TCP/IP體系架構、DNS安全、域名劫持、DNS污染、DNSSEC
一、TCP/IP體系架構
簡潔開放、互聯網絡在設計之初對於安全性的考慮並不多。
基於這種前提設計的互聯網絡協議在日益複雜的網絡環境當中存在着很大的安全隱患。
1.TCP/IP體系分層特點
- 第一層只是提供與不同的物理網絡之間的接口。(開放性的體現,可以將其他的網絡包羅收納)
- TCP/IP將精力集中於網絡的互聯
個人一般使用配置的都是局域網絡設備,大量集中於網絡接口層,這一層TCP/IP沒有相關定義,所以基於網絡通信的完整性理解,4->5
![在這裏插入圖片描述]()
2.各層次的主要功能
- 物理層
(1)計算機二進制設備,所以計算機向存儲介質中傳輸的都是二進制比特流,介質只能識別光電信號,所以物理層要實現的一個重要功能就是將比特流轉化爲光電信號。
物理層只考慮比特率的傳輸,而不考慮差錯率,出錯了他也不管。
物理層無法對收發雙方進行編址,從而只能進行廣播式發送。 - 數據鏈路層
藉助於數據鏈路層解決物理層解決不了的事情
數據鏈路層提供MAC地址 (00-C2-C6-28-35-8D) ,協議數據單元是幀,在廣播中解決了收發雙方的編址問題。
幀的尾部加上了校驗序列,可進行差錯處理
![在這裏插入圖片描述]()
數據鏈路層只能實現同一個廣播域內的通信,要想去外界看看,去其他的廣播域。就需要再去找上層。 - 網絡層
解決不同廣播域的互聯問題、採用IP邏輯編址(32位IP地址),協議數據單元是分組,負責分組從源主機網絡跳動路由至目的網絡,分組IP可到達目的IP多對應的計算機
![在這裏插入圖片描述]()
4. 通信的實質是在兩臺計算機上一對進程之間進行的,所以我們需要對進程進行編址,運輸層用16位的端口號對進程進行編址,實現進程之間的通信,
![在這裏插入圖片描述]()
5. 32位IP地址實在是難記憶,用IP地址標識通信對象太費勁了,所以應用層用DNS(域名解析系統)將IP於域名(例如www.baidu.com)對應起來,所以域名就是應用層的編制
![在這裏插入圖片描述]()
4. 通信的實質是在兩臺計算機上一對進程之間進行的,所以我們需要對進程進行編址,運輸層用16位的端口號對進程進行編址,實現進程之間的通信,
5. 32位IP地址實在是難記憶,用IP地址標識通信對象太費勁了,所以應用層用DNS(域名解析系統)將IP於域名(例如www.baidu.com)對應起來,所以域名就是應用層的編制
總結:計算機網絡通信離不開各層之間的相互轉換。
二、DNS
1.DNS概述
上面的事故就是私鬥的地方選擇了DNS服務器,從打人傢俬服變成了攻擊DNS解析服務器。
由於DNS的基礎性和全局性所以會有這樣的以點制面、擊一發而動全身的效果
so:DNS協議的安全非常重要
DNS:域名系統( Domain Name System,DNS)最基本的功能是實現域名與對應的IP地址之間的轉換。
比如:新浪網站的一個IP地址是202.106.184.200,幾乎所有用戶都使用www.sina.com.cn,而並非使用IP地址來訪問。
使用域名比使用IP的好處:
- 域名便於記憶
- IP可變,域名不變(這個蠻重要的,你因爲某些原因要換服務器啥的,就挺有用了)
![在這裏插入圖片描述]()
具體實現域名解析系統的,是分佈在各地的域名服務器。
域名服務器的管轄範圍爲區
![在這裏插入圖片描述]()
簡單一些可以認爲:根域名服務器包容萬千,然後低層次的是他的一部分,國內最常用的就是114.114.114.114這種,谷歌的就是8.8.8.8這種,有的時候你打不開網頁可能就是DNS出問題了,可以通過換DNS嘗試解決一下。
本地域名服務器:也稱爲默認域名服務器。
當一個主機發出DNS查詢請求時,該報文就首先發送給本地域名服務器。
![在這裏插入圖片描述]()
頂級域名服務器要麼給一個ip,要麼給你個指示,指導你去哪一個DNS服務器查詢。
高速緩存:
每個域名服務器都維護個高速緩存,存放最近使用過的域名的記錄。(減輕根域名服務器的負荷,少了很多查詢請求 )
具體實現域名解析系統的,是分佈在各地的域名服務器。
簡單一些可以認爲:根域名服務器包容萬千,然後低層次的是他的一部分,國內最常用的就是114.114.114.114這種,谷歌的就是8.8.8.8這種,有的時候你打不開網頁可能就是DNS出問題了,可以通過換DNS嘗試解決一下。
2.DNS安全
-
緩存中毒 :在DNS服務器的緩存中存入大量僞造的數據記錄主動供用戶查詢。例如:將查詢指向某-個特定的服務器;
將所有的郵件指向某一臺郵件服務器 ,攔截利用該DNS進行解析的郵件。(這個還是蠻危險的)
![在這裏插入圖片描述]()
-
拒絕服務攻擊
(1)直接攻擊DNS服務器(就是直接打,頻發發送大量的DNS服務請求,就像一個飯店本來最多容納100喫飯,你給他塞100000人,直接就崩潰了)
(2)利用DNS服務器作爲“中間人”去攻擊網絡中的其他主機
比如:![在這裏插入圖片描述]()
![在這裏插入圖片描述]()
-
域名劫持
通過採用非法手段獲得某一個域名管理員的賬戶和密碼,或者域名管理郵箱。
將該域名的IP地址指向其他的主機(該主機的IP地址有可能不存在)。
![在這裏插入圖片描述]()
3.基於安全問題,DNS安全擴展(DNSSEC)等提出了一些解決措施
-
DNSSEC的基本原理:域名系統安全擴展( DNSSEC )是在
原有的域名系統( DNS )上通過公鑰技術,對DNS中的信息進行數字簽名,從而提供DNS的安全認證和信息完整性檢驗。 -
DNSSEC的應用現狀:DNSSEC作爲對目前DNS的安全擴展,可有效地防範DNS存在的各種攻擊,保證客戶端收到的DNS記錄的真實性和完整性。
-
但轉變是一個漸進的過程就跟IPV4——>IPV6一樣。
![在這裏插入圖片描述]()
4.DNS系統的安全設置
-
選擇安全性較高的DNS服務器軟件
UNIX/Linux選用最新版本的BIND軟件。
Windows NT服務器建議使用最新版本的DNS系統。 -
限制端口
DNS在工作時使用UDP 53和TCP 53端口進行通信。
只開放UDP53和TCP53兩個端口,限制其他端口的通信,加強系統的安全性。
![在這裏插入圖片描述]()
