IPv6根DNS服务器研究
基于IPv6协议的网络安全分析的研究报告
基于IPv6协议的网络安全分析的研究报告随着互联网的发展,IPv6协议作为一种新型的互联网协议,越来越得到广泛的应用。
虽然IPv6协议在网络拓扑结构、IP 地址的分配等方面进行了优化,但是在网络安全上,IPv6协议也面临着各种安全问题。
1. IPv6地址的可溯源性IPv6地址长度的增加,使得IPv6地址的可溯源性变得更加强大。
IPv6地址具有更长的地址长度,使得用户的信息更容易被追踪。
这就意味着攻击者可以通过跟踪用户的IPv6地址,进行网络攻击、恶意下载和非法窃取用户信息等。
2. IPv6地址分配的不当IPv6地址的分配与管理对网络的安全非常关键。
IPv6地址的分配过程需要考虑到安全性问题。
但是实际上,在众多IPv6网络中,仍然存在一些缺乏安全管理的问题,导致地址的分配不当。
3. IPv6协议的认证与加密问题IPv6协议的认证与加密问题,是影响IPv6网络安全的重要因素。
IPv6协议不仅需要获得数据的完整性和机密性,还需要建立一个可信的传输通道。
4. 网络侦听和嗅探攻击IPv6协议通信时采用了多种保护机制,但是还是会存在被窃听和嗅探的风险。
攻击者可以利用软件和工具来监听网络流量,窃取敏感信息。
5. DoS攻击在IPv6协议中, 攻击者可以利用路由器、中间人等众多漏洞进行数据包过载攻击, 导致响应时间慢, 严重时甚至导致网络中断。
综上所述,IPv6协议在网络安全上的面临着巨大的安全风险。
为保证IPv6网络的安全,需要有一个全面的安全机制,以避免潜在的安全问题。
同时,网络安全方面的相关标准和技术应该不断的更新和升级,以及加强网络安全的意识培养,有效确保IPv6协议网络的安全和稳定运行。
根据最新统计数据,全球IPv6地址分配总量达到5.5亿,IPv6协议的应用也在不断增加。
但是,随着IPv6协议的普及,网络安全问题也越来越重要。
下面是IPv6协议中一些关键数据的分析:1. IPv6地址的可溯源性IPv6地址长度的增加,使得IPv6地址的可溯源性变得更加强大。
如何在域名系统中实现IPv6的解析与配置(四)
域名系统(DNS)是互联网中非常重要的一部分,它充当着将域名转换为IP地址的桥梁。
而IPv6则是下一代互联网协议,相较于IPv4拥有更多的地址空间和更高的性能。
本文将探讨如何在域名系统中实现IPv6的解析与配置。
一、理解IPv6与其优势IPv6是Internet Protocol version 6的简称,目前在IPv4地址空间不足的情况下扮演着重要角色。
IPv6拥有128位的地址空间,相较于IPv4的32位空间增加了很多倍,可以为互联网提供更多的IP地址。
此外,IPv6还具备更好的安全性、更高的性能和更多的网络扩展性。
二、域名解析的基本原理在开始探讨IPv6解析与配置之前,我们先了解域名解析的基本原理。
当我们在浏览器中输入一个域名时,计算机首先会向本地DNS服务器发送一个查询请求。
本地DNS服务器根据实际情况进行递归查询或迭代查询,最终将域名解析成对应的IP地址。
这个过程涉及到DNS的各个层次以及域名服务器的运作。
三、域名解析与IPv6配置的关系目前,主流域名服务器均已支持IPv6解析与配置。
当用户使用IPv6协议访问一个域名时,相关的域名服务器会自动识别用户的请求,并返回用户所需的IPv6地址。
所以,为了在域名系统中实现IPv6的解析与配置,我们要确保服务器能够正确识别IPv6请求以及返回正确的IPv6地址。
四、配置IPv6解析记录在域名系统中,域名解析记录被用来将域名映射到对应的IP地址。
对于IPv6地址的解析记录,我们需要在域名服务器的配置文件中进行相应的设置。
一般来说,配置IPv6解析记录需要以下步骤:1. 打开域名服务器的配置文件,可以是BIND等常见的域名服务器软件。
