DNS缓存投毒攻击原理与防御策略

2017-03-27

5605

N ETWORK & INFORMATION SECURITY网络与信息安全DNS缓存投毒攻击原理与防御策略靳冲1，2，郝志宇1，吴志刚112中国科学院计算技术研究所，北京100190中国科学院研

N ETWORK & INFORMATION SECURITY

网络与信息安全

DNS缓存投毒攻击原理与防御策略

靳冲1，2，郝志宇1，吴志刚1

2中国科学院计算技术研究所，北京100190中国科学院研究生院，北京100190

摘要：DNS是Internet最重要的基础设施之一，若遭受攻击将影响Internet的正常运转，因而其安全性备受关注。本文分析了传统以及新型（Kaminsky）DNS缓存投毒（Cache Poisoning）攻击的原理，给出攻击实例，详细描述了攻击流程，验证了DNS缓存投毒攻击潜在的危害性，并提出若干防御策略。

关键词：DNS；缓存投毒；Kaminsky攻击

Principles and Defense Strategies of DNS Cache Poisoning

Jin Chong1, 2, Hao Zhiyu1, Wu Zhigang1

2Institute of Computing Technology of Chinese Academy of Sciences, Beijing 100190Graduate University of Chinese Academy of Sciences, Beijing 100190

paper analyzes the principles of both traditional and novel (Kaminsky) DNS Cache Poisoning, presents attack samples and describes the whole attack process in detail. After verifying the potential harm of DNS Cache Poisoning, the paper gives out several defense strategies.

Key Words: DNS; cache poisoning; Kaminsky attack

I.概述

DNS（Domain Name System）是一个多层次的

分布式数据库系统，其基本功能是完成域名解析，

即提供域名和IP 地址之间的映射关系，为互联网

（Internet）用户提供便利。DNS 是Internet 的基础，

也是目前互联网上最成功的应用之一，其安全性备受关注。DNS缓存投毒（DNS Cache Poisoning）是DNS 攻击中危害较大的一种，也是当前DNS 攻击领域的研究热点。它通过使用虚假IP 地址信息替换名字服务器缓存中主机记录的真实IP 地址信息来制造破坏[6,7]。本文介绍了传统DNS 缓存投毒攻击以及新型的Kaminsky 攻击的基本原理，并提出了可行的防御策略。

2009.11 17

China Communications

II.传统DNS缓存投毒攻击

一台DNS 服务器只记录本地资源的所有授权主机，若想查询非本地的主机信息，则要向信息持有者（权威DNS 服务器）发送查询请求。为了避免每次查询都发送请求，DNS服务器会把权威DNS 服务器返回的查询结果保存在缓存中，并保持一定时间，这就构成了DNS 缓存（DNS Cache）。DNS缓存投毒攻击就是通过污染DNS Cache，用虚假的IP 地址信息替换Cache 中主机记录的真实IP 地址信息来制造破坏。

2.1 DNS解析过程

在分析DNS 缓存投毒攻击原理之前，先阐述一下DNS 解析过程。假设要查询的域名为，并假设客户端和首选的缓存名字服务器（即缓存DNS 服务器）满足以下条件：

（1）首选缓存名字服务器和客户端首次启动，没有本地缓存信息。

（2）首选缓存名字服务器不是目标域名的权威名字服务器。

查询过程如图1所示，步骤如下：

（1）客户端向首选缓存名字服务器发起递归查询的请求。

（2）首选缓存名字服务器检查本地资源记录，若存在则作授权回答；若不存在，则检查本地缓存，

如存在则直接给客户端返回结果。若本地资源记录

和缓存中都不存在，则向根名字服务器发起迭代查询。根据假设条件，本例查询中将向根名字服务器继续查询。

（3）根名字服务器返回cn 域的权威名字服务器（即顶级域名服务器）的地址，首选缓存名字服务器继续向顶级域名服务器发起迭代查询。

（4）顶级域名服务器返回ac.cn 域的权威名字

服务器地址，首选缓存名字服务器继续向该地址请求迭代查询。如此继续，直到得到的授权回答，保存在本地缓存中，并返回给客户端，完成此次查询。

2.2 DNS报文格式

DNS 定义了用于查询和应答的报文格式，通常采用UDP 协议传输查询请求和应答数据包。表1 (a)显示了DNS 查询报文格式，表1 (b)显示了DNS 应答报文格式。

