对DNS系统的几点舆论热点的辩证性思考

2024-03-05 06:32

本文主要是介绍对DNS系统的几点舆论热点的辩证性思考,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

  • 科学理性教会你,你可以屈服于真理,但绝不能屈服于威权

DNS系统,顾名思义是一个域名服务系统,在社会层面,很多人喜欢拿他同我们的国家互联网治理放到差不多等同的位置,甚至有些人这么描述哪些经典的事件:

以互联网为基础的信息网络是进行国家信息化建设和实现国家信息化战略的基础设施,域名系统是互联网上大部分服务和应用正常运转和实施的基石,是互联网上最为关键的基础网络服务之一,事关互联网乃至国家的稳定和安全,是国家信息化建设的重中之重。
通过对域名系统的攻击和利用可以造成巨大危害。伊拉克顶级域名失效事件利比亚国家顶级域名失效事件等都表明,对域名系统的控制已成为一个有效的网络空间作战手段,可以在非常时期,瘫痪一个国家网络,造成信息孤岛,失去信息优势,丧失战争的主动权。域名系统已成为网络空间作战的重要目标。
我国域名系统由于根域名服务器的不可控和域名系统本身的脆弱性,存在巨大的安全隐患。近年来,更是事件频发,对我互联网使用以及国家社会、政治、经济都造成了巨大的影响。因此域名系统相关问题已成为制约我国互联网发展的重要因素。

上面提到针对域名系统的攻击方法,从技术角度,比较暴力和直接,但是从国家安全角度,确实也是比较致命的。上边引用别人里面的两个事件,我想强调的是,人们在接受他们事实的同时需要辩证的看待这些事件,下面我将通过四种简单DNS域名系统攻击方式的解析,科学辩证解读域名系统安全,而不是人云亦云 ,DNS的确很重要!

域名系统经典安全事件的辩证看法

伊拉克域名失效是美国人干的吗?

据称伊拉克战争期间,在美国政府授意下,伊拉克顶级域名".iq"的申请和解析工作被终止,所有网址以".iq"为后缀的网站从互联网蒸发,实际上并非如此。

当年伊拉克并没有网络,这个域名的事情也无从谈起,以下印自清华大学段海新老师的博客内容,也证明了美国人阴谋阳谋不一定是,有些可能使我们自己的意淫,为了给DNS增加身段增加重要性估计加入的桥段。

1997年,Jon Postel教授代表南加州大学信息科学研究所(ISI)的IANA把.IQ授权给了InfoCom公司所属的子公司Alani(InfoCom位于美国Texas州从事主机托管业务),该公司Bayan Elashi是IQ域名的技术联系人。2000年,IQ域名信息更新,InfoCom成了资助IQ域名的公司。
2002年12月,Bayan Elashi被捕。2004年7月,Bayan Elashi和他的四个兄弟以及InfoCom被判有罪,罪名包括违反了利比亚制裁法令、为恐怖组织洗钱等。
另外,IQ ccTLD从来没有活跃过,在绝大多数时间里,IQ这个ccTLD是由Alani/InfoCom公司操纵,似乎只有两个域名而且指向注册者本身。2004年7月,伊拉克过渡政府正式联系ICANN讨论IQ域名重新授权的问题,2004年12月,总理Allawi发信给ICANN,指定了代表伊拉克代理IQ域名的部门——国家通信和传媒委员会(NCMC)。2005年6月,IANA收到了申请NCMC的重新授权申请表。
之后经过一系列的评估,IANA认为应该把IQ这个域名重新授权给NCMC。其中他们考虑的一个因素是新旧代理双方对新的授权一致认可。然而,旧的代理被关在监狱里,而且在他们代理期间(1997年-2002年),Alani和InfoCom都没有为IQ域名做过任何推广活动。
可见,所谓“伊拉克顶级域名.iq的申请和解析工作”,因为没有开始过,所以“被终止”也就无从谈起。也许有人说,这是美国政府精心策划的阴谋。然而,至少从逻辑上,这种阴谋论不成立:既然美国政府玩阴谋或阳谋这么高明,当初为什么同意把IQ域名授权给Bayan Elashi这个替恐怖分子洗钱的人呢?

针对DNS几种攻击样式(常见的)

  1. 分布式拒绝服务(DDOS)
  2. 域名欺骗
  3. 域名劫持

分布式拒绝服务攻击(DDOS)

由于域名系统协议存在体系开放、无认证、无连接和无状态等特点,使其更易受到分布式拒绝服务攻击。针对域名系统的分布式拒绝服务攻击主要采用基于正常域名请求、反弹式、大流量阻塞等三种途径。

常见的有基于DNS的反射流量放大攻击,这种不太常见不过也能发生。

域名欺骗

通过技术手段向缓存域名服务器注入非法域名解析记录,当用户向被攻击的缓存域名服务器提交域名请求时,将会返回攻击者预先设定的IP地址。

这种攻击方式在现实环境中很容易实现,我们最普遍的就是GFW的缓存污染,或缓存投毒,这样劫持到新的IP地址上去。

域名劫持

攻击者控制域名管理密码和域名管理邮箱后,将该域名的NS纪录指向到攻击者可以控制的DNS服务器,然后通过在该DNS服务器上配置相应域名纪录,使用户访问该域名时,实际指向攻击者预先设定的主机。

这种比较困难,当然也是可能会实现的,需要控制域名的管理机构,但是实际可能达不到,一般第二步域名劫持就已经足够为例大了。

DNS全球现状

DNS全球分布

目前为止,IPv4的DNS系统根域名服务器有13个,分别为“A”至“M”,其中10台设置在美国,另外各有一台设置于英国、瑞典和日本。其中A作为唯一的1个主根服务器,放置在美国,其余12个均为辅根服务器,9个放置在美国,欧洲2个,位于英国和瑞典,亚洲1个,位于日本。

DNS流量你可以发现什么?

