典型的無線傳感器網絡中間件軟件體系包括以下結構:
網絡適配層:在該層中,網絡適配器實現對網絡底層(無線傳感器網絡基礎設施、操作系統)的封裝。
網絡中間件組件:完成無線傳感器網絡接入、網絡生成、網絡自愈合、網絡連通性服務等。
配置中間件組件:完成無線傳感器網絡的各種配置工作,如路由配置、拓撲結構調整等。
功能中間件組件:完成無線傳感器網絡各種應用業務的共性功能,提供功能框架接口。
管理中間件組件:為網絡應用業務實現各種管理功能,如資源管理、能量管理、生命期管理。
安全中間件組件:為應用業務實現各種安全功能,如安全管理、安全監控、安全審計。
應用框架接口:提供無線傳感器網絡的各種功能描述和定義,具體的實現由基礎軟件層提供。
開發環境:是無線傳感器網絡應用的圖形化開發平臺,建立在應用框架接口基礎上,為應用業務提供更高層次的應用編程接口和設計模式。
工具集:提供各種特制的開發工具,輔助無線傳感器網絡各種應用業務的開發與實現。
應用業務適配層:應用業務適配層對各種應用業務進行封裝,解決基礎軟件層的變化和接口的不一致性問題。
DeadlySignals是一個可以創建偽造接入點的工具,該偽造的接入點提供Internet連接來欺騙周圍的客戶端,并完全控制該偽造的AP和所連接的客戶端。使用時您需要兩個連接到Internet的網絡接口,一個用于廣播wifi信號,另一個用于提供Internet接入。將廣播信號的網絡設備必須支持監視模式,該工具已經在TP-LINK TL-WN722N上進行了測試。
防止網絡偽造攻擊的措施有以下這些:
部署適配的安全設備:企業根據自身的安全狀況,部署相應的網絡安全設備。運維遇到問題,可以考慮部署堡壘機;定期自動化漏洞檢測,可以考慮部署漏洞掃描系統;進一步加強Web應用防護,可以考慮部署Web應用防火墻。網絡安全設備并不是越多越好,應依據實際需求來進行采購,如果不懂得合理利用和維護,安全產品再多也是徒勞。
隨時對IT資產進行備份:網絡攻擊猝不及防,往往給企業的重要資產和信息帶來重大打擊,當IT資產在遇到網絡安全問題時,平時應保持將重要資產進行備份的習慣,并且做到異地備份,保證數據的完整性。
制定相關網絡安全機制和政策:企業內部應制定相關的網絡安全機制,網絡安全問題不可忽視,它將涉及到企業的業務發展。往往人們容易忽視的東西,更容易出錯;在網絡安全建設中,網絡安全管理制度也是必不可少,它能夠對內部人員進行約束,當問題來臨時能有條不紊。
就網絡攻擊響應場景進行演習:任何的突發事件,沒有人能夠預料到,但如果對其可能發生的情況提前進行一次預演,當突發安全事件來臨時,應急預案可以時刻做好準備。網絡安全法中對應急預案也提出了相關要求,具體請參考網絡安全法。
加強員工網絡安全意識:盡管企業管理者有足夠的網絡安全意識,員工也同樣需要加強。信息泄露、數據丟失等情況時有發生,而此類情況大多都是內部員工網絡安全意識缺乏引起。釣魚郵件、使用弱口令、保存數據不當等操作都容易引來網絡安全問題。因此應做好定期的宣貫,對員工使用操作不當等行為進行培訓。
入侵檢測系統分為基于網絡的入侵檢測系統和基于主機的入侵檢測系統兩大類。
基于網絡的入侵檢測系統優勢:
基于網絡的入侵檢測系統不需要改變服務器等主機的配置,不會在業務系統的主機中安裝額外的軟件,從而不會影響這些機器的CPU、I/O接口與磁盤等資源的使用。
基于網絡的入侵檢測系統不像路由器、防火墻等關鍵設備,其不會成為系統中的關鍵路徑。
基于網絡的入侵檢測系統發生故障不會影響到正常的業務運行。