表1(a) DNS查询报文标识问题数

查询问题

标志

资源记录数附加资源记录数

授权资源记录数

表1(b) DNS应答报文标识问题数授权资源记录数

查询问题

标志资源记录数附加资源记录数

回答资源记录（可变）授权资源记录（可变）附加资源记录（可变）

2.3 传统DNS缓存投毒攻击原理

目前DNS 采用UDP 协议传输查询和应答数据包，采用简单信任机制，对首先收到的应答数据包仅进行原查询包发送IP 地址、端口和随机查询ID 的确认，而不会对数据包的合法性做任何分析，若匹配，则接受其作为正确应答数据包，继续DNS 解析过程，并丢弃后续到达的所有应答数据包。这就使得攻击者可以仿冒权威名字服务器向缓存DNS 服务器发送伪造应答包，力争抢先完成应答以污染DNS 缓存。若攻击者发送的伪造应答包在权威名字服务器发送的正确应答包之前到达缓存DNS 服务器，并与原查询包IP 地址、端口和随机查询ID 相匹配，就能够成功污染DNS 缓存。图2显示了传统DNS 缓存投毒攻击的过程。

攻击者伪造的应答数据包（红色所示）若能先于正确应答数据包（黑色所示）到达缓存DNS 服务器，并与原查询包发送IP 地址、端口和随机查询ID 相匹

18 2009.11

N ETWORK & INFORMATION SECURITY

网络与信息安全

配，则将成功污染缓存DNS 服务器的Cache[10]，使

得在该Cache 有效期内，所有使用该缓存DNS 服务器的用户对域名。

2.4 传统DNS缓存投毒攻击的缺陷

图3显示的是传统DNS 缓存投毒攻击成功的时间序列示意图[1]。

其中，Active Attack阶段表示：缓存DNS 服务器的Cache 中没有要查询域名主机的记录，因而向外发送查询数据包，从向该域名主机的权威名字服务器发送查询请求开始到收到应答数据包的时间（即如图1中过程（4））。若缓存DNS 服务器的Cache 中存在要查询域名主机的记录，则缓存DNS 服务器将直接由Cache 中读取相应信息，TTL则表示DNS Cache 中对已有记录信息的保持时间。

（1）如果DNS Cache 中没有攻击目标域名的记录，则由传统DNS 缓存投毒攻击原理可知，攻击者在Active Attack阶段内发动攻击，且伪造的应答数据包在Active Attack阶段内到达缓存DNS 服务器，才有可能污染Cache，使得攻击成功。

（2）如果DNS Cache 中存在攻击目标域名的记录，即处于TTL 时间段内，这时缓存DNS 服务器将直接从Cache 中读取信息，而不再进行向根名字服务器等的迭代查询，攻击者将不可能成功；这种情况下，攻击者要等该记录在Cache 中失效，即TTL 时间后，重新处于（1）中所述情况时，再发动攻击，才有可能成功。

当对同一域名持续攻击时，假设攻击开始前缓存DNS 服务器的Cache 中没有该域名记录，若在一个Active Attack阶段中攻击不成功，再组织有效攻

击则需要有TTL 的时间间隔。但是，Active Attack

阶段时间一般较短，而当前大多数缓存DNS 服务器的Cache TTL 设置的时间又较长，这就导致一定时间内可利用的攻击时间很少，大大降低了攻击成功的概率。这也就是传统DNS 缓存投毒攻击最早在1990年即已出现，并且一旦攻击成功，危害极为严重，却一直没有引起广泛关注的原因。然而，新型的Kaminsky 攻击克服了这一缺陷，大大提高了攻击成功率，因此一经公布就受到广泛重视。III.KAMINSKY缓存投毒攻击

2008年夏天，Dan Kaminsky 发现了一种新型DNS 缓存投毒攻击，引起了网络安全界的广泛关注。该攻击方法克服了传统DNS 缓存投毒攻击存在的攻击所需时间长、成功率很低的缺陷。

3.1 Kaminsky攻击原理

传统的DNS 缓存投毒攻击，污染的目标是应答数据包中带有查询结果IP 地址的回答资源记录部分（参见表1 (b)），而Kaminsky 攻击上升了一个层次，污染的目标是应答数据包中Authority Records部分（授权资源记录，参见表1 (b)）。图4显示了Kaminsky 攻击流程。

