DNS风险分析及安全防护研究(二):DNS风险安全增强

news/2024/10/30 11:31:48/

针对上节提到的DNS在协议、系统以及在结构中的脆弱性,近年来出现了一些针对性的增强方案。

2.1协议安全增强

2.1.1 DNSSEC

为解决DNS系统在数据传输过程中的真实性和完整性保护问题,IETF提出了DNS安全增强方案DNSSEC,通过对资源记录进行签名,来保证数据的真实性和完整性。

DNSSEC虽然在理论上能够有效解决虚假域名信息的问题,但在实际部署过程中却没有达到预期的效果。因为DNSSE的配置比较繁琐,每一个域都需要将自身的DS记录上传至父域,由父域签名,再上传至根服务器,由此构建起一条根域签名顶级域,顶级域签名二级域的信任链条。然而在当前这个链条中,二级域名的DNSSEC部署率非常低,大约仅有1%的.com、.net和.org域名部署了DNSSEC。

此外DNSSEC的部署还可能引起客户端的解析故障,大量包含数字签名的报文占据带宽资源等问题。

2.1.2 DNS Curve

DNS Curve 通过椭圆曲线加密算法和密钥分发机制,对传输过程中的DNS数据包进行加密,以保证DNS报文的机密性和完整性,然而 DNS Curve的弊端在于采用 DNS Curve的递归服务器无法告知权威服务器关于响应的有效性,因此权威域名服务器只能盲目信任本地递归服务器。此外 DNS Curve需要对DNS协议进行修改,使其部署受到了较大限制。

2.2 系统实现增强

2.2.1 传输协议

当前DNS使用的是UDP协议传输数据,无法进行真实性和完整性验证,因此通过对DNS传输协议进行增强是提高DNS安全性的一种手段。T-DNS使用TCP和TLS协议代替UDP进行传输,解析器与服务器首先建立TCP连接,然后使用TLS协议对DNS消息进行加密保护,这样就能够有效解决数据泄露和恶意篡改问题。但T-DNS的局限性在于TCP连接会影响解析效率,且与传统DNS协议不兼容,难以大范围部署。

2.2.2 查询机制

多个DNS服务器协同工作,能够在单个服务器解析失败时请求其他服务器,是提高系统健壮性和可靠性的有效手段。CoDNS系统采用局部和邻近感知的设计思想来分发DNS请求,当本地DNS服务器失效时,CoDNS自动将请求定向至健康的协同服务器,有效降低延迟,提高查询服务的可靠性。虽然协同DNS提高了可靠性和性能,但系统安全性也会降低,单点失效和故障很容易传播到整个系统。

2.3 体系结构增强

DNS根服务器位于整个DNS系统中的核心地位,这种方式存在单点故障、易受攻击等缺陷,因此去中心化的DNS系统结构在近年来逐渐得到关注。

2.3.1 全分布式系统结构

随着P2P网络结构的出现,基于P2P网络的域名系统结构被提出,采用P2P结构的域名系统,节点间相互平等,不会发生传统DNS系统中单点失败导致整个系统崩溃的中心化问题。

然而P2P结构的DNS系统易受网络环境影响,网络波动会导致查询效率的降低,因此一种P2P和传统DNS相结合的混合结构被提出。这种混合系统中分为两个部分:共有区节点采用P2P网络结构,内部区节点采用传统DNS树形结构。所有共有区节点被分配一个唯一标识符,内部区树形结构的根节点也分配一个唯一标识符,并将两者进行关系映射,将每一个内部区与共有区进行关联。

这种混合结构安全性比传统DNS要高,查询速率比P2P网络更快,然而同样也存在不少局限性,如节点信息更新导致状态不一致,数据伪造等。

2.3.2 基于根服务器联盟的域名结构

现有DNS系统的中心化结构存在一个父域故障,导致整个子域无法解析的情况,为了解决这个问题,应从结构和解析机制两个方面进行改进。

在结构方面,可以建立递归根(递归服务器直接进行根区解析),伪装根(将根区查询引导至镜像根服务器上),开放根(建立一组独立运作的根服务器,使用IANA的根区数据作为解析数据源),全球根(在当前13个根服务器基础上增加更多根服务器数量)。

在解析机制方面,采用域名对等扩散的方式,在这种体系下的自主根和国际根服务器处于混合工作的状态,自主根将目前根服务器的中心化问题转移到了顶级域名服务器,但果.com一类的顶级域名服务器拒绝将权威信息转交给自主根,自主根仍会受到较大限制。

(部分图文来源于网络,如设计侵权,请联系删除)


http://www.ppmy.cn/news/83623.html

相关文章

COMSOL光电案列应用实操教学:

COMSOL多物理场仿真软件以高效的计算性能和杰出的多场耦合分析能力实现了精确的数值仿真,已被广泛应用于各个领域的科学研究以及工程计算,为工程界和科学界解决了复杂的多物理场建模问题。光电作为物理类专业课程中极为重要的一部分,其教学内…

相机光圈和快门

相机光圈和快门 光圈光圈结构光圈值由来光圈范围光圈作用控制画面明暗控制画面景深和锐度 自动光圈 Auto IrisDC-IRIS原理及问题P-IRIS工作原理 快门快门简介快门速度与曝光快门速度与运动安全快门速度高速快门和慢速快门B门和T门 参考文献 光圈 光圈结构 光圈(Ap…

108.(cesium篇)cesium初始定位动画

听老人家说:多看美女会长寿 地图之家总目录(订阅之前建议先查看该博客) 文章末尾处提供保证可运行完整代码包,运行如有问题,可“私信”博主。 效果如下所示: 下面献上完整代码,代码重要位置会做相应解释 <html lang="en"> <

MySQL数据库——MySQL GRANT:用户授权

授权就是为某个用户赋予某些权限。例如&#xff0c;可以为新建的用户赋予查询所有数据库和表的权限。MySQL 提供了 GRANT 语句来为用户设置权限。 在 MySQL 中&#xff0c;拥有 GRANT 权限的用户才可以执行 GRANT 语句&#xff0c;其语法格式如下&#xff1a; GRANT priv_typ…

MySQL基础一篇打通,图文并茂

准备工作 直接使用MySQL提供的数据&#xff0c;下载MySQL示例数据库 MySQL示例数据库模式由以下表组成&#xff1a; Customers&#xff1a;存储客户的数据。Products&#xff1a;存储比例模型车列表。ProductLines&#xff1a;存储产品系列类别列表。Orders&#xff1a;存储…

zabbix分布式2

nginx配置文件修改 #匹配连接次数 curl -s http://127.0.0.1/nginx_status | awk /Active/ {print $3} which curl 查看命令路径 nginx性能监控脚本 nginx_active() { /usr/bin/curl -s http://127.0.0.1/nginx_status | awk /Active/ {print $NF} #$NF最后一个 } nginx_rea…

AAC打包PS

本程序实现通过UDP接受原始AAC数据&#xff0c;并且打包后通过UDP发送示例&#xff0c;里面主要介绍了AAC打包PS的关键流程&#xff0c;希望给到小伙伴们启示。 #include <netinet/in.h> #include <sys/socket.h> #include <unistd.h> // 计算校验和 unsig…

利用KubeVela和KEDA实现自动化弹性伸缩的最佳实践

随着云计算技术的不断发展&#xff0c;应用系统的规模和复杂度都在不断增加&#xff0c;弹性伸缩能力已经成为现代应用系统必不可少的一部分。弹性伸缩能力是指应用系统能够在不影响服务质量的情况下&#xff0c;根据负载和资源使用情况进行自动调整&#xff0c;包括扩容和缩容…