2. 找到域名解析的部分,一般以"zone"或"domains"开头。
3. 为需要解析的域名添加IPv6解析记录。
记录格式一般为:'IN AAAA IPv6地址'。
IPv4/IPv6环境下的DNS部署方案
问题 。 首先 ,P 6 Iv 提供了巨大的地址空 间;
当然 ,P 6 Iv 并不能全部解决 Iv 存在 境 下 ,D S P4 N 解析器 可能收到 A A A/ / AA 类型进行必要 的过 滤或者排序 ,或者干脆 交给上层 的应 用程序接 口,来进行记录的 过滤和排序选择处理 。
( su c S r t n P ooo) Reo reRe eVai r tc 1 o 等等 , 但 这些方法 的引人又带来 了新 的问题 ,于是 Iv 就应运而生。它从根本上解决了上述 P6
致 也 是 P4 址 , 就 说I 地 和 V
IV 地址必须基于统一的 P6
l囡 皇
图 s 壹 体 结 2 N的 } 系 构 D 本
第六, 在Iv 和Iv 共存的网络环 P6 P4
D ( man Na y tm) NSDo i me S se 用于提 或者 A 类型的记录 , Iv 和 Iv 共存 境下 , N 域名 空间需要新增加一个特殊 6 在 P6 P4 D S
则要处理 上述三种类型 的 的I6I T域, P. N 用来映射Iv 地址, P6 该域 供 I 地址与域名之 间的映射 ,是 T P I 的网络环境 下, P C /P 的根为 I6I T P . ;同时 D S N N 域名 空间也新 架构中的一个 极其 重要 的应 用系统 ,由于 记录 。 上述 局面的存在 ,就需要 D S 服务器 既 N 第二 ,在 Iv 和I v 共存 的网络环 增加了一个特殊的I6A P P6 P4 P . R A域, 用来支
D S S re 部署策略 N evr
.
bt u p
一
一
一
.
p ku
~
一: wh
网络基础 IPv6中的DNS协议
网络基础IPv6中的DNS协议互联网上的应用很多,但大都离不开域名系统(DNS)的支持,域名系统的主要作用是用来进行域名与IP地址的转换,即域名解析,比如浏览网站、Email、FTP等都需要先进行域名解析。
IPv6网络中的DNS非常重要,一些IPv6的新特性和DNS的支持密不可分。
下面从IPv6 DNS的体系结构、IPv6的地址解析、IPv6地址自动配置和即插即用、IPv4到IPv6的过渡等几方面对IPv6 DNS进行介绍。
1.IPv6域名系统的体系结构IPv6网络中的DNS与IPv4的DNS在体系结构上是一致的,都采用树型结构的域名空间。
IPv4协议与IPv6协议的不同并不意味着需要单独两套IPv4 DNS体系和IPv6 DNS体系,相反的是,DNS的体系和域名空间必须是一致的,即,IPv4和IPv6共同拥有统一的域名空间。
在IPv4到IPv6的过渡阶段,域名可以同时对应于多个IPv4和IPv6的地址。
以后随着IPv6网络的普及,IPv6地址将逐渐取代IPv4地址。
2.DNS对IPv6地址层次性的支持IPv6可聚合全局单播地址是在全局范围内使用的地址,必须进行层次划分及地址聚合。
IPv6全局单播地址的分配方式如下:顶级地址聚合机构TLA(即大的ISP或地址管理机构)获得大块地址,负责给次级地址聚合机构NLA(中小规模ISP)分配地址,NLA给站点级地址聚合机构SLA(子网)和网络用户分配地址。
IPv6地址的层次性在DNS中通过地址链技术可以得到很好的支持。
下面从DNS正向地址解析和反向地址解析两方面进行分析。
●正向解析IPv4的地址正向解析的资源记录是“A”记录。
IPv6地址的正向解析目前有两种资源记录,即,“AAAA”和“A6”记录。
其中,“AAAA”较早提出4,它是对“A”记录的简单扩展,由于IP地址由32位扩展到128位,扩大了4倍,所以资源记录由“A”扩大成4个“A”。
