DNSSEC实做班.pptxVIP

DNSSEC 實做班 TWNIC 技術組 2010 11 月份 DNS簡介 Domain Name System:一個分散、可靠、快速、Client/Server架構、可大量佈建、分層負責的資料庫查詢系統 全球上億部的DNS運作中，成為Internet最重要的基礎 新的社交網站導致大量的DNS查詢 一個單一的MySpace頁面就可能產生200到300次DNS查詢 一個帶有廣告的新聞網站可能產生10到15次DNS查詢 正常的DNS查詢 Cache DNS Server End-user www.twnic.tw IP? www.twnic.tw IP: 28 Root DNS Server .TW DNS Server TWNIC.TW DNS Server DNS弱點 僅用ID作為交易認證 (0-65535) DNS cache poisoning 新版的 DNS 只是將 ID 亂數化 假的DNS server Men in the middle attack Domain hijacking DNS指向被竄改 DNS cache poisoning Cache DNS Server End-user www.twnic.tw IP? www.twnic.tw IP: TWNIC.TW DNS Server www.twnic.tw IP? www.twnic.tw IP:  www.twnic.tw IP? www.twnic.tw IP: 28 駭客入侵修改DNS紀錄 Authority Server End-user www.twnic.tw IP? www.twnic.tw IP: 系統入侵、竄改DNS資料 DNS 運作 .(root) tw. tw. edu.tw. edu.tw. DNS Server (recursive yes) (Cache Server) Client NS/A NS/A NS/A NS/A NS/A NS/A A/MX/CNAME.... A/MX/CNAME.... ????? ????? ????? ????? ????? ????? ??????????????? ??????????????? 入侵事件 時間 主要受害單位 可能原因 攻擊方式 影響 2010/01/12 1.百度 2.R DNS Server遭受入侵後，非法竄改DNS Record 社交工程取得帳號密碼進行非法修改 1.連線至百度時，會被轉向到一個位於荷蘭的ＩＰ地址，百度旗下所有子域名均無法正常連線 2.百度網站被嫁接至雅虎網站 2009/12/18 Twitter Twitter員工的電腦被駭客入侵，進而非法竄改DNS Record 盜用帳戶進行非法修改 Twitter網站被嫁接至惡意網站 為何要DNSSEC 原本DNS的協定就沒有注重在安全上的問題，僅有簡單的安全機制，例如DNS spoofing是很容易的事 DNS協定因先天存在缺失，導致DNS資料正確性受到嚴重威脅 2001年起IETF開始制定DNSSEC標準來解決這個問題 DNS 與 DNSSEC DNSSEC( DNS Security Extensions ) DNS 的資料安全認證機制。 並非不同的軟體，更應該說是一起運作的。 DNSSEC 是透過一種延伸的方法來達成目的，並非修改現有 DNS 的運作模式。 任何DNS的 查詢/回覆/錯誤/流程 沒有任何改變，只是在每一種模式下額外提供資料驗證機制。 非對稱金鑰 透過數學產生兩把有相關的密鑰，稱為公開/私有密鑰 用私有密鑰加密，只有公有密鑰可以打開，亦反之 用電腦A的公開密鑰解密文件，若順利解密，表示資料來源是正確的由電腦A(的私有密鑰)發出 非對稱金鑰 主機 A client Private key Public key Msg xjciaRce27a (加密訊息) Msg Hash 雜湊 雜湊具有獨一無二的特性，適合用在資料編碼，編碼後的資料具有獨一無二的特信 即使變動一個位元，也會有完全不同的雜湊值產生 若有兩筆資料經過雜湊後有相同的雜湊值，稱為碰撞，雜湊演算法應盡量避免碰撞的情況發生 DNSSEC 簡介 DNS + 數位簽章 數位簽章簡介 key1 (Private key) key2 (Public key) Digital signature DNSSEC .(root) tw. tw. edu.tw. edu.tw. DNS Server (recursive yes) (Cache Server) Client NS/A NS/A NS/A NS/A NS/A NS/A A/MX/CNAME.... A/MX/CNAME.... 數位簽章 數位簽章 數位簽章 數位簽章 數位