基于網絡的入侵檢測系統的優勢在于它的實時性,當檢測到攻擊時,其能很快做出反應。
基于網絡的入侵檢測系統可以在一個點上監測整個網絡中的數據包,不必像基于主機的入侵檢測系統那樣,需要在每一臺主機上都安裝檢測系統,因此,基于網絡的入侵檢測系統是一種經濟的解決方案。
基于網絡的入侵檢測系統檢測網絡包時并不依靠操作系統來提供數據,因此它有著對操作系統的獨立性。
基于主機的入侵檢測系統優勢:
基于主機的入侵檢測系統可以檢測到用戶濫用權限、創建后門賬戶、修改重要數據和改變安全配置等入侵行為,同時還可以定期對系統關鍵文件進行檢查,計算其校驗值以確信其完整性。
基于主機的入侵檢測系統檢測發生在主機上的活動,處理的都是操作系統事件或應用程序事件而不是網絡包,所以高速網絡對它沒有影響。同時它使用的是操作系統提供的信息,經過加密的數據包在到達操作系統后,都已經被解密,所以基于主機的入侵檢測系統能很好地處理包加密的問題。
基于主機的入侵檢測系統還可以綜合多個數據源進行進一步的分析,利用數據挖掘技術來發現入侵。
網絡安全技術層面的特性有可控性、可用性、完整性、保密性和不可否認性。
完整性:指信息在傳輸、交換、存儲和處理過程保持非修改、非破壞和非丟失的特性,即保持信息原樣性,使信息能正確生成、存儲、傳輸,這是最基本的安全特征。
保密性:指信息按給定要求不泄漏給非授權的個人、實體,即杜絕有用信息泄漏給非授權個人或實體,強調有用信息只被授權對象使用的特征。
可用性:指網絡信息可被授權實體正確訪問,并按要求能正常使用或在非正常情況下能恢復使用的特征,即在系統運行時能正確存取所需信息,當系統遭受攻擊或破壞時,能迅速恢復并能投入使用。可用性是衡量網絡信息系統面向用戶的一種安全性能(使信息能夠按照用戶的要求被正常使用)。
不可否認性:指通信雙方在信息交互過程中,確信參與者本身,以及參與者所提供的信息的真實同一性,即所有參與者都不可能否認或抵賴本人的真實身份,以及提供信息的原樣性和完成的操作與承諾。
可控性:指對流通在網絡系統中的信息傳播及具體內容能夠實現有效控制的特性,即網絡系統中的任何信息要在一定傳輸范圍和存放空間內可控。
針對DDOS攻擊的誤區有以下這些:
DDOS攻擊都來自PC組成的僵尸網絡:隨著技術的進步,服務提供商所使用的高性能服務器在處理性能和帶寬方面快速提升,而傳統的由PC組成的僵尸網絡卻發展緩慢。除了處理能力方面的因素外,PC通常只有非常有限的帶寬資源,而可供利用的時間也很不確定。
DDOS攻擊都是消耗網絡帶寬資源的攻擊:事實上,除了網絡帶寬資源,DDOS攻擊還有消耗系統資源和應用資源的攻擊方法,而攻擊流量的大小只是決定攻擊危害程度的一個方面。對于相同種類的攻擊,通常攻擊流量越大,其危害也越大,而如果在相同攻擊流量的情況下,不同的攻擊方法造成的危害和影響則不盡相同。
DDOS攻擊都是洪水攻擊:洪水攻擊確實占據了DDOS攻擊方法中相當大的比例,但并不是所有的DDOS攻擊都是洪水攻擊。除了洪水攻擊外,還有一些被稱為慢速攻擊(Low and Slow Attack)的攻擊方法。DDOS攻擊的精髓是:“消耗和長期占用大量資源,從而達到拒絕服務的目的”,洪水攻擊就是通過快速發送大量數據和請求,達到迅速消耗大量資源的目的,而慢速攻擊則有所不同,它會緩慢而堅定地發送請求并長期占用,一點一滴地蠶食目標的資源。
普通人不會遭遇DDOS攻擊:網絡犯罪團伙會為了利益進行敲詐,攻擊名氣大的站點的確可能獲得更高收益,但成本和風險同時也會增加;而規模較小的網站防護能力薄弱,更容易得手。競爭也是DDOS的重要原因之一,新進者可能攻擊領先者以搶奪用戶,而領先者也可能攻擊新進者來消除隱患。至于惡意的報復攻擊性,則完全不會考慮規模之類的因素。
