|
億恩科技系統(tǒng)(DNS)是Internet上其他服務(wù)的基礎(chǔ),E-mail是Internet上最重要的服務(wù)���。但是DNS和E-mail系統(tǒng)也是Internet上安全(服務(wù)器租用找:51033397)漏洞最多的地方�����,而問題在哪里?在我們每天都要使用DNS和E-mail時����,怎么樣才能放心�����?
億恩科技系統(tǒng)
DNS是Internet上其它服務(wù)的基礎(chǔ)�����。它處理DNS客戶機的請求:把名字翻譯成IP地址����;把IP地址翻譯成名字;并提供特定億恩科技主機的其它已公布信息(如MX記錄)��。下面介紹DNS使用中業(yè)已知曉的兩個安全(服務(wù)器租用找:51033397)問題����,并給出相應(yīng)的解決方法����。
名字欺騙
為使用的方便如允許用戶執(zhí)行遠程系統(tǒng)命令�,系統(tǒng)管理員往往在某些億恩科技主機之間建立相互信任的關(guān)系,當(dāng)億恩科技主機間的信任是借助名字并通過DNS來認證時��,就會導(dǎo)致名字欺騙的出現(xiàn)���,如圖所示���。
當(dāng)億恩科技主機B訪問億恩科技主機A(同時也作為DNS億恩科技服務(wù)器)如執(zhí)行rlogin時,A接收到這個連接并獲得發(fā)起本次連接億恩科技主機B的IP地址����。為驗證本次連接的合法性����,億恩科技主機A就向本地DNS億恩科技服務(wù)器逆向查詢對應(yīng)于這個IP地址的億恩科技主機名字。當(dāng)返回的查詢結(jié)果——億恩科技主機名B為本機所信任的億恩科技主機時���,就允許來自B的遠程命令rlogin����。下面我們再來看看億恩科技主機D是如何利用驗證漏洞來欺騙億恩科技主機A的。當(dāng)億恩科技主機D也執(zhí)行rlogin時��,億恩科技主機A同樣要驗證本次連接的合法性�����。如果A不能根據(jù)D的IP在本地DNS億恩科技服務(wù)器中查詢到對應(yīng)的億恩科技主機名時�����,就會向其它DNS億恩科技服務(wù)器發(fā)出請求���,最后終會找到DNS億恩科技服務(wù)器C��。如果入侵者修改DNS億恩科技服務(wù)器C中對應(yīng)于自己IP地址的億恩科技主機名為億恩科技主機B時����,億恩科技主機A就會獲得對應(yīng)于D的IP地址的億恩科技主機名是B的逆向查詢結(jié)果����,因此億恩科技主機A認可本次連接。于是欺騙A成功��。
從上面的討論可知,當(dāng)欺騙發(fā)生時�����,在A的億恩科技數(shù)據(jù)庫中關(guān)于名字B有三個IP地址條目�,其中B→B_IP條目位于A所維護的正向DNS樹上,B_IP→B條目位于A所維護的逆向DNS樹上�,D_IP→B條目位于Cache中,即億恩科技主機名與IP地址之間的關(guān)系不是一一對應(yīng)的����。若億恩科技主機A在驗證過程中再多走一步,即再用億恩科技主機名B正向查詢對應(yīng)的IP地址(雙向查詢)�����,就會發(fā)現(xiàn)同時有D的IP和B的IP對應(yīng)著名字B����。這樣億恩科技主機A就可以識別億恩科技主機D的欺騙企圖,然而雙向查詢并不總有效�,例如對于多宿億恩科技主機�。
隱藏信息
與DNS有關(guān)的第二個安全(服務(wù)器租用找:51033397)問題是它會泄露那些你不想透露的信息。例如一些組織的系統(tǒng)管理員會依本組織的功能單元來命名內(nèi)部億恩科技主機名和其它信息�����,或依本組織的體系結(jié)構(gòu)來規(guī)劃本組織億恩科技下的名字空間,也可能因為內(nèi)部某個秘密項目的方便開展而為一些億恩科技主機設(shè)置別名�����。這些信息一旦被入侵者獲取�����,那么組織內(nèi)那些重要的億恩科技主機就會一覽無疑地呈現(xiàn)在入侵者面前����。
入侵者獲取被入侵者的DNS信息的方法有很多。最通常的一種方法是連接被入侵者站點的DNS億恩科技服務(wù)器并請求區(qū)傳輸(ZoneTransfer)�,好像它們是被入侵者站點的DNS億恩科技服務(wù)器的輔助億恩科技服務(wù)器。
防范這種入侵的方法有兩種�。一種是利用DNS軟件(注:BIND4.9.3以上的版本)自帶的兩個安全(服務(wù)器租用找:51033397)特性:限制名字?jǐn)?shù)據(jù)庫中的數(shù)據(jù)只被特定的億恩科技主機查詢;只允許真正的Secondary億恩科技主機從Primary億恩科技主機上提取Zone數(shù)據(jù)(庫)��。這種方法具有實現(xiàn)的方便性和高效性�,但還不夠完善。因為DNS數(shù)據(jù)庫仍然暴露在入侵者的范圍之內(nèi)�����,仍有可能被入侵者用匪夷所思的方法竊取。在我們看來�,第二種方法相比第一種方法更安全(服務(wù)器租用找:51033397),當(dāng)然成本會更高�,使用的技術(shù)也更復(fù)雜。
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強!虛擬主機域名注冊頂級提供商�����!15年品質(zhì)保障�!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
