部分就起作用了。生存期可以控制服务器更新缓存中的转换表的时间。这样可以保证新的信息被及时加入,以保证域名系统信息的准确性。
“越权”
“越权”是指不涉及到原始域名系统查询的其它信息。举例来说,一个互联网服务提供商的域名服务器要求提供netsecurity.51cto.com的信息,结果返回的是net.51cto.com的信息。这个信息就是越权。信息越权在早期版本的域名系统中出现过,但现在已经不是问题了。在这里提到是因为它涉及到卡明斯基域名系统错误的讨论。
现在我们对域名系统查询原理有了认识,也了解了相关的内容,不清楚的地方已经给予了解释。下面,我们就来了解一下域名系统的简单历史。
共4页: 1 [2] [3] [4] 下一页 | ||||||
|
标签: dns 安全 电子邮件 服务器 互联网 互联网服务 网络 网络安全 网络安全产品 网络服务器 域名 域名系统
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。
上一篇:DOS.VCL-based