只有黑客才能發起DDOS:網絡攻擊同樣如此。當前大部分黑客都專注于特定領域,有的擅長發現漏洞,有的善于開發工具,由的負責入侵過程,有的專門處理賬戶信息。就DDOS攻擊來說,一些黑客會建立和維護所謂的“攻擊網絡”。他們有的利用僵尸網絡,有的控制高性能服務器,形成攻擊能力后對外提供租用服務。而最終的租用者很可能只是不具備任何專業知識的普通人。這些服務使用方便,只要輸入攻擊目標的地址就可以完成整個攻擊過程。發起DDOS攻擊的可能是本地的網絡黑幫,可能是對街的競爭對手,可能是上周被開除的員工,甚至可能是某個老朋友有些過火的玩笑。潛在的攻擊者并不遙遠,他們也許就在你的身邊。
DDOS攻擊的目的就是單純破壞:毋庸置疑,DDOS攻擊的直接后果是破壞服務的可能性,簡直是這一看法的完美證據。可實際上,這些隱藏在面具后的是一雙雙能夠計算比特幣的眼睛。當今時代的攻擊者,對計算收益的敏感性遠超常人。他們會用破壞的威力換取對等的利潤,會用破壞的威懾避免自身可能受到的損失,會用破壞的杠桿撬起勝負的天平。更有時候,只需提示一下破壞的可能性,他們就可以坐地收銀。
防火墻和入侵檢測/防御系統能夠緩解DDOS攻擊:防火墻是最常用的安全產品,但是防火墻的設計原理中并沒有考慮針對DDOS攻擊的緩解。傳統的防火墻是以高強度的檢查作為代價來進行防護的,檢查的強度越高,計算的代價越大。而DDOS攻擊中的海量流量會造成防火墻性能急劇下降,不能有效地完成包轉發的任務。同時,傳統防火墻一般都部署在網絡入口位置,雖然這是某種意義上保護了網絡內部的所有資源,但是往往也成為DDOS攻擊的目標。
系統優化和增加帶寬能夠有效緩解DDOS攻擊:增加帶寬實際上屬于一種退讓策略,這種退讓策略還包括購買冗余硬件、增添性能更好的服務器等。只要攻擊者的DDOS攻擊造成資源消耗不高于目前的帶寬、計算等資源的承載能力,那么攻擊就是無效的;而一旦DDOS攻擊的資源消耗超出了目前的承載能力,則通過再次退讓來使其無效化。增加帶寬等退讓策略從理論上講的確能夠完全解決DDOS攻擊的問題,然而在實際上這種方式并不符合經濟規律。
預防DDOS攻擊的方法有以下這些:
充分利用網絡設備保護網絡資源,如路由器、防火墻等負載設備,進行配置使用都可以有效地保護網絡。
定期掃描網絡的節點,清查服務器存在的漏洞,及時進行更新和修復。
過濾服務器上非必要的服務和端口,在路由器上過濾假IP。使用反向路由器檢查訪問者的IP地址是否真實。單播反向路經轉發是判斷IP的方法,可以直接把虛假IP屏蔽掉。
配置SYN/ICMP做最大流量限制進行過濾,因為一般出現這樣的流量即為非正常的流量,即說明有不正常的網絡訪問,而正常的流量是不會使用超過這么大的流量包進行數據傳輸。
DDos流量清洗:流量清洗是用于準確識別網絡中的異常流量,丟棄其中的異常流量,保證正常流量通行的網絡安全設備。流量清洗的主要對象DDOS攻擊。
面向對象三大特性如下:
封裝
核心思想就是“隱藏細節”、“數據安全”:將對象不需要讓外界訪問的成員變量和方法私有化,只提供符合開發者意愿的公有方法來訪問這些數據和邏輯,保證了數據的安全和程序的穩定。
繼承
在多個不同的類中抽取出共性的數據和邏輯,對這些共性的內容進行封裝一個新的類即父類(也叫做超類或基類),讓之前的類來繼承這個類,那些共性的內容在子類中就不必重復定義。
多態