(1)攻击者向被攻击的目标服务器发送一个DNS 查询请求，该查询请求中的域名主机使用随机序列和目标域名的组合，如图4中的www276930. ict.ac.cn，其中ict.ac.cn 为目标域名，276930是随机生成的序列。显然，这个查询的域名主机是不存在的，正常返回的应答数据包中回答资源记录部分应为NXDOMAIN（表示该域名主机不存在）。

（2）被攻击目标服务器会按2.1节中所述DNS

2009.11

China Communications

解析过程进行查询，此时攻击者伪造应答数据包（红色所示）并发送给目标服务器，若该数据包能在正确应答包(黑色所示) 之前到达目标服务器，并能成功匹配原查询包发送IP 地址、端口和随机查询ID，则攻击成功。

（3）在攻击者伪造的应答数据包中，回答资源记录部分与正确应答包一样（NXDOMAIN，表示该域名主机不存在），但是授权资源记录部分是ns1. ict.ac.cn 的伪造IP 地址1.1.1.1，一旦攻击成功，该资源记录信息将被写入目标服务器的Cache 中。在Cache 保持时间内，对名字服务器ns1.ict.ac.cn 管辖的所有域名的查询都将被发送到攻击者自己控制的IP（1.1.1.1）中。

3.2 Kaminsky攻击的优势

（1）如2.4节所述，传统DNS 缓存投毒攻击中，存在攻击所需时间长、成功率低的问题，而Kaminsky 攻击克服了这一缺陷。Kaminsky攻击中，对同一域名进行持续攻击，每次查询都会在目标域名上添加随机序列，这使得在目标DNS Cache 中一般不存在各个构造域名主机的记录，因此若攻击不成功，则可以更换随机序列连续不断地进行攻击，不存在有效攻击时间的问题，也不存在攻击时间间隔，这将极大地节省攻击所需时间，有效提高攻击成功率。

（2）传统DNS 缓存投毒攻击成功后，只是污染了目标DNS Cache 中的一条主机记录，之后对这一个域名主机的查询将被发送到攻击者控制的IP地址。而Kaminsky 攻击成功后，污染的是目标DNS Cache 中一个域名主机的权威名字服务器的记录，之后对该名字服务器管辖的所有域名主机的查询都将被发送到攻击者控制的IP 地址中，破坏力度远高于传统

DNS 缓存攻击。

3.3 缓存投毒攻击所需信息3.3.1所需信息

一个伪造的DNS 应答数据包需要的信息包括TCP/IP层和DNS 协议层两方面。

TCP/IP层包括srcip（权威名字服务器的IP 地址）、dstip（被攻击的缓存DNS 服务器IP 地址）、sport（权威名字服务器使用的端口，通常为53）、dport（被攻击的缓存DNS 服务器发送请求报文时使用的端口）。

DNS 协议层包括查询域名、TXID（查询随机ID，16bit）。

3.3.2 获取方式

srcip 通过查询要攻击域名的NS 即可获得，可以用dig、nslookup 等命令查询得到。sport通常为53。在公网上搜索可以得到要攻击DNS 服务器的IP 地址信息，从而获得dstip。缓存投毒攻击为攻击者主动发送查询数据包，因此查询域名为攻击者自己构造，相当于已知，例如在3.1节中，查询域名为276930.ict.ac.cn。

最难获得的是dport 和TXID 字段。dport和TXID 都是16bit 字段，两者都有216（65536）种可能值。对于TXID，只能进行猜测，在被攻击的缓存DNS 服务器收到正确应答包之前，越多的伪造应答包到达，命中率越高。对于dport 可以有如下几种获取方法：

（1）猜测。若TXID 和dport 均采用猜测法，那么每个伪造应答包命中的概率仅为1/ (65536x65536)，攻击成功难度较大。

（2）有些DNS 服务器软件，如Bind 的一些版本，

在每次进程启动到停止之间，其发送查询数据包的

图5 查询配置域名

20 2009.11

N ETWORK & INFORMATION SECURITY

网络与信息安全

图6 获取唯一源端口

源端口都是唯一的[3, 4]。对于上述DNS 服务器，可以通过其他手段获得其源端口，即伪造应答包的dport。例如，通过porttest.dns-oarc.net就可得知哪些DNS 服务器存在源端口唯一的漏洞；若再掌握一台权威名字服务器，通过捕包即可获得存在漏洞的DNS 服务器的源端口号。具体方法如下：