“AAAA”用来表示域名和IPv6地址的对应关系,并不支持地址的层次性。
华为交换机 01-08 IPv6 DNS配置
8 IPv6 DNS配置关于本章8.1 IPv6 DNS概述IPv6 DNS是一种用于TCP/IP应用程序的分布式数据库,提供域名与IPv6地址之间的转换服务。
8.2 设备支持的IPv6 DNS特性交换机支持作为IPv6 DNS客户端。
8.3 配置IPv6 DNS客户端通过配置IPv6 DNS客户端,建立域名与IPv6地址的对应关系,实现设备使用域名与其他设备通信。
8.4 维护IPv6 DNS维护IPv6 DNS包括监控IPv6 DNS运行状况。
8.5 配置举例举例说明IPv6 DNS的配置。
8.1 IPv6 DNS概述IPv6 DNS是一种用于TCP/IP应用程序的分布式数据库,提供域名与IPv6地址之间的转换服务。
IPv6网络中的每台主机都是由IPv6地址来标识的,用户只有获得待访问主机的IPv6地址,才能够成功实现访问操作。
对于用户来讲,记住主机的IPv6地址是相当困难的,因此设计了一种字符串形式的主机命名机制,这些主机名与IPv6地址一一对应,这就是域名系统。
域名系统解决了IPv6地址信息不便于记忆这个问题。
用户进行访问网络主机操作时,可以直接使用便于记忆的、有意义的域名,由网络中的域名解析服务器将域名解析为正确的IPv6地址。
8.2 设备支持的IPv6 DNS特性交换机支持作为IPv6 DNS客户端。
图8-1设备作为IPv6 DNS客户端的应用场景如图8-1所示,交换机作为IPv6 DNS客户端,支持静态域名解析和动态域名解析。
●静态域名解析。
静态域名解析即手动建立域名和IPv6地址之间的对应关系。
在设备上配置静态域名表项后,当DNS客户端需要域名所对应的IPv6地址时,会查询静态域名解析表,获得域名所对应的IPv6地址。
●动态域名解析。
动态域名解析有专用的DNS服务器,负责接受DNS客户端提出的域名解析请求。
DNS服务器首先在本机数据库内部解析,如果判断不属于本域范围之内,就将请求交给上一级的DNS服务器,直到完成解析,解析的结果为获得域名对应的IPv6地址,或者该域名对应的IPv6地址不存在,DNS服务器将最终解析的结果反馈给DNS客户端。
如何在域名系统中实现IPv6的解析与配置(二)
在当今互联网的世界中,IPv6(Internet Protocol version 6)作为下一代互联网协议已经逐渐被广泛采用。
然而,在实际应用中,如何在域名系统(Domain Name System,简称DNS)中实现IPv6的解析与配置成为了一个重要的课题。
一、DNS基础知识在探讨IPv6在DNS中的解析与配置前,首先需要了解DNS的基础知识。
DNS系统实际上是一个将域名(例如)转化为相应IP地址的系统。
它通过将域名映射为IP地址,使用户能够通过易于记忆的域名来访问网站,而无需记住IP地址的繁杂数字。
DNS系统由多个DNS服务器组成,这些服务器相互之间进行域名解析的工作。
二、IPv6在DNS中的解析IPv4在DNS中的解析已经相对成熟,但是IPv6的解析存在一些挑战。
IPv6地址由八组四位十六进制数字构成,与IPv4地址的四组十进制数字不同。
因此,在DNS中实现IPv6的解析需要对IPv6地址和IPv6映射的域名进行匹配。
为了实现IPv6在DNS解析过程中的顺利转换,可以采用AAAA记录进行IPv6地址的映射。
AAAA记录被用来将域名映射为IPv6地址。
和A记录(用于映射IPv4地址)类似,AAAA记录可以在DNS服务器的配置中添加。
当一个用户访问一个域名时,DNS服务器会查询域名对应的AAAA记录,将该域名映射为对应的IPv6地址。
三、IPv6在DNS中的配置在实际应用中,为了正确配置并实现IPv6在DNS中的解析,以下几点是需要注意的。