多態指允許不同類的對象對同一“消息”做出響應。即同一消息可以根據發送對象的不同而采用多種不同的行為方式。可以用于消除類型之間的耦合關系,Spring 的核心就是多態和面向接口編程。
以下地方會出現短信轟炸:
網站登錄處有短信轟炸
- 直接在登錄處顯示獲取驗證碼
- 當點擊登錄時會在登錄處彈出驗證
- 當點擊登錄后跳轉至一個專門驗證的頁面用戶注冊處和用戶找回密碼處有短信轟炸
在注冊和找回密碼處,往往都需要驗證碼,如果沒有加以驗證碼以及其它的限制的話,有可能會造成轟炸問題。利用修改處進行轟炸
在個人管理界面修改手機號或者修改郵箱的時候都需要驗證碼,如果此時這里處理不當,也可造成轟炸問題。利用反饋處進行轟炸
一些平臺支持反饋或者投訴等等,手機號或者郵箱都是自定義,也就是說可以隨便輸入利用獨特功能進行轟炸
比如個人后臺可以添加企業資料或者什么的,然后里面會要求輸入手機號,當添加成功了會有短信通知,此時如果重復添加,那么添加一次通知一次也就造成了短信轟炸的危害了。IE瀏覽器漏洞修復步驟如下:
打開瀏覽器,然后點擊工具欄文件,在彈出的菜單中選擇internet選項,點擊打開。然后internet選項中,點擊右上角的高級的選項卡,瀏覽器的重置按鈕在這里,重置后所有的設置便會回到默認狀態。
切換到此選項卡后,下面有一個重置的按鈕,如圖所示,我們點擊一下此按鈕。
現在出現一個選項,是不是要把所有瀏覽器中所保存的密碼緩存等信息一并刪除,我們可以選定,以確保重置的準確性。點擊開始重置按鈕。
現在軟件開始重置這些常用的設置了,等待重置完成,點擊關閉按鈕退出設置選項。現在有一個提示說要重啟瀏覽器才能完成重置,點擊確定,然后關閉瀏覽器,再次打開,問題就會解決了。
如果問題比較嚴重了,通過這種重置的方法并不能使瀏覽器恢復正常,那就得 還原高級設置了,還原高級設置后相當于ie瀏覽器重新安裝了一遍,這樣不管是什么樣的問題都可以解決,使瀏覽器回到最初的狀態。
服務器信息收集需要收集以下類型的信息:
實物型信息源:實物型信息源,又稱現場信息源,是指具體的觀察對象在運動過程中直接產生的有關信息,包括事物運動現場、學術討論會、展覽會等。
文獻型信息源:文獻型信息源主要是指承載著系統的知識信息的各種載體信息源,包括圖書、報紙、期刊、專利文獻、學位論文、公文等。
電子型信息源:電子型信息源是指通過使用電子技術實現信息傳播的信息源,包括廣播、電視、電子刊物等。
網絡信息源:網絡信息源是一種比較特殊的信息源,是指蘊藏在計算機網絡,特別是因特網中的有關信息而形成的信息源。
截止到 2021 年 5 月 24 日,根據網絡安全等級保護網消息顯示,全國網絡安全等級保護測評機構共計 208 家。部分企業名單如下:
北京:(37家)
安徽:(10家)
福建:(6家)
甘肅:(3家)
廣東:(9家)
廣西:(2家)
貴州:(4家)
海南:(3家)
河北:(10家)
河南:(5家)
黑龍江:(3家)
湖北:(6家)
湖南:(3家)
吉林:(5家)
江蘇:(13家)
江西:(3家)
遼寧:(7家)
內蒙古:(5家)
寧夏:(3家)
青海:(3家)
山東:(10家)
山西:(6家)
陜西:(7家)
上海:(5家)
四川:(3家)
天津:(9家)
西藏:(3家)
新疆:(3家)
云南:(7家)
浙江:(8家)
四川:(3家)
重慶:(4家)
相對于傳統的CDN服務器內容分發技術,高防CDN加速更加注重通訊的實時高效,為了達到這一目標,現在的高防cdn網站加速服務采用動態節點分配技術,可實時保障互聯網終端用戶訪問的是最近最穩定的節點;