在一台可控DNS 服务器上申请域名，例如：dnstest.com.cn，并为其配置一个权威名字服务器，例如：ns1.dnstest.com.cn。用dig 命令发送查询域名dnstest.com.cn 的数据包，如图5所示，其中10.0.15.231是存在源端口唯一漏洞的被攻击服务器IP。

发送查询包的同时，在配置的权威名字服务器ns1.dnstest.com.cn 上，用tcpdump 等工具捕包，即可获得被攻击目标10.0.15.231的源端口号。如图6所示。

至此，即可获得缓存投毒攻击的所需全部信息。3.4 Kaminsky缓存投毒攻击实例

下面记录了一次Kaminsky 攻击前后的全过程。攻击目标DNS 服务器：10.0.15.231，攻击目。Kaminsky攻击前，在目标DNS 服务器的缓存中，对域名的查询结果如图7。

可见，缓存中没有关于域名的记录信息。进行Kaminsky 攻击，如图8所示。

图7 攻击前缓存中记录

Kaminsky 攻击结束后，在目标DNS 服务器的缓存中，对域名dnstest.com.cn 的查询结果如图9。

3.5 缓存投毒攻击存在的问题

对于源端口随机性比较好的DNS 服务器[9]，需要同时猜测TXID 和dport 字段，攻击成功难度较大。

据缓存投毒攻击原理，对已在目标DNS Cache 中的域名进行攻击不能成功。

一个域名通常会有不止一台权威名字服务器，对这样的域名查询时，会从多台权威名字服务器中随机选取一台进行应答，而攻击者无法估计选中的

是哪一台，这就增加了攻击难度。

2009.11

China

Communications

V.结束语

DNS 在互联网上应用广泛，其安全性关系整个Internet 的稳定。本文对传统DNS 缓存投毒和新型Kaminsky 攻击进行了讨论分析，并提出了若干可行的防御策略。DNS缓存投毒攻击还有很多未公开的应用领域，危害性很大，若与其他技术结合，破坏性更强。因此，从根本上解决DNS 缓存投毒攻击，全面加强DNS 的安全，具有重要意义，这也是下一步研究的重点。

（英文全文请参见75页）

图9 攻击成功后缓存中记录

参考文献

IV.DNS缓存投毒攻击的防御策略

尽管传统DNS 缓存投毒攻击已出现多年，Kaminsky 漏洞攻击也已经公布了一年多，但实际上仍有相当一部分DNS 服务器没有进行漏洞补丁修复。针对这种攻击方式，可采取以下几种可行的防御策略：

(1)DNS服务器中Bind 等软件采用源端口随机性较好的较高版本。源端口的随机性可以有效降低攻击成功的概率，增加攻击难度。

(2)增加权威名字服务器的数量。据调查，国际和国内在权威名字服务器部署的数量方面近几年均有所提升[5]，但应进一步加强。

(3)在现有DNS 协议框架基础上，引入一些技巧性方法，增强DNS 安全性。如在对DNS 应答数据包的认证方面，除原查询包发送IP 地址、端口和随机查询ID 外，再增加其他可认证字段，增强认证机制。David Dagon等[2]就曾提出增加对查询域名大小写认证的算法，使DNS 服务器在收到应答数据包后，在原认证基础上，再利用该算法对应答包与原查询包中查询域名大小写进行比对，若匹配，则说明是正确应答包，否则可能为攻击者伪造应答包，进一步增强了安全性。

(4)改进现有DNS 协议框架，例如在DNS 服务器上配置DNSSEC[8]，或引入IPv6协议机制。DNSSEC 是专门保证DNS 安全的机制，试图提升对应答数据包的弱认证方式以提高DNS 安全性。建立在IPv6协议上面的DNS 是一种全新的模式，目前尚处于理论阶段，有待进一步实施。

[1]D.Dagon, M.Antonakakis, K.day, X.Luo, C.P.Lee, W.Lee: Recursive DNS Architectures and Vulnerability Implications. In Proceeding of The 16th Annual Network and Distributed System Security Symposium(NDSS 2009), San Diego, CA, February 2009.