1. DNS服务器的支持:首先,需要确保使用的DNS服务器具备对IPv6的支持能力。
只有支持IPv6的DNS服务器才能对IPv6地址进行解析与配置。
2. AAAA记录的添加:为了配置IPv6的解析,需要在DNS服务器的配置中添加AAAA记录。
这可以通过DNS服务器管理界面进行操作,添加相应的AAAA记录,将域名映射为正确的IPv6地址。
3. 客户端系统的IPv6配置:除了在DNS服务器中进行配置外,还需要在客户端系统中进行IPv6的配置。
IPv6域名
剖析IPv6时代的域名系统(上)IPv6协议是取代IPv4的下一代网络协议,它具有许多新的特性与功能。
域名系统(D NS)是Internet的基础架构,IPv6的新特性也需要DNS的支持。
因此,DNS必须升级以满足IPv6的需求。
本文将从IPv6 DNS的体系结构、IPv6的地址解析、IPv6地址自动配置和即插即用、IPv4到IPv6的过渡等几方面对IPv6时代的DNS进行分析和研究。
一、IPv6优势简介域名系统(Domain Name System,简称DNS)的主要功能是通过域名和IP地址之间的相互对应关系来精确定位网络资源,即根据域名查询IP地址,反之亦然。
DNS是当今I nternet的基础架构,众多的网络服务都是建立在DNS体系基础之上的。
业界权威人士说:“只有理解了DNS,才真正懂得了Internet。
” IPv6协议是用来取代IPv4的互联网协议。
相比I Pv4,IPv6具有很多优点。
首先,它提供了巨大的地址空间;其次,IPv6的地址结构和地址分配采用严格的层次结构,以便于进行地址聚合,从而使路由器中路由表的规模大幅度“瘦身”;再次,IPv6协议支持网络节点地址的自动配置,可以实现即插即用功能。
此外,IPv6协议对主机移动性有较好的支持,适合于越来越多的互联网移动应用;IPv6协议在安全性、对多媒体流的支持性等方面都具有超过IPv4的优势。
IPv6网络中的DNS非常重要,一些IPv6的新特性和DNS的支持密不可分。
本文从IP v6 DNS的体系结构、IPv6的地址解析、IPv6地址自动配置和即插即用、IPv4到IPv6的过渡等几方面对IPv6时代的DNS进行了分析和研究。
二、IPv6域名系统的体系结构IPv6网络中的DNS与IPv4的DNS在体系结构上是一致的,都采用树型结构的域名空间(如图1所示)。
IPv4协议与IPv6协议的不同并不意味着需要单独应用IPv4 DNS体系和IPv6 DNS体系,相反,它们的DNS体系和域名空间必须保持一致,即IPv4和IPv6共同拥有统一的域名空间。
如何在域名系统中实现IPv6的解析与配置(一)
IPv6(Internet Protocol version 6)是互联网上的下一代网络协议,为解决IPv4地址枯竭问题而引入。
在IPv6中,地址长度由32位增长到128位,提供了更大的地址空间,可支持更多的设备连接到互联网。
然而,尽管IPv6的发展已经逐渐普及,但在域名系统(Domain Name System)中实现IPv6的解析与配置仍然存在一些挑战。
本文将探讨如何在域名系统中实现IPv6的解析与配置。
1. 域名系统简介域名系统是互联网上的一个分布式数据库系统,用于将域名(例如2. AAAA类型记录为了支持IPv6的解析与配置,在域名系统中引入了AAAA类型记录。
AAAA类型记录用于将域名映射到一个或多个IPv6地址。
与IPv4的A类型记录相比,AAAA记录由128位的IPv6地址组成,使得域名系统能够解析IPv6地址。
3. 域名服务器配置为了实现IPv6解析与配置,域名服务器需要进行相应的配置。
首先,域名服务器需要支持IPv6协议,并配置好网络接口的IPv6地址。
其次,域名服务器还需要更新域名解析软件,使其能够解析和处理AAAA类型的记录。