高防cdn服務器節點遍布全球,可以緩解單一節點壓力,自動連接距離用戶最近的最安全的節點,內容分流發放,減緩帶寬壓力,從而提高用戶的訪問速度;
高防CDN服務器正是因為他節點豐富,所以他自帶的高防功能,像新型的DNS.COM高防CDN,黑客攻擊的都是附近的節點,他將源站IP隱藏,有效的提高黑客的攻擊難度。
新型的高防CDN服務器價格全面降低,適合中小型企業的應用。
總而言之,新型的高防CDN服務器相對于傳統的CDN而言前進了一大步,不僅功能增加,更加方便了網站經營者對網站的管理。像DNS.COM提供數據報表,可實時監控網站流量及相關信息,幫助站長合理掌控網站的業務發展方向,是網站經營者的不二之選。
源抑制包括以下三部分:
發現擁塞階段:路由器對緩沖區進行監測,一旦發現擁塞,立即向相應的源節點發送ICMP源抑制報文。通常在緩沖區滿時丟棄當前的數據報,每丟棄一個數據報,都要向該數據報的源節點(發送方)發送一個源抑制報文。源節點收到源抑制報文后,獲知擁塞已經發生,而且所發送的數據報已被丟棄。
解決擁塞階段:源節點根據收到的源抑制報文中的原數據報的首部信息決定對發往某特定目標節點的數據流進行抑制,通常按一定規則降低發往該目標節點的數據報傳輸速率。
恢復階段:擁塞解除后,源節點逐漸恢復數據報傳輸速率。在規定的時間段內未收到關于某目標節點的源抑制報文,源節點就認為發往該目標節點的擁塞已經解除。
防火墻主要有以下三種工作模式:
路由模式:部署在內部網絡和外部網絡之間,需要將防火墻與內部網絡、外部網絡以及DMZ 三個區域相連的接口分別配置成不同網段的IP 地址,重新規劃原有的網絡拓撲,此時相當于一臺路由器。采用路由模式時,可以完成ACL 包過濾、ASPF 動態過濾、NAT 轉換等功能。然而,路由模式需要對網絡拓撲進行修改(內部網絡用戶需要更改網關、路由器需要更改路由配置等),這是一件相當費事的工作,因此在使用該模式時需權衡利弊。
透明模式:采用透明模式時,只需在網絡中像放置網橋(bridge)一樣插入該防火墻設備即可,無需修改任何已有的配置。與路由模式相同,IP 報文同樣經過相關的過濾檢查(但是IP 報文中的源或目的地址不會改變),內部網絡用戶依舊受到防火墻的保護。防火墻透明模式的典型組網方式如下:
混合模式:混合模式主要用于透明模式作雙機備份的情況,此時啟動VRRP(Virtual Router Redundancy Protocol,虛擬路由冗余協議)功能的接口需要配置IP 地址,其它接口不配置IP地址。
上網人員管理
上網身份管理:利用IP/MAC識別方式、用戶名/密碼認證方式、與已有認證系統的聯合單點登錄方式準確識別確保上網人員合法性。
上網終端管理:檢查主機的注冊表/進程/硬盤文件的合法性,確保接入企業網的終端PC的合法性和安全性。
移動終端管理:檢查移動終端識別碼,識別智能移動終端類型/型號,確保接入企業網的移動終端的合法性。
上網地點管理:檢查上網終端的物理接入點,識別上網地點,確保上網地點的合法性。
上網瀏覽管理
搜索引擎管理:利用搜索框關鍵字的識別、記錄、阻斷技術,確保上網搜索內容的合法性,避免不當關鍵詞的搜索帶來的負面影響。
網址URL管理 :利用網頁分類庫技術,對海量網址進行提前分類識別、記錄、阻斷確保上網訪問的網址的合法性。
網頁正文管理:利用正文關鍵字識別、記錄、阻斷技術,確保瀏覽正文的合法性。
文件下載管理:利用文件名稱/大小/類型/下載頻率的識別、記錄、阻斷技術確保網頁下載文件的合法性。
上網外發管理
