Transmisión cifrada DNS
/ss小guai/1576340
/Chapter-13.html#134
La suplantación de DNS, es decir, la suplantación de información de nombres de dominio, es la Pregunta de seguridad DNS más común. Cuando un servidor DNS cae en la trampa y utiliza información incorrecta de un servidor DNS malicioso, entonces el servidor DNS ha sido falsificado. La suplantación de DNS puede causar muchos problemas de seguridad en servidores DNS vulnerables, como dirigir a los usuarios a sitios de Internet incorrectos o enviar correos electrónicos a servidores de correo no autorizados.
Ataque de denegación de servicio (DOS)
Los piratas informáticos aprovechan principalmente las vulnerabilidades del software DNS. Por ejemplo, en las versiones de BIND 9 (serie 9 anterior a la versión 9.2.0), si alguien envía una solicitud de paquete DNS específica a un dispositivo que ejecuta BIND, BIND se apagará automáticamente. Un atacante sólo puede desactivar BIND, pero no puede ejecutar comandos arbitrarios en el servidor. Si no se puede obtener el servicio DNS, será un desastre: el usuario no podrá acceder a Internet porque la URL no se puede resolver en una dirección IP. De esta manera, los problemas causados por DNS son similares a los problemas causados por Internet, lo que puede generar mucho caos.
Ataques distribuidos de denegación de servicio (DDOS)
Los ataques DDOS utilizan docenas o cientos de computadoras controladas por un atacante para atacar un host, lo que dificulta prevenirlo. se vuelve más difícil: se vuelve más difícil detener un ataque de denegación de servicio bloqueando el flujo de datos de un único host de origen. Syn Flood es el ataque de denegación de servicio distribuido más común contra servidores DNS.
Vulnerabilidad del almacenamiento en búfer
La configuración predeterminada del software Bind es permitir transferencias de zona entre hosts. La transferencia de zona se utiliza principalmente para la sincronización de datos entre el servidor de nombres de dominio de primer nivel y el servidor de nombres de dominio de segundo nivel, de modo que el servidor de nombres de dominio de segundo nivel pueda obtener nueva información de datos del servidor de nombres de dominio de primer nivel. Una vez que se habilita la transferencia de zona sin restricciones, es probable que se produzca una fuga de información. Los piratas informáticos podrán obtener información sobre todos los hosts en toda el área autorizada, determinar la funcionalidad y seguridad de los hosts y encontrar el objetivo del ataque.
Señal TSIG 0
Las firmas de transacciones DNS se pueden dividir en TSIG (firma de transacción) y SIG0 (firma). ¿Cómo elegir? Primero, debemos determinar la relación de confianza entre el cliente y el servidor. Si confiamos, podemos elegir TSIG simétrico. TSIG tiene solo un conjunto de contraseñas y no tiene claves públicas/privadas. Si no confía plenamente, puede elegir SIG0 para la clave asimétrica. Aunque existen claves públicas/privadas, la configuración es relativamente complicada. En cuanto a cuál es más adecuado, tú decides. Normalmente, las transferencias de zona se realizan desde el servidor de nombres principal al servidor de nombres secundario. Generalmente, la lista de control de acceso (ACL) de dns-ip-list en el archivo de configuración /etc/named.conf del servidor de nombres de dominio principal enumerará algunas direcciones IP que solo pueden transmitir información regional del dominio principal.
DNSSEC se basa principalmente en tecnología de clave pública para crear firmas criptográficas para la información contenida en el DNS. Las firmas criptográficas proporcionan integridad de los datos en DNS al calcular un hash criptográfico y encapsular el hash para protección. La clave privada en un par de claves privada/pública se utiliza para encapsular el valor hash, que luego puede traducirse mediante la clave pública. Si el valor hash convertido coincide con el árbol hash que acaba de calcular el receptor, los datos están completos. Independientemente de si el número hash traducido coincide con el número hash calculado, la forma en que se autentica la firma criptográfica es absolutamente correcta porque la clave pública solo se usa para descifrar el número hash legítimo, por lo que solo el propietario de la clave privada puede cifrar esta información. .