8. DNS Applications and Security - Loyo

伍冠宇 彭子源 黃煒翔 蕭人豪

 

DNS安全及應用

 

DNS域名系統 :

作為將域名和IP位址相互對映的一個分散式資料庫,能夠使人更方便地存取網際網路。主要功能為把網域名稱轉換成IP。

 

DNS(domain name system) TCP/UDP port 53

--常見port

 

Domain Name IP Address

 

www.hinet.net 202.39.224.7

     .tw ----> twnic管理

 

從後往前看,從後面往前認域名(國家 -> 機構 -> ...etc)

www.fju.edu.tw

 

DNS運作流程

DNS 是以類似『樹狀目錄』 的型態來進行名稱的管理的!所以每一部 DNS 主機都『僅管理下一層 DNS 主機的名稱轉譯』而已

                                     DNS 主機查詢流程示意圖

 

Recursive(遞迴式)

DNS用戶端向DNS Server的查詢模式,這種方式是將要查詢的封包送出去問,就等待正確名稱的正確回應,這種方式只處理回應回來的封包是否是正確回應或是說是找不到該名稱的錯誤訊息。

 

Iterative(交談式)

DNS Server間的查詢模式,由Client端或是DNS Server上所發出去問,這種方式送封包出去問,所回應回來的資料不一定是最後正確的名稱位置,但也不是如上所說的回應回來是錯誤訊息,他回應回來告訴你最接近的IP位置,然後再到此最接近的IP上去尋找所要解析的名稱,反覆動作直到找到正確位置。

 

名詞解釋

 

轄區/轄區檔案(zone/zone file)

DNS伺服器會根據不同的授權區(Zone),記錄所屬該網域下的各名稱資料,這個資料包括網域下的次網域名稱及主機名稱。

 

權限管理清單(DACL)

已請求目標的身分、所屬群組來限制其存取。

 

快取主機(cache server)

伺服器將透過proxy讀取的資料存一份在cache中,當有使用者提出需求時,它會先檢查自己的cache中是否有這份資料;若有,Proxy Server就可立即傳回這份資料;若沒有,再向外查詢,取得資料後存一份在cache並傳給使用者。

HiNet: 168.95.1.1  

GOOGLE: 8.8.8.8

 

權威主機(Anthoritative Server)

針對特定domain zone,可以管理或回答該網域的域名,存有該區區名資料之主機

 

DNS資源紀錄

 

 

SOA紀錄(Start of Authority)

紀錄Slave DNS 如何與 Master DNS 同步資料的方式(多久詢問一次,沒有回傳結果多久重新詢問...)

 

NS(Name Server)

用於 DNS 的搜尋與 A(Address) 搭配使用

 

A record(address record)

將DNS網域對應至IPv4的32bit位置

hitnet.net(MX)--->netnews.hitnet.net

 

CNAME  record(canonical name)

將域名IP為制轉換至其他域名

202.39.224.7 --->www.hinet.net

 

MX record(常用)(Mail exchanger)

郵件伺服器所使用之網域

 

PTR record(pointer)

將 IP 轉換為 domain name

 

 

每個 Zone File 皆需要有 NS , RR(資源紀錄)  一般放於 SOA 之後

在 Twnic 設定解析該 Domain 為 DNS 模式時,此時 Zone File 內的 NS RR 要與

Twnic 設定一致 (上下層 NS 記錄要一致)

NS RR 的 Rdata 記錄需為 FQDN 記錄 (不可使用 IP、CNAME) 此為 RFC 規範

NS 記錄的取用順序是隨機決定的。

NS 記錄所指定的 IP Address 不可為 Private/Loopbak/Multi-Cast IP Address

 

 

DNSSEC(域名保護) = DNS +數位簽章

cache DNS server    <------   數位驗證    ------>    Root DNS server

外掛(o)

數位簽章對稱:額外的驗證

數位簽章:非對稱金鑰(PUBLIC KEY, PRIVATE KEY)

 

DNS的其他延伸

CDN(content delivery network,內容傳輸網路)

*內容遞送服務依據不同區域給予不同的內容/指向

*利用使用者瀏覽網頁前會有DNS查詢的特性

*總承載量可以比單一骨幹最大的頻寬還要大,這使得內容傳遞網路可以承載的使用者數量比起傳統單一伺服器多。

 

HTTPS:傳輸保護(通道加密)

經由超文字傳輸協定進行通訊,但利用SSL/TLS來對封包進行加密。

HTTPURL由預設使用port80不同,HTTPS的URL預設使用port443。

 

常見攻擊模式:

1.DNS快取汙染(DNS cache poisojing)

刻意製造或無意中製造出來的網域伺服器封包,把網域指往不正確的IP位

址。

 

2.分散式阻斷式服務攻擊(DDoS)

使用網路上兩個或以上被攻陷的電腦作為「殭屍」向特定的目標發動「阻斷服務」式攻擊,目的在於使目標電腦的網路或系統資源耗盡,使服務暫時中斷或停止,導致其正常用戶無法存取。

 

3.網域挾持

通過攻擊域名解析服務器(DNS),或偽造域名解析服務器(DNS)的方法,把目標網站域名解析到錯誤的地址從而實現用戶無法訪問目標網站的目的。

 

4.中間人攻擊(Men In The Middle attack)

                           .1231.png

5.社交工程(Social Engineering)

利用目前備受矚目的重大事件與新聞作為誘餌,無論是政治、運動、娛樂性質,同時也不分全球性或地區性。社交工程圈套也可能利用日常活動作為誘餌,例如線上理財、投資、帳單管理以及購物等等。