普通郵件管理:利用對SMTP收發人/標題/正文/附件/附件內容的深度識別、記錄、阻斷確保外發郵件的合法性。
WEB郵件管理 :利用對WEB方式的網頁郵箱的收發人/標題/正文/附件/附件內容的深度識別、記錄、阻斷確保外發郵件的合法性。
網頁發帖管理:利用對BBS等網站的發帖內容的標題、正文關鍵字進行識別、記錄、阻斷確保外發言論的合法性。
即時通訊管理:利用對MSN、飛信、QQ、skype、雅虎通等主流IM軟件的外發內容關鍵字識別、記錄、阻斷確保外發言論的合法性。
其他外發管理:針對FTP、TELNET等傳統協議的外發信息進行內容關鍵字識別、記錄、阻斷確保外發信息的合法性。
上網應用管理
上網應用阻斷:利用不依賴端口的應用協議庫進行應用的識別和阻斷。
上網應用累計時長限額:針對每個或多個應用分配累計時長、一天內累計使用時間達到限額將自動終止訪問。
上網應用累計流量限額:針對每個或多個應用分配累計流量、一天內累計使用流量達到限額將自動終止訪問。
上網流量管理
上網帶寬控制:為每個或多個應用設置虛擬通道上限值,對于超過虛擬通道上限的流量進行丟棄。
上網帶寬保障:為每個或多個應用設置虛擬通道下限值,確保為關鍵應用保留必要的網絡帶寬。
上網帶寬借用:當有多個虛擬通道時,允許滿負荷虛擬通道借用其他空閑虛擬通道的帶寬。
上網帶寬平均:每個用戶平均分配物理帶寬、避免單個用戶的流量過大搶占其他用戶帶寬。
上網行為分析
上網行為實時監控:對網絡當前速率、帶寬分配、應用分布、人員帶寬、人員應用等進行統一展現。
上網行為日志查詢:對網絡中的上網人員/終端/地點、上網瀏覽、上網外發、上網應用、上網流量等行為日志進行精準查詢,精確定位問題。
上網行為統計分析:對上網日志進行歸納匯總,統計分析出流量趨勢、風險趨勢、泄密趨勢、效率趨勢等直觀的報表,便于管理者全局發現潛在問題。
上網隱私保護
日志傳輸加密:管理者采用SSL加密隧道方式訪問設備的本地日志庫、外部日志中心,防止黑客竊聽。
管理三權分立:內置管理員、審核員、審計員賬號。管理員無日志查看權限,但可設置審計員賬號;審核員無日志查看權限,但可審核審計員權限的合法性后才開通審計員權限;審計員無法設置自己的日志查看范圍,但可在審核員通過權限審核后查看規定的日志內容。
精確日志記錄:所有上網行為可根據過濾條件進行選擇性記錄,不違規不記錄,最小程度記錄隱私。
設備容錯管理
死機保護:設備帶電死機 / 斷電后可變成透明網線,不影響網絡傳輸。
一鍵排障:網絡出現故障后,按下一鍵排障物理按鈕可以直接定位故障是否為上網行為管理設備引起,縮短網絡故障定位時間。
雙系統冗余:提供硬盤+Flash卡雙系統,互為備份,單個系統故障后依舊可以保持設備正常使用。
風險集中告警
告警中心:所有告警信息可在告警中心頁面中統一的集中展示。
分級告警:不同等級的告警進行區分排列,防止低等級告警淹沒關鍵的高等級告警信息。
告警通知:告警可通過郵件、語音提示方式通知管理員,便于快速發現告警風險。
DNS服務器面臨的安全問題主要包括:
DNS域名信息欺騙攻擊
DNS欺騙即域名信息欺騙是最常見的DNS安全問題。當一個DNS服務器掉入陷阱,使用了來自一個惡意DNS服務器的錯誤信息,那么該DNS服務器就被欺騙了。DNS欺騙會使那些易受攻擊的DNS服務器產生許多安全問題,例如,將用戶引導到錯誤的互聯網站點,或者發送一個電子郵件到一個未經授權的郵件服務器。網絡攻擊者通常通過四種方法進行DNS欺騙。拒絕服務攻擊
