计算机网络安全原理（第2版）课件 第8章 DNS安全.pptx

本PPT是电子工业出版社出版的教材《计算机网络安全原理》配套教学PPT（部分内容的深度和广度在教材的基础上有所扩展），作者：吴礼发

本PPT可能直接或间接采用了网上资源、公开学术报告中的部分PPT页面、图片、文字，引用时我们力求在该PPT的备注栏或标题栏中注明出处，如果有疏漏之处，敬请谅解。同时对被引用资源或报告的作者表示诚挚的谢意！

本PPT可免费使用、修改，使用时请保留此页。;第八章DNS安全;内容提纲;DNS;DNS;DNS;域名的层次结构;域名的层次结构;;递归查询;浏览器导航栏中键入网站的域名或单击URL链接后，浏览器将启动DNS解析过程来查找这些IP地址

浏览器会向“解析器”(resolver)发送一个查询，解析器会在本地保留以前查询过的问题的答案副本（缓存），如果存在直接响应浏览器。如果缓存中没有，则解析器会执行完整的DNS解析过程。;向13个根服务器中的任意一个根服务器发送包含网站域名的查询，询问该网站对应的IP地址。收到查询请求的根服务器会返回一个“引荐”（referral）作为响应，包含网站域名TLD的名称服务器的列表。例如，如果您尝试访问网站，您的解析器将向其中一个根服务器发送一个查询，询问该域名的IP地址，此时，根服务器将返回一个列出了“.com”（我们示例中的TLD）的所有名称服务器的列表。;将同一查询发送到引荐响应中收到的其中一个TLD的名称服务器。TLD名称服务器通常也只包含它们负责的域的名称服务器信息。因此，就像发送到根服务器的查询一样，发送到TLD名称服务器的查询也会收到引荐响应，提供一个有关所查询的二级域的名称服务器列表。如前例，解析器将向其中一个“.com”名称服务器发送对“”的查询，询问该域名的IP地址，“.com”名称服务器将返回一个列出“”的所有名称服务器的列表。

;此解析过程将一直继续，直到将查询发送到符合以下条件之一的域名服务器：拥有答案，即Web服务器的IP地址；或者域名服务器能够发布权威性声明，表示所查询的域名不存在。在示例中，解析器将向其中一个“”的名称服务器发送对“”的查询??该名称服务器可能知道与“”相关的IP地址，并返回这些地址。。

;根服务器系统（rootserversystem）由1000多台单独的计算机（称为根服务器“节点”【instance】）组成，这些计算机会保留DNS的根数据。这些节点通过引荐顶级域的名称服务器来响应来自互联网解析器的查询。

根服务器镜像;递归与迭代相结合的查询;;内容提纲;;;一、协议脆弱性

域名欺骗：域名系统(包括DNS服务器和解析器)接收或使用来自未授权主机的不正确信息，事务ID欺骗和缓存投毒

;DNS缓存;一、协议脆弱性

域名欺骗：域名系统(包括DNS服务器和解析器)接收或使用来自未授权主机的不正确信息，事务ID欺骗和缓存投毒

;一、协议脆弱性

USENIXSecurity2020：郑晓峰等，PoisonOverTroubledForwarders:AcachePoisoningAttackTargetingDNSForwardingDevices。提出了针对DNS协议设计的一种新的攻击方法，可以针对广泛部署的DNS转发服务（如家用Wi-Fi路由器、公共Wi-Fi等场景）实现缓存污染攻击，D-Link、Linksys、微软DNS、开源软件dnsmasq等多个知名品牌的产品或系统可能受到该攻击的影响。;一、协议脆弱性

域名欺骗：域名系统(包括DNS服务器和解析器)接收或使用来自未授权主机的不正确信息，事务ID欺骗和缓存投毒

;DNS安全威胁;阅读在线文档“真的黑客能让你分分钟开进沟里，但他们不屑于此”（/s/z-Qk0-uDchvEtGKQDw8wkQ），讨论2008年丹·卡明斯基发现的DNS缓存攻击方法和2020年段海新、钱志云等人发现的DNS缓存攻击方法的实现过程

;一、协议脆弱性

网络通信攻击：针对DNS的网络通信攻击主要是DDoS攻击、恶意网址重定向和中间人(man-in-the-middle,MITM)攻击;一、协议脆弱性

网络通信攻击：DNS域名解析过程劫持;一、协议脆弱性

网络通信攻击：DNS域名解析过程劫持;一、协议脆弱性

网络通信攻击：DNS域名解析过程劫持;一、协议脆弱性

网络通信攻击：DNS域名解析过程劫持;一、协议脆弱性

网络通信攻击：DNS域名解析过程劫持;一、协议脆弱性

网络通信攻击：DNS域名解析过程劫持;一、协议脆弱性

网络通信攻击：DNS域名解析过程劫持;一、协议脆弱性

网络通信攻击：DNS域名解析过程劫持;一、协议脆弱性

网络通信攻击：DNS域名解析过程劫持