|
億恩科技系統(tǒng)(DNS)是Internet上其他服務(wù)的基礎(chǔ)�����,E-mail是Internet上最重要的服務(wù)���。但是DNS和E-mail系統(tǒng)也是Internet上安全(服務(wù)器租用找:51033397)漏洞最多的地方,而問(wèn)題在哪里?在我們每天都要使用DNS和E-mail時(shí)���,怎么樣才能放心����?
億恩科技系統(tǒng)
DNS是Internet上其它服務(wù)的基礎(chǔ)����。它處理DNS客戶機(jī)的請(qǐng)求:把名字翻譯成IP地址;把IP地址翻譯成名字�����;并提供特定億恩科技主機(jī)的其它已公布信息(如MX記錄)��。下面介紹DNS使用中業(yè)已知曉的兩個(gè)安全(服務(wù)器租用找:51033397)問(wèn)題���,并給出相應(yīng)的解決方法��。
名字欺騙
為使用的方便如允許用戶執(zhí)行遠(yuǎn)程系統(tǒng)命令���,系統(tǒng)管理員往往在某些億恩科技主機(jī)之間建立相互信任的關(guān)系����,當(dāng)億恩科技主機(jī)間的信任是借助名字并通過(guò)DNS來(lái)認(rèn)證時(shí)���,就會(huì)導(dǎo)致名字欺騙的出現(xiàn)�����,如圖所示�。
當(dāng)億恩科技主機(jī)B訪問(wèn)億恩科技主機(jī)A(同時(shí)也作為DNS億恩科技服務(wù)器)如執(zhí)行rlogin時(shí)�����,A接收到這個(gè)連接并獲得發(fā)起本次連接億恩科技主機(jī)B的IP地址���。為驗(yàn)證本次連接的合法性��,億恩科技主機(jī)A就向本地DNS億恩科技服務(wù)器逆向查詢對(duì)應(yīng)于這個(gè)IP地址的億恩科技主機(jī)名字�����。當(dāng)返回的查詢結(jié)果——億恩科技主機(jī)名B為本機(jī)所信任的億恩科技主機(jī)時(shí)�����,就允許來(lái)自B的遠(yuǎn)程命令rlogin���。下面我們?cè)賮?lái)看看億恩科技主機(jī)D是如何利用驗(yàn)證漏洞來(lái)欺騙億恩科技主機(jī)A的。當(dāng)億恩科技主機(jī)D也執(zhí)行rlogin時(shí)��,億恩科技主機(jī)A同樣要驗(yàn)證本次連接的合法性�。如果A不能根據(jù)D的IP在本地DNS億恩科技服務(wù)器中查詢到對(duì)應(yīng)的億恩科技主機(jī)名時(shí),就會(huì)向其它DNS億恩科技服務(wù)器發(fā)出請(qǐng)求��,最后終會(huì)找到DNS億恩科技服務(wù)器C����。如果入侵者修改DNS億恩科技服務(wù)器C中對(duì)應(yīng)于自己IP地址的億恩科技主機(jī)名為億恩科技主機(jī)B時(shí),億恩科技主機(jī)A就會(huì)獲得對(duì)應(yīng)于D的IP地址的億恩科技主機(jī)名是B的逆向查詢結(jié)果�,因此億恩科技主機(jī)A認(rèn)可本次連接。于是欺騙A成功���。
從上面的討論可知���,當(dāng)欺騙發(fā)生時(shí),在A的億恩科技數(shù)據(jù)庫(kù)中關(guān)于名字B有三個(gè)IP地址條目�����,其中B→B_IP條目位于A所維護(hù)的正向DNS樹(shù)上,B_IP→B條目位于A所維護(hù)的逆向DNS樹(shù)上���,D_IP→B條目位于Cache中�,即億恩科技主機(jī)名與IP地址之間的關(guān)系不是一一對(duì)應(yīng)的����。若億恩科技主機(jī)A在驗(yàn)證過(guò)程中再多走一步,即再用億恩科技主機(jī)名B正向查詢對(duì)應(yīng)的IP地址(雙向查詢)��,就會(huì)發(fā)現(xiàn)同時(shí)有D的IP和B的IP對(duì)應(yīng)著名字B��。這樣億恩科技主機(jī)A就可以識(shí)別億恩科技主機(jī)D的欺騙企圖�,然而雙向查詢并不總有效,例如對(duì)于多宿億恩科技主機(jī)���。
隱藏信息
與DNS有關(guān)的第二個(gè)安全(服務(wù)器租用找:51033397)問(wèn)題是它會(huì)泄露那些你不想透露的信息�����。例如一些組織的系統(tǒng)管理員會(huì)依本組織的功能單元來(lái)命名內(nèi)部億恩科技主機(jī)名和其它信息���,或依本組織的體系結(jié)構(gòu)來(lái)規(guī)劃本組織億恩科技下的名字空間��,也可能因?yàn)閮?nèi)部某個(gè)秘密項(xiàng)目的方便開(kāi)展而為一些億恩科技主機(jī)設(shè)置別名����。這些信息一旦被入侵者獲取����,那么組織內(nèi)那些重要的億恩科技主機(jī)就會(huì)一覽無(wú)疑地呈現(xiàn)在入侵者面前���。
入侵者獲取被入侵者的DNS信息的方法有很多����。最通常的一種方法是連接被入侵者站點(diǎn)的DNS億恩科技服務(wù)器并請(qǐng)求區(qū)傳輸(ZoneTransfer)���,好像它們是被入侵者站點(diǎn)的DNS億恩科技服務(wù)器的輔助億恩科技服務(wù)器��。
防范這種入侵的方法有兩種�。一種是利用DNS軟件(注:BIND4.9.3以上的版本)自帶的兩個(gè)安全(服務(wù)器租用找:51033397)特性:限制名字?jǐn)?shù)據(jù)庫(kù)中的數(shù)據(jù)只被特定的億恩科技主機(jī)查詢��;只允許真正的Secondary億恩科技主機(jī)從Primary億恩科技主機(jī)上提取Zone數(shù)據(jù)(庫(kù))����。這種方法具有實(shí)現(xiàn)的方便性和高效性���,但還不夠完善。因?yàn)镈NS數(shù)據(jù)庫(kù)仍然暴露在入侵者的范圍之內(nèi)��,仍有可能被入侵者用匪夷所思的方法竊取����。在我們看來(lái),第二種方法相比第一種方法更安全(服務(wù)器租用找:51033397)���,當(dāng)然成本會(huì)更高�����,使用的技術(shù)也更復(fù)雜���。
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障�!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