通过正确的配置,域名服务器可以正确地解析和返回IPv6地址。
4. 域名解析流程当用户在浏览器中输入一个域名时,系统会首先查询本地域名解析器(resolver)。
本地解析器会向根域名服务器发起查询,以获取目标域名的授权区域(zone)信息。
根域名服务器会返回目标域名的权威域名服务器的地址。
然后,本地解析器会向权威域名服务器发起查询请求,获取域名对应的IPv6地址。
最后,本地解析器将IPv6地址返回给用户的浏览器,以完成域名解析过程。
5. 兼容性问题尽管域名系统已经支持IPv6的解析与配置,但在实际应用过程中,仍然存在一些兼容性问题。
一方面,由于IPv6的普及程度相对较低,仍有很多旧的硬件和软件不支持IPv6。
这导致在配置域名解析时,需要同时考虑IPv4和IPv6的解析方式,以兼容不同的设备和网络环境。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
IPv6根DNS服务器研究中国互联网络信息中心技术部金键张鸿摘要:IPv6是下一代网络的基础协议。
随着IPv4地址的枯竭,人们开始考虑部署IPv6。
作为网络上最为重要的基础服务—DNS(Domain Name System),尤其是根DNS的性能和可用性,将是影响网络正常运行的关键因素之一。
本文主要介绍了在IPv6 根DNS方面CNNIC 所作的研究工作和研究成果,并简要论述了一些技术难点和关键问题,从而为CNNIC在IPv6的网络服务方面提供技术性探索。
关键词:IPv6 DNS 安全性能体系结构1引言1.1 关于DNSDNS服务是互联网的基础服务,HTTP、FTP、Email等服务都需要DNS 的支持。
DNS是树型结构,它的“根”是整个DNS的根本,也是互联网上最关键的服务之一。
在IPv4网络时代,由于历史原因,到目前为止,中国还没有建立DNS根服务器。
DNS根服务器的建立是保障国家信息网络安全的重要手段之一,如果能在我国的建立IPv6根服务器,将对国家信息安全和国家整体的安全战略产生不可估量的影响。
为了研究和解决建立IPv6DNS根服务器的关键技术,为中国申请和建立IPv6DNS根服务器提供技术保证,CNNIC在构建IPv6网络环境的基础上,深入研究了IPv6 DNS根服务器建立、运行、维护及安全、可靠性保障等方面的关键技术,使我国真正具备建立、运行和维护IPv6 DNS根服务器、保障服务器安全运行和高效响应DNS请求的能力,为中国申请并建立IPv6DNS根服务器创造条件。
1.2国内外根DNS情况DNS根服务器是DNS树型域名空间的“根”。
根服务器负责TLD的解析,对于域名解析起着极其关键的作用。
如果根服务器失效,整个DNS系统将瘫痪,互联网也将崩溃。
到现在为止,IPv4网络共有13台根服务器,名字是由 到。
英国、日本和瑞典各拥有1台,其余10台均在美国的“美国航天航空局”、军事和教育的站点。
这些根服务器分别由9家机构负责管理,主根服务器()由美国NSI公司(Network Solutions Incorporated of Herndon, Virginia, USA)管理,其余12个辅根服务器从主根服务器处获得根区域文件(TLD数据)。
根区域文件的修改是由IANA控制的。
这13个根服务器分布在4个国家的9个机构里,由ICANN的根顾问委员会(ICANN Root Server System Advisory Committee ,RSSAC)统一协调管理,其责任是给ICANN的Board提供关于根服务器的操作建议,提出运行根服务器的需求,包括硬件,操作系统,软件版本,网络连接等,并要对安全性提出建议。
而且,根顾问委员会根据系统的稳定性,健壮性、性能等提出对根服务器的数目,分布位置提出要求。
国内已经申请建立了F根服务器的镜像服务器,并正在计划建立其它的一些服务器镜像。