  • 基于DNS的DDoS攻击行为
  • 基于DNS的僵尸网络
  • 基于DNS的缓存污染情况

上述三种是针对DNS流量可以挖掘的新的安全领域,可以从宏观视角对恶意程序、木马、僵尸网络、DDoS基础设施等等黑产或者灰产使用的恶意基础设施有较为全面的控制,不一一展开,欢迎交流DNS安全相关内容,欢迎骚扰!

这篇关于对DNS系统的几点舆论热点的辩证性思考的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/775592

相关文章

Python FastAPI+Celery+RabbitMQ实现分布式图片水印处理系统

《PythonFastAPI+Celery+RabbitMQ实现分布式图片水印处理系统》这篇文章主要为大家详细介绍了PythonFastAPI如何结合Celery以及RabbitMQ实现简单的分布式... 实现思路FastAPI 服务器Celery 任务队列RabbitMQ 作为消息代理定时任务处理完整

Linux系统中卸载与安装JDK的详细教程

《Linux系统中卸载与安装JDK的详细教程》本文详细介绍了如何在Linux系统中通过Xshell和Xftp工具连接与传输文件,然后进行JDK的安装与卸载,安装步骤包括连接Linux、传输JDK安装包... 目录1、卸载1.1 linux删除自带的JDK1.2 Linux上卸载自己安装的JDK2、安装2.1

Redis 中的热点键和数据倾斜示例详解

《Redis中的热点键和数据倾斜示例详解》热点键是指在Redis中被频繁访问的特定键,这些键由于其高访问频率,可能导致Redis服务器的性能问题,尤其是在高并发场景下,本文给大家介绍Redis中的热... 目录Redis 中的热点键和数据倾斜热点键(Hot Key)定义特点应对策略示例数据倾斜(Data S

CentOS 7部署主域名服务器 DNS的方法

《CentOS7部署主域名服务器DNS的方法》文章详细介绍了在CentOS7上部署主域名服务器DNS的步骤,包括安装BIND服务、配置DNS服务、添加域名区域、创建区域文件、配置反向解析、检查配置... 目录1. 安装 BIND 服务和工具2.  配置 BIND 服务3 . 添加你的域名区域配置4.创建区域

Linux系统之主机网络配置方式

《Linux系统之主机网络配置方式》:本文主要介绍Linux系统之主机网络配置方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录一、查看主机的网络参数1、查看主机名2、查看IP地址3、查看网关4、查看DNS二、配置网卡1、修改网卡配置文件2、nmcli工具【通用

Linux系统之dns域名解析全过程

《Linux系统之dns域名解析全过程》:本文主要介绍Linux系统之dns域名解析全过程,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录一、dns域名解析介绍1、DNS核心概念1.1 区域 zone1.2 记录 record二、DNS服务的配置1、正向解析的配置

Linux系统中配置静态IP地址的详细步骤

《Linux系统中配置静态IP地址的详细步骤》本文详细介绍了在Linux系统中配置静态IP地址的五个步骤,包括打开终端、编辑网络配置文件、配置IP地址、保存并重启网络服务,这对于系统管理员和新手都极具... 目录步骤一:打开终端步骤二:编辑网络配置文件步骤三:配置静态IP地址步骤四:保存并关闭文件步骤五:重

Windows系统下如何查找JDK的安装路径

《Windows系统下如何查找JDK的安装路径》:本文主要介绍Windows系统下如何查找JDK的安装路径,文中介绍了三种方法,分别是通过命令行检查、使用verbose选项查找jre目录、以及查看... 目录一、确认是否安装了JDK二、查找路径三、另外一种方式如果很久之前安装了JDK,或者在别人的电脑上,想

Linux系统之authconfig命令的使用解读

《Linux系统之authconfig命令的使用解读》authconfig是一个用于配置Linux系统身份验证和账户管理设置的命令行工具,主要用于RedHat系列的Linux发行版,它提供了一系列选项... 目录linux authconfig命令的使用基本语法常用选项示例总结Linux authconfi

Nginx配置系统服务&设置环境变量方式

《Nginx配置系统服务&设置环境变量方式》本文介绍了如何将Nginx配置为系统服务并设置环境变量,以便更方便地对Nginx进行操作,通过配置系统服务,可以使用系统命令来启动、停止或重新加载Nginx... 目录1.Nginx操作问题2.配置系统服android务3.设置环境变量总结1.Nginx操作问题