黑客主要利用一些DNS軟件的漏洞,如BIND 9版本(版本9.2.0以前的9系列),如果有人向運行BIND的設備發送特定的DNS數據包請求,BIND就會自動關閉。攻擊者只能使BIND關閉,而無法在服務器上執行任何命令。如果得不到DNS服務,那么就會產生一個嚴重的問題:由于網址不能解析為IP地址,用戶將無法訪問互聯網。這樣,DNS產生的問題就好像是互聯網本身所產生的問題,這將導致混亂。緩沖區漏洞攻擊
BIND軟件的默認設置是允許主機間進行區帶傳輸(Zone Transfer)。區帶傳輸主要用于主域名服務器與輔域名服務器之間的數據同步,使輔域名服務器可以從主域名服務器獲得新的數據信息。一旦啟用區帶傳輸而不做任何限制,很可能會造成信息泄露,黑客將可以獲得整個授權區域內的所有主機的信息,判斷主機功能及安全性,從中發現目標進行攻擊。一旦這些信息泄露,攻擊者就可以根據它輕松地推測主域名服務器的網絡結構,并從這些信息中判斷其功能或發現那些防范措施較弱的機器。分布式拒絕服務攻擊
DDoS攻擊通過使用攻擊者控制的幾十臺或幾百臺計算機攻擊一臺主機,使得拒絕服務攻擊更難以防范:使拒絕服務攻擊更難以通過阻塞單一攻擊源主機的數據流,來防范拒絕服務攻擊。SYN Flood是針對DNS服務器最常見的分布式拒絕服務攻擊。SYN Flood攻擊利用IPv4中TCP協議的三次握手(Three-Way Handshake)過程進行攻擊。我們已經知道協議的規定,如果一端想向另一端發起TCP連接,它需要首先發送TCP SYN包到對方,對方收到后發送一個TCP SYN+ACK包回來,發起方再發送TCP ACK包回去,這樣三次握手就結束了。我們把TCP連接的發起方叫做“TCP客戶機(TCP Client)”,TCP連接的接收方叫做“TCP服務器(TCPServer)”。緩沖區溢出漏洞攻擊
BIND軟件的許多版本存在緩沖區溢出漏洞,當攻擊者獲取了管理員權限時,就可以入侵BIND所在的主機,并以管理員的身份執行任意命令。這種攻擊的危害性比較嚴重,攻擊者不僅獲得了DNS服務器上所有授權區域內的數據信息,甚至可以直接修改授權區域內的任意數據。針對這種攻擊,主要是及時發現DNS軟件的版本漏洞,并進行升級。黑客利用DNS服務器軟件存在的漏洞,比如對特定的輸入沒有進行嚴格檢查,那么有可能被攻擊者利用,攻擊者構造特殊的畸形數據包來對DNS服務器進行緩沖區溢出攻擊。如果這一攻擊成功,就會造成DNS服務停止,或者攻擊者能夠在DNS服務器上執行其設定的任意代碼。例如,針對Linux平臺的BIND的攻擊程序(Lionworm),就是利用某些版本的BIND漏洞,取得root權限,一旦入侵完成之后,入侵者就可以完全控制整個相關的網絡系統,影響非常嚴重。不安全的DNS動態更新
最早設計DNS時所有運行TCP/IP的計算機都是手工配置的。用特定的IP地址手工配置一臺計算機時,它的A資源記錄和PTR資源記錄也要用手工配置。隨著DHCP(動態主機配置協議)的出現,DHCP客戶機由DHCP服務器動態分配IP地址,使手工更新其A記錄和PTR記錄變得很難管理。因此,在RFC 2136中提出了DNS動態更新,這使得DNS客戶端在IP地址或名稱出現更改的時候,都可利用DNS服務器來注冊和動態更新其資源記錄。然而,盡管DNS動態更新協議規定了怎樣的系統才允許動態更新一臺主域名服務器,但是DNS仍然可能受到威脅,比如攻擊者可以利用IP欺騙,偽裝成DNS服務器信任的主機對系統進行更新或者損害,并可以對主域名服務器進行各種動態更新攻擊,比如刪減、增加、修改資源記錄。