TCP/IP體系架構、DNS安全、域名劫持、DNS污染、DNSSEC
- 一、TCP/IP體系架構
-
- 1.TCP/IP體系分層特點
- 2.各層次的主要功能
-
-
- 總結:計算機網絡通信離不開各層之間的互相轉換。
-
- 二、DNS
-
-
- 1.DNS概述
- 2.DNS安全
- 3.基于安全問題,DNS安全擴充(DNSSEC)等提出了一些解決措施
- 4.DNS系統的安全設定
-
一、TCP/IP體系架構
簡潔開放、網際網路絡在設計之初對于安全性的考慮并不多。
基于這種前提設計的網際網路絡協定在日益複雜的網絡環境當中存在着很大的安全隐患。
1.TCP/IP體系分層特點
- 第一層隻是提供與不同的實體網絡之間的接口。(開放性的展現,可以将其他的網絡包羅收納)
-
TCP/IP将精力集中于網絡的互聯
個人一般使用配置的都是區域網路絡裝置,大量集中于網絡接口層,這一層TCP/IP沒有相關定義,是以基于網絡通信的完整性了解,4->5
2.各層次的主要功能
-
實體層
(1)計算機二進制裝置,是以計算機向存儲媒體中傳輸的都是二進制比特流,媒體隻能識别光電信号,是以實體層要實作的一個重要功能就是将比特流轉化為光電信号。
實體層隻考慮比特率的傳輸,而不考慮差錯率,出錯了他也不管。
實體層無法對收發雙方進行編址,進而隻能進行廣播式發送。
-
資料鍊路層
借助于資料鍊路層解決實體層解決不了的事情
資料鍊路層提供MAC位址 (00-C2-C6-28-35-8D) ,協定資料單元是幀,在廣播中解決了收發雙方的編址問題。
幀的尾部加上了校驗序列,可進行差錯處理
資料鍊路層隻能實作同一個廣播域内的通信,要想去外界看看,去其他的廣播域。就需要再去找上層。 -
網絡層
解決不同廣播域的互聯問題、采用IP邏輯編址(32位IP位址),協定資料單元是分組,負責分組從源主機網絡跳動路由至目的網絡,分組IP可到達目的IP多對應的計算機
4. 通信的實質是在兩台計算機上一對程序之間進行的,是以我們需要對程序進行編址,運輸層用16位的端口号對程序進行編址,實作程序之間的通信, 5. 32位IP位址實在是難記憶,用IP位址辨別通信對象太費勁了,是以應用層用DNS(域名解析系統)将IP于域名(例如www.baidu.com)對應起來,是以域名就是應用層的編制
總結:計算機網絡通信離不開各層之間的互相轉換。
二、DNS
1.DNS概述
上面的事故就是私鬥的地方選擇了DNS伺服器,從打人家私服變成了攻擊DNS解析伺服器。
由于DNS的基礎性和全局性是以會有這樣的以點制面、擊一發而動全身的效果
so:DNS協定的安全非常重要
DNS:域名系統( Domain Name System,DNS)最基本的功能是實作域名與對應的IP位址之間的轉換。
比如:新浪網站的一個IP位址是202.106.184.200,幾乎所有使用者都使用www.sina.com.cn,而并非使用IP位址來通路。
使用域名比使用IP的好處:
- 域名便于記憶
- IP可變,域名不變(這個蠻重要的,你因為某些原因要換伺服器啥的,就挺有用了)
具體實作域名解析系統的,是分布在各地的域名伺服器。
域名伺服器的管轄範圍為區
簡單一些可以認為:根域名伺服器包容萬千,然後低層次的是他的一部分,國内最常用的就是114.114.114.114這種,谷歌的就是8.8.8.8這種,有的時候你打不開網頁可能就是DNS出問題了,可以通過換DNS嘗試解決一下。
本地域名伺服器:也稱為預設域名伺服器。
當一個主機發出DNS查詢請求時,該封包就首先發送給本地域名伺服器。
頂級域名伺服器要麼給一個ip,要麼給你個訓示,指導你去哪一個DNS伺服器查詢。
高速緩存:
每個域名伺服器都維護個高速緩存,存放最近使用過的域名的記錄。(減輕根域名伺服器的負荷,少了很多查詢請求 )
2.DNS安全
-
緩存中毒 :在DNS伺服器的緩存中存入大量僞造的資料記錄主動供使用者查詢。例如:将查詢指向某-個特定的伺服器;
将所有的郵件指向某一台郵件伺服器 ,攔截利用該DNS進行解析的郵件。(這個還是蠻危險的)
-
拒絕服務攻擊
(1)直接攻擊DNS伺服器(就是直接打,頻發發送大量的DNS服務請求,就像一個飯店本來最多容納100吃飯,你給他塞100000人,直接就崩潰了)
(2)利用DNS伺服器作為“中間人”去攻擊網絡中的其他主機
比如:
-
域名劫持
通過采用非法手段獲得某一個域名管理者的賬戶和密碼,或者域名管理郵箱。
将該域名的IP位址指向其他的主機(該主機的IP位址有可能不存在)。
3.基于安全問題,DNS安全擴充(DNSSEC)等提出了一些解決措施
-
DNSSEC的基本原理:域名系統安全擴充( DNSSEC )是在
原有的域名系統( DNS )上通過公鑰技術,對DNS中的資訊進行數字簽名,進而提供DNS的安全認證和資訊完整性檢驗。
- DNSSEC的應用現狀:DNSSEC作為對目前DNS的安全擴充,可有效地防範DNS存在的各種攻擊,保證用戶端收到的DNS記錄的真實性和完整性。
- 但轉變是一個漸進的過程就跟IPV4——>IPV6一樣。
4.DNS系統的安全設定
-
選擇安全性較高的DNS伺服器軟體
UNIX/Linux選用最新版本的BIND軟體。
Windows NT伺服器建議使用最新版本的DNS系統。
-
限制端口
DNS在工作時使用UDP 53和TCP 53端口進行通信。
隻開放UDP53和TCP53兩個端口,限制其他端口的通信,加強系統的安全性。