目前国内外没有实际投入商业使用的IPv6根DNS服务器,我们已知的IPv6试验性根服务器试验床只有由多个根服务器运行机构联合的OTDR (Operational Testing of new DNS RR types)项目。
该项目建立了IPv6的根服务器测试床(Root Server Testbed Network),并在测试床上进行了IPv6 DNS解析、DNSSec等测试。
本项目也加入了该测试床,解析中文域名“.中国”。
2主要研究内容和技术要点2.1IPv6网络建立和IPv6地址分配现在,CNNIC已经建立了小规模的IPv6试验网络,并与国内外多家骨干网通过隧道连接。
经过几个月的运行和试验,在2002年1月,连接6Bone,并成为6Bone的骨干节点pTLA,获得3ffe:8330::/28的IPv6试验地址块。
并于2002年10月,成为APNIC的TLA,得到2001:0CC0::/32的IPv6商用地址块。
我们的IPv6试验网络的规模也随之有一定程度的增加,并且建立了Web,FTP等基于IPv6的服务器。
另外,我们还和国内外十几家IPv6网络建立了对等互联的Peer 关系。
作为国内IP地址分配机构之一,在申请到IPv6地址后,我们对IPv6地址的分配方法和政策进行了调研,提出了国内IPv6地址分配的方案。
详见《IPv6地址分配政策调研报告》。
linux-ipv6DELL-16Tunn图1 IPv6根服务器试验网络2.2IPv6根DNS服务器试验床建立了IPv6试验网络之后,我们在网络上建立了IPv6根服务器测试床。
该测试床由多台IPv6根服务器组成,组成了1主多辅的结构。
共同解析DNS顶级域(TLD)。
网络和服务器如图1所示。
IPv6根服务器试验床的操作系统采用Redhat Linux,DNS解析软件采用了Bind9。
为满足IPv6根服务器的要求,对服务器自身的运行提出了以下要求。
z软件:符合IETF对DNS的要求(RFC 1035,RFC 2181)z服务器吞吐量:商用的根服务器响应能力是现在的最繁忙的服务器的最高峰值的3倍。
现在大约20,000次每秒。
在试验系统中采用PC机,性能指标有所降低,单台服务器约2000次每秒,但可以通过后面的高性能响应技术加以提高。
z连接性:要有冗余的网络连接,带宽要满足上面提出的DNS请求和回答的150%z服务的Zone:只解析root zone以及 区域z服务的查询:回答任何合法IP地址来的DNS查询z域传送:只回答其它根服务器的域传送要求2.3DNS安全性首先我们分析了对DNS服务的攻击和防范,然后探讨了如何保护根服务器系统的安全。
2.3.1 针对DNS的攻击及其防范目前DNS受到的网络攻击大致分为以下几类:缓存中毒、拒绝服务、不安全的动态更新、信息泄漏和DNS服务器权威数据库的入侵。
1)缓存中毒这种攻击是利用DNS的缓存机制使得某个名字服务器在缓存中存入错误的数据。
造成这种攻击的主要原因是当客户端向名字服务器A发出查询,而A的数据库内没有相应的资源记录,那么它就会转发给名字服务器B,B做出应答,把回答放在报文的回答区中,同时又会在附加区中填充一些和应答不太相关的数据,A接收这条应答报文,而且对附加区中的数据不做任何检查,直接放在缓存中。
这样使得攻击者可以通过在B中存放一些错误的数据,让A把这些错误的数据存放在缓存中,然后A又会利用它的缓存回答以后客户端或者服务器发来的查询,从而导致更多的服务器中毒。
可以看出造成缓存中毒的主要原因是没有对应答报文尤其是附加区中的数据进行完整性检查。
对缓存中毒攻击的防范可以使得DNS名字服务器进入被动模式,它再向外部的DNS发送查询请求,只会回答对自己的授权域的查询请求,不会缓存任何外部的数据,就不会遭受缓存中毒。
但是这样降低了DNS的域名解析速度和效率。
