自从“阿帕网”逐渐发展成今天的互联网,它经历了质的飞跃,尽管时间很短,但其功勋卓著。随着互联网的到来,信息技术如同野马脱缰,势不可挡,推动经济发展和社会进步,成为人类发展的核心。人类对互联网的依赖越来越重要,而域名解析服务系统(Domain name resolution, DNS)作为网络服务的核心之一,它将复杂的IP地址转换为易于记忆的域名。
保障DNS服务器的安全运行对于网络安全和正常运营至关重要,因为一旦负责转换的域名服务器遭受攻击并产生虚假DNS信息,将直接导致互联网用户无法使用互联网,网站可能遭受攻击和信息篡改。
域名服务器遭受安全攻击或被入侵者控制后,入侵者可以随意篡改DNS记录信息。当该服务器向其授权范围内的客户机提供域名服务时,所有信息都变得不可靠,黑客有可能截取和破坏客户机的信息资源。
当一台机器查询本地非授权范围内的IP地址时,本地域名服务器提供迭代解析。如果黑客在解析过程中修改了初始条件,解析结果将出错。
如果域名服务器的高速缓存缓存了无效数据,并且这些数据将被保留一段时间,查询结果会出错。这些攻击会导致网络产生无效数据,破坏网络的完整性。
如果一个域名服务器允许远程主机向其查询其他域(本身不管理这些域)的域名,也就是允许递归查询,可能会导致异常增加的网络流量。单个主机引起的流量增加可能无法导致服务器拒绝服务攻击。
然而,通过利用DNS分级方式的弱点,当域名服务器收到一个域名解析请求时,它往往会转发给上一级DNS服务器。如果该查询请求无法解析,因为上一级域名服务器未启动DNS服务或未进行回应,每个转发服务器将尝试自行解析,通常会进行三次重复解析(分别在0秒、12秒和24秒时),甚至更多。
在这种情况下,该域名所在网络的流量显著增加,利用大量域名服务器进行此类查询可能导致向目标网络发送大量数据,从而发起服务器拒绝服务攻击。
设置不当的DNS将泄露过多的网络拓扑结构。如果DNS服务器允许任何人进行区域传输,攻击者将能够看到整个网络架构中的主机名、主机IP列表、路由器名、路由器IP列表,甚至包括机器所在的位置等信息,从而引发新的攻击。
