DNS拒绝服务攻击以及防范措施分析

龙源期刊网 http://www.qikan.com.cnDNS 拒绝服务攻击以及防范措施分析作者：白竞雄来源：《硅谷》2014年第08期摘 要 文章首先就DNS 拒绝服务供给的概念与原理进行分析，而

龙源期刊网 http://www.qikan.com.cn

DNS 拒绝服务攻击以及防范措施分析

作者：白竞雄

来源：《硅谷》2014年第08期

摘 要 文章首先就DNS 拒绝服务供给的概念与原理进行分析，而后进一步针对DNS 服务器攻击防范措施展开了讨论，对于深入了解DNS 的工作机制，提升其安全水平都有一定的积极意义。

关键词 DNS；拒绝服务；攻击；防范

中图分类号：TP3 文献标识码：A 文章编号：1671-7597（2014）08-0082-01

当前信息时代之下，各种网页访问的有效性和信息的可得性，是衡量网站健康状况的基本准绳，然而与信息化共同发展起来的，除了成熟的网络环境，相关的安全问题也愈加尖锐。在诸多安全问题中，关于DNS 的拒绝服务，作为一个危机典范，受到越来越多的关注。 1 DNS拒绝服务供给的概念与原理

想要了解关于DNS 安全攻击的原理，首先需要对DNS 的工作原理有所了解。域名系统（DNS ，Domain Name System）是当前互联网环境下关键的基础设施之一，其存在价值主要在于提供诸多网页的主机名称以及IP 地址之间的映射，确保包括网页浏览以及电子邮件在内的诸多访问请求能够顺利展开。从工作原理角度看，DNS 系统以一个分布式数据库系统的形式存在，当客户段需要解析某一个域名的IP 地址的时候，需要先向DNS 服务器发起查询请求，由DNS 服务器先行搜索本地缓存，如果缓存中不存在相关记录，则进一步展开递归查询直到获取到相应记录，将获取到的映射信息依据优化算法进行存储并且对客户端的查询请求予以回应。

从供给的表现角度看，拒绝服务攻击（DoS ，Denial of Service）的本质目的在于剥夺计算机或网络为合法用户提供正常服务的能力，攻击方通常通过网络向DNS 服务段发起大量查询服务，耗费DNS 服务器查询资源导致无法对正常的用户需求做出响应，也有可能篡改DNS 本地缓存的数据导致其真实性出现误差，从而出现错误解析结果。从原理上看，可以将对于DNS 的攻击划分为两种，包括欺骗式攻击和反弹式攻击。在欺骗式攻击中，攻击方采用缓冲区溢出或者特洛伊木马等攻击方式对DNS 服务器的高速缓存实现入侵，并且诱导使其存储虚假信息，或者获得root 权限改变服务器的转换表使不同的域名映射到被攻击的目标IP 上。对于这种情况，当正常用户发出域名解析查询请求的时候，会得到错误的IP 应答，从而使得用户的计算机访问跳转到错误的网址。而对于反弹式攻击而言，则是指攻击方发送源IP 为被攻击目标IP 的查询报文到大量开放的DNS 服务器，DNS 服务器把相应的应答报文发送到被攻击目标。被攻击目标所在的网络被大量的DNS 应答报文淹没，导致带宽被完全消耗无法对外提供服务。