[2]D.Dagon, M.Antonakakis, P.Vixie, T.Jinmei, and W.Lee: Increased DNS Forgery Resistance Through 0x20-Bit Encoding. In Proceedings of the 15th ACM Conference on Computer and Communications Security (CCS 2008), October 2008.

[3]Amit Klein: BIND 9 DNS Cache Poisoning. , 2007.

[4]Amit Klein: BIND 8 DNS Cache Poisoning. , 2007.

[5]王圭. 域名系统安全性研究[D]. 博士学位论文，哈尔滨工业大学，2007.

[6]J.Stewart: DNS Cache Poisoning—The Next Generation [EB/OL]. (2007-08-25). http://www.secureworks.com/research/articles/dns-cache-poisoning/.

[7]T.Olzak: DNS Cache Poisoning: Definition and Prevention [EB/OL]. (2006-03-02). infosecwriters.com .

[8]M. A n d r e w s : T h e d n s s e c l o o k a s i d e validation(dlv) dns resource record，rfc 4431.

, 2006.

[9]“Internet Systems Consortium BIND 9.4.1” (Internet Systems Consortium web page).

h t t p ://w w w. i s c. o r g /i n d e x. p l ? /s w /b i n d /view/?release=9.4.1

[10]K e t i l F r o y n : “D N S P o i s o n i n g ” (demonstration web page), 2003.

22 2009.11

N ETWORK & INFORMATION SECURITY

网络与信息安全

Principles and Defense Strategies of DNS Cache Poisoning

Jin Chong1, 2, Hao Zhiyu1, Wu Zhigang1

Institute of Computing Technology, Chinese Academy of Sciences, Beijing 100190 Graduate University of Chinese Academy of Sciences, Beijing 100190

Abstract : DNS is one of the most important basic infrastructures of the Internet, attacks on which will prevent the Internet from working properly. Therefore, its security is receiving great concern. This paper analyzes the principles of both tradi-tional and novel (Kaminsky) DNS cache poison-ing, presents attack samples and describes the whole attack process in detail. After verifying the potential harm of DNS cache poisoning, the paper gives out several defense strategies.

Key words: DNS; cache poisoning; Kaminsky at-tack

DNS server with the fake IP address information [6, 7]. This paper introduces the basic principles of both traditional and novel (Kaminsky) DNS cache poisoning and offers several defense strategies.

II. TRADITIONAL DNS CACHE POISON-ING

A DNS server only records all local authorized hosts. If the information of a host is to be queried, which is not local, a request message should be sent to the information holder (authoritative name server). To avoid the repetition for deliveries of such requests, the DNS server will save the results returned by the authoritative name server in the cache for a certain time, which constitute the DNS cache. By contaminating the DNS cache, namely replacing the real IP address information of hosts’ records in the cache with the fake IP address infor-mation, DNS cache poisoning causes damages.2.1 DNS ResolutionWe brieﬂ y introduce the DNS resolution here be-fore analyzing the principles of DNS cache poi-soning, assuming that the domain name we are about to query is , namely the target domain name, and that the client as well as the default caching , namely default DNS server, meet the following conditions:

I. INTRODUCTION

DNS (Domain Name System) is a multi-level dis-tributed database system, whose basic function is to complete name resolution, namely providing a mapping relation between domain names and IP addresses, and therefore it brings much conven-ience to Internet users. DNS is the foundation and also one of the most successful applications of the Internet, and its security has drawn a lot of at-tention. DNS cache poisoning is one of the most hazardous methods in DNS attacks, which is also a hot topic in the research area. DNS cache poison-ing causes damages by replacing the real IP ad-dress information of hosts’ records in the cache of

2009.11

China Communications

(1) The client and the default caching start up for the ﬁ rst time so that there is no local cache information.

(2) The default caching name server is not the authoritative name server of the target domain name.

Figure 1 shows the query process. It works as follows:

(1) The client sends a request of recursive query of to the default caching name serv-er.

(2) The default caching name server checks its local records. If there is such information, it re-turns the authoritative answer; else, it will check its local cache and return the result to the client if there exists. If there is no such record in the cache either, it will send an iterative query to a root name server. According to the assumption above, in this example an iterative query is sent.

(3) The root name server returns the address of the authoritative name server of “cn” domain, namely the top-level name server, and the default caching name server keeps sending the iterative query to the top-level name server.