另外,还可以采用DNSSec机制进行防范。
DNS安全扩展的主要思想是通过公钥技术对DNS中的信息创建密码签名,为DNS内部的信息同时提供权限认证和信息完整性检查。
先由HASH算法从要发送DNS中的信息中得到一个定长的字符串,称为“信息摘要”,然后对这个“摘要”用私/公钥对中私有密钥进行加密,作为数字签名和DNS中的源信息以及“信息摘要”一起发送,接收方用私/公钥对中的公钥把接收到的“信息摘要”解密出来,再用HASH算法对收到的源消息计算出“信息摘要”,最后接收者对比新生成的“信息摘要”和随同信息传送过来的“信息摘要”,如果两者是相同的,就可以确认信息是完整、正确的。
DNSSEC扩展提供通过密码认证机制提供了三种新的服务:密钥分配、数据源认证、DNS事务和查询认证。
数据源认证是DNSSEC扩展的核心,它利用私钥对DNS数据进行数字签名,然后通过密码分配服务检索到该私钥对应的公钥来认证数据。
DNS事务和查询认证服务则提供了对DNS查询和DNS报文头的认证,这就保证了应答报文中的数据的确是对原始查询的应答,并且应答确实来自于被查询的服务器。
2)拒绝服务攻击(DoS)及防范攻击者向DNS服务器发送大量的查询请求,这些查询请求数据包中的源IP 地址为被攻击DNS服务器的IP地址,通过巨量的DNS请求造成DNS服务器性能响应下降,无法提供正常的域名解析。
对拒绝服务攻击的防范是个很大的挑战。
通过限制发送了非正常数量DNS 请求的IP地址进行DNS查询,可以减轻“拒绝服务”攻击,但是攻击者还可以利用IP欺骗伪装成其它主机,进行查询。
本项目研究了通过任播(Anycast)技术来构建分布式根DNS系统,以及服务器高性能响应技术对拒绝服务攻击进行防御的方法。
为了提高DNS 系统的服务性能,防御可能的攻击(DoS),在广域网络范围中采用分布式DNS是一种比较好的机制。
本项目研究了利用BGP协议在广域网范围内进行BGP-Anycast的方法。
通过在网络拓扑的多个点上部署DNS Server,然后利用BGP4+路由协议,使得网络上的用户能够就近访问路由上最近的服务器。
实现在广域网络上的负载均衡和就近服务。
本方法无需修改客户端和服务器软件,完全对客户透明。
通过分布式DNS,攻击者只能对最近的DNS服务器进行攻击,避免了整个根DNS系统的瘫痪。
BGP Anycast的原理如图所示:图2 BGP Anycast原理多个DNS Server分布在网络的不同位置,处于多个AS(自治系统)中,AS号可以相同(这种情况下,这个AS号是专门用于该分布式DNS系统的)。
这些DNS Server的IP地址是相同的,每个AS的边界路由器都要把该DNS Server所在的地址段对外宣布出去。
通过AS之间交换路由信息,网络上所有AS的边界路由器根据BGP路由协议,计算出到该DNS服务器所在地址段的最近路由,这个路由可能通向AS1,AS2或其它拥有服务器的AS。
这样就实现了就近访问最近的DNS Server.3)不安全的DNS动态更新及其防范最早设计 DNS 时所有运行 TCP/IP 的计算机都是手工配置的。
用特定的IP 地址手工配置一台计算机时,它的 A 资源记录和 PTR 资源记录也要用手工配置。
随着动态主机配置协议 (DHCP) 的出现,DHCP 客户计算机由 DHCP 服务器动态分配 IP 地址,使手工更新其A记录和 PTR记录变得很难管理。
因此在RFC 2136中提出了DNS 动态更新使得 DNS 客户端在 IP 地址或名称出现更改的任何时候都可利用 DNS 服务器来注册和动态更新其资源记录。
然而,尽管DNS动态更新协议规定了怎样的系统才允许动态更新一台主服务器,但是DNS仍然可能受到威胁,比如攻击者可以利用IP欺骗伪装成DNS服务器信任的主机对系统进行更新或者损害,并可以对主服务器进行各种动态更新攻击,比如删减、增加、修改资源记录。