DNS协议分析与安全检测信息安全基础信息化1280.doc

DNS协议分析与安全检测_信息安全_基础信息化??? 域名系统（DNS）是一种用于TCP/IP的分布式数据库，它是多种Internet应用的基础，如E-mail、www、telnet等，DNS的应用极为广泛而且非常重要。近几年来，DNS遭受到了一系列的攻击，导致Internet的通信受到严重影响。在某些严重的情况下导致数据被骗取，造成一些公司、机构等遭受巨大损失。因此，众多业内人士开始关注DNS的安全问题,并且DNS的安全已经成为互联网安全研究的焦点。本文在分析DNS报文格式基础上，着重讨论了DNS的安全问题，并且在综合运用多种网络安全技术的基础上提出了一系列的安全解决方案。??? 1DNS基本信息??? 1.1DNS的概念??? 所谓DNS，是DomainNameSystem的英文缩写，又称域名系统，它是一种组织成层次结构的计算机和网络服务的命名系统。DNS命名用于TCP/IP网络，如Internet，用来通过用户友好的名称（比如“”）代替难记的IP地址（比如“88”），以定位计算机和服务。??? 1.2DNS的组成??? (1)域名空间和资源记录，域名空间是一种树状结构，资源记录是与名字相关的一些数据。从概念上说，每个结点和域名空间树的叶子结点都有一定的信息，而查询是要查询出一些与之相关的特定信息。??? (2)域名服务器是服务器程序，它保留域名树结构和相应的信息，它可以缓冲各种数据，保存域名树中的任何部分，但是通常它保存域名空间的一个子集，如果需要查询其他信息,可以通过指向其他域名服务器的地址寻找。这个域名服务器是这一部分的认证权威，所有的认证信息组成一个单元称为区，这些区可以分布于不同的服务器上以保证数据的冗余。??? (3)resolver是向域名服务器提出查询请求并将结果返回给客户的程序，它必须可以访问至少一个域名服务器，并将结果直接返回给用户或向别的域名服务器进行查询。??? 1.3DNS服务器的工作原理??? 客户机将域名查询请求发送到本地DNS服务器，DNS服务器将在本地数据库中查找客户机要求的映射；如果本地DNS服务器不能在本地找到客户机查询的信息，则将客户机请求发送到根域名DNS服务器。根域名DNS服务器负责解析客户机请求的根域部分，它将包含下一级域名信息的DNS服务器地址返回给客户机的DNS服务器；客户机的DNS服务器利用根域名服务器解析的地址访问下一级DNS服务器，得到维护再下一级域名的DNS服务器地址；按照上述递归方法逐级接近查找目标，最后在维护有目标域名的DNS服务器上找到相应的IP地址信息；客户机的本地DNS服务器将递归查询结果返回客户机；客户机利用从本地DNS服务器查询得到的IP地址访问目标主机。??? 2DNS报文分析??? DNS定义了两种报文，一种为查询报文；另一种是对查询报文的响应，称为响应报文。??? 2.1查询报文格式??? 查询报文格式如图1所示。??? 图1DNS查询报文格式??? 2.2响应报文格式??? 图2DNS响应报文格式??? 2.3报文细节分析??? 无论是查询报文还是响应报文，都有12个字节的头和查询问题。??? (1)标识：占两个字节，同一个问题的查询和响应标识必须相同。??? (2)标志：占两个字节，表示如图3所示。??? 图3DNS报文标志??? QR：这一位是查询和响应报文的标志，0表示查询报文，1表示响应报文；Opcode：操作码占4bit，值为0表示标准查询，值为1表示反向查询，值为2表示服务器状态请求。标准查询是给出主机名查询其对应的IP；反向查询是给出IP查询其对应的主机名；AA：占1bit，表示该域名服务器是否是授权给该域的，1表示授权，0表示未授权；TC：占1bit，表示是否可截断。当使用UDP时，若此位为1，表示当响应报文的总长度超过512字节时，只返回前512个字节，是可截断的；RD：占1bit，表示是否期望递归。为1时表示查询方式是递归查询；如果该位为0，且被请求的域名服务器没有一个授权回答，则查询方式为迭代查询；RA：占1bit，表示是否可用递归。如果域名服务器支持递归查询，则在响应中将该比特设置为1，大多数名字服务器都提供递归查询，除了某些根服务器；随后的3bit字段必须为0；Rcode：结果代码占4bit，值为0表明没有差错，值为1表明报文格式出错，值为2表明服务器查询失败，值为3表明名字出错。??? (3)问题数、回答资源记录数、授权资源记录数、附加资源记录数分别描述各自的记录数目。对于查询报文，问题数通常是1，而其他三项则均为0。响应报文随问题不同而变化。??? (4)查询问题：由查询名、查询类型、查询类三部分组成。查询名是要查找的名字，它是一个或多个标识符的序列，它的存储方法是先存储每个子域的字符数，再存储相应的字符，依次存储