dns风险分析及安全防护研究(二):dns风险安全增强-凯发app官方网站

凯发app官方网站-凯发k8官网下载客户端中心 | | 凯发app官方网站-凯发k8官网下载客户端中心
  • 博客访问: 57321
  • 博文数量: 240
  • 博客积分: 0
  • 博客等级: 民兵
  • 技术积分: 2410
  • 用 户 组: 普通用户
  • 注册时间: 2021-08-19 11:01
文章分类

(240)

  • (238)
  • (2)
文章存档

(58)

(126)

(56)

我的朋友
相关博文
  • ·
  • ·
  • ·
  • ·
  • ·
  • ·
  • ·
  • ·
  • ·
  • ·

分类: 网络与安全

2023-05-25 17:12:19

针对上节提到的dns在协议、系统以及在结构中的脆弱性,近年来出现了一些针对性的增强方案。

2.1协议安全增强

2.1.1 dnssec

为解决dns系统在数据传输过程中的真实性和完整性保护问题,ietf提出了dns安全增强方案dnssec,通过对资源记录进行签名,来保证数据的真实性和完整性。

dnssec虽然在理论上能够有效解决虚假域名信息的问题,但在实际部署过程中却没有达到预期的效果。因为dnsse的配置比较繁琐,每一个域都需要将自身的ds记录上传至父域,由父域签名,再上传至根服务器,由此构建起一条根域签名顶级域,顶级域签名二级域的信任链条。然而在当前这个链条中,二级域名的dnssec部署率非常低,大约仅有1%的.com、.net和.org域名部署了dnssec。

此外dnssec的部署还可能引起客户端的解析故障,大量包含数字签名的报文占据带宽资源等问题。

2.1.2 dns curve

dns curve 通过椭圆曲线加密算法和密钥分发机制,对传输过程中的dns数据包进行加密,以保证dns报文的机密性和完整性,然而 dns curve的弊端在于采用 dns curve的递归服务器无法告知权威服务器关于响应的有效性,因此权威域名服务器只能盲目信任本地递归服务器。此外 dns curve需要对dns协议进行修改,使其部署受到了较大限制。

2.2 系统实现增强

2.2.1 传输协议

当前dns使用的是udp协议传输数据,无法进行真实性和完整性验证,因此通过对dns传输协议进行增强是提高dns安全性的一种手段。t-dns使用tcp和tls协议代替udp进行传输,解析器与服务器首先建立tcp连接,然后使用tls协议对dns消息进行加密保护,这样就能够有效解决数据泄露和恶意篡改问题。但t-dns的局限性在于tcp连接会影响解析效率,且与传统dns协议不兼容,难以大范围部署。

2.2.2 查询机制

多个dns服务器协同工作,能够在单个服务器解析失败时请求其他服务器,是提高系统健壮性和可靠性的有效手段。codns系统采用局部和邻近感知的设计思想来分发dns请求,当本地dns服务器失效时,codns自动将请求定向至健康的协同服务器,有效降低延迟,提高查询服务的可靠性。虽然协同dns提高了可靠性和性能,但系统安全性也会降低,单点失效和故障很容易传播到整个系统。

2.3 体系结构增强

dns根服务器位于整个dns系统中的核心地位,这种方式存在单点故障、易受攻击等缺陷,因此去中心化的dns系统结构在近年来逐渐得到关注。

2.3.1 全分布式系统结构

随着p2p网络结构的出现,基于p2p网络的域名系统结构被提出,采用p2p结构的域名系统,节点间相互平等,不会发生传统dns系统中单点失败导致整个系统崩溃的中心化问题。

然而p2p结构的dns系统易受网络环境影响,网络波动会导致查询效率的降低,因此一种p2p和传统dns相结合的混合结构被提出。这种混合系统中分为两个部分:共有区节点采用p2p网络结构,内部区节点采用传统dns树形结构。所有共有区节点被分配一个唯一标识符,内部区树形结构的根节点也分配一个唯一标识符,并将两者进行关系映射,将每一个内部区与共有区进行关联。

这种混合结构安全性比传统dns要高,查询速率比p2p网络更快,然而同样也存在不少局限性,如节点信息更新导致状态不一致,数据伪造等。

2.3.2 基于根服务器联盟的域名结构

现有dns系统的中心化结构存在一个父域故障,导致整个子域无法解析的情况,为了解决这个问题,应从结构和解析机制两个方面进行改进。

在结构方面,可以建立递归根(递归服务器直接进行根区解析),伪装根(将根区查询引导至镜像根服务器上),开放根(建立一组独立运作的根服务器,使用iana的根区数据作为解析数据源),全球根(在当前13个根服务器基础上增加更多根服务器数量)。

在解析机制方面,采用域名对等扩散的方式,在这种体系下的自主根和国际根服务器处于混合工作的状态,自主根将目前根服务器的中心化问题转移到了顶级域名服务器,但果.com一类的顶级域名服务器拒绝将权威信息转交给自主根,自主根仍会受到较大限制。

(部分图文来源于网络,如设计侵权,请联系删除)

阅读(18) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~
")); function link(t){ var href= $(t).attr('href'); href ="?url=" encodeuricomponent(location.href); $(t).attr('href',href); //setcookie("returnouturl", location.href, 60, "/"); }
网站地图