(4) The top-level name server returns the ad-dress of the authoritative name server of “ac.cn ” domain. The default caching name server keeps querying until getting the authoritative answer of . After that, it saves the authoritative answer in its local cache and returns the authorita-tive answer to the client, ﬁ nishing this query proc-ess.

2.2 DNS Message Format

DNS protocol defines message formats for both

queries and responses. Most of the time it uses UDP protocol to transfer the data packets. Table 1(a) shows the message format of DNS queries, and Table 1(b) shows the message format of DNS responses.

2.3 Principles of Traditional DNS Cache Poison-ing

Currently, DNS adopts simple trust mechanism, which only veriﬁ es the destination IP address, the destination port and the random query ID of the re-ceived response data packet, and never makes any analysis of the legality of the response data packet. If the three ﬁ elds above match, the response packet will be accept as the real response data packet. The DNS server will go on with the rest of the DNS resolution process and ignoring all the response packets that arrive later. Therefore, an attacker could pretend to be the authoritative name server and send fake response packets. If one of the fake response packets arrives at the DNS server before the real one, sent by the authoritative name server, and the three fields of the fake packet match the source IP address, the source port and the random query ID of the original query packet, the attacker could successfully contaminate the cache of the DNS server. Figure 2 shows the process of tradi-tional DNS cache poisoning.

76 2009.11

N ETWORK & INFORMATION SECURITY

网络与信息安全

China Communications

packet (Table 1(b)). Figure 4 shows the process of the Kaminsky attack.

(1) The attacker sends a DNS query to the name server to be attacked, in which the hostname is a combination of the target domain name and a ran-dom series, namely www276930.ict.ac.cn in Figure 4, in which ict.ac.cn is the target domain name and 276930 is the random series. Obviously the queried hostname doesn’t exist and the answer resource record in the response data packet returned should normally be NXDOMAIN (namely the hostname doesn’t exist).

(2) The attacked name server will make the que-ry according to the DNS resolution described in 2.1. At this moment, the attacker fakes response data packets (e. g. the red packet in Figure 4) and sends them to the attacked name server. If one fake data packet arrives at the attacked name server prior to the real response data packet (the black packet in Figure 4) and its destination IP address, destination port and random query ID successfully match the corresponding ﬁ elds of the original query packet, the attacker succeeds.

(3) The answer resource record in the fake re-sponse data packet is the same as that in the real response data packet (NXDOMAIN, which means the hostname doesn’t exist), but the authority re-source record is the fake IP address of ns1.ict.ac.cn (1.1.1.1). Once the attacker succeeds, the author-ity resource record will be written into the cache of the attacked name server. During the time that the cache is valid, all queries of the domain names

belonging to the name server ns1.ict.ac.cn will be sent to the IP address (1.1.1.1) which is actually designated by the attacker.

3.2 Advantages of Kaminsky Attack

(1) As mentioned in 2.4, there are several deﬁ cien-cies in traditional DNS cache poisoning, namely the long time needed for a successful attack and the low success possibility, however, the Kaminsky at-tack makes up for such deﬁ ciencies. In the Kamin-sky attack, when continuously attacking a domain name, random series will be appended to the target domain name in each query, and thus there are no records for the domain name of each query in the attacked DNS cache. If one attack is not success-ful, the attacker could replace the random series with a new one and repeat the attack, in which the problem that the effective time in attacks is quite short no longer exists. In this way, the Kaminsky attack saves the attack time dramatically and in-creases the success possibility effectively.(2) If the traditional DNS cache poisoning succeeds, it only contaminates a hostname record in the attacked DNS cache. After that, only the query for the same hostname will be sent to the IP address designated by the attacker. However, if the Kaminsky attack succeeds, it contaminates the domain name record of an authoritative name server in the attacked DNS cache, and then queries of all hostnames ad-ministered by that authoritative name server will be sent to the IP address designated by the attacker. Therefore, the damage caused by Kaminsky attack is much worse.

3.3 Information Needed for DNS Cache Poison-ing Attack

3.3.1 Information Needed

Information needed in faking DNS response data packet should include two aspects: TCP/IP layer and DNS layer.

In TCP/IP layer, it should include srcip (IP ad-dress of the authoritative name server), dstip (IP address of the DNS server to be attacked), sport (port used by the authoritative name server, usually 53), and dport (port used when the attacked DNS server sends queries).

78 2009.11

相关推荐