aida64,IPv6安全考虑-1:IPv6网络中递归DNS的危险剖析,形容女人漂亮的词语

DNS(Domain Name System )域名体系是支撑互联网运转的重要中心基础设施,因而DNS体系也成为互联网进犯的最首要方针。DNS安全含义严重,一旦发作严重DNS进犯事情,将可能会影响大范围互联网的正常运转,并给社会带来巨大经济损失。

跟着我国推动IPv6规划布置行动计划快速施行,我国三大电信运营商的固定和4G LTE网络现已大范围布置IPv6协议,跟着一批TOP ICP网站和APP支撑IPv6协议,现在我国现已有超越5亿用户取得IPv6地址,开始运用IPv6网络效劳。我国互联网正在向IPv6年代全面演进。在这个阶段,有必要要高度注重DNS安全问题。

1、递归DNS的运转机制

DNS体系能够分为:根DNS效劳器、尖端域名DNS效劳器tel(TLD)、威望DNS效劳器、递归DNS效劳器等几类。

用户拜访互联网,第一步需求向本地递归DNS恳求域名解析。递归DNS查询缓存或向上一级DNS进行递归,取得域名解析成果并回来给用户,然后用户浏览器就能够拜访方针网站和网页。从互联网DNS体系架构来看,递归DNS是一个归纳体系,包含多个层级。用户向初级递归刘老根大舞台DNS查询,初级向高档递归DNS查询,高档递归DNS向根DNS、尖端域名DNS、威望DNS效劳器查询,这样一级一级递归查询。威望DNS解析出来域名的IP地址再一级一级回来,最终发给用户主机。

递归DNS在日志里边将会记载用户美利达的DNS查询记载,包含用户主机的源IP地址、方针网站、查询时刻、回来DNS查询成果(方针网站的IP地址)等等。

2、IPv6 与IPv4环境下递归DNS运转机制的差异及风险

IPv6网络环境下,DNS的运转机制与IPv4网络环境下存在一些差异。

由于IPv4地址资源缺少,所以IPv4网络通常会在出口布置NAT设备,内网主机向递归DNS恳求域名解析恳求时,递归DNS收到的是NAT设备IP地址,无法取得用户主机的IP地址。

IPv6协议供给了海量IP地址资源,一切用户主机/联网终端都装备实在IPv6地址。IPv6主机(或联网终端)运用实在IPv6地址向递归DNS建议域名解析恳求,递归DNS效劳器向用户主机回来域名解析成果,并在日志中记载用户的实在IPv6地址。

互联网IP地址扫描勘探是黑客常用的进犯手法。由于IPv6协议规划有海量地址,原有IPv4地址段扫描的勘探方法在IPv6网络上根本失效,所以黑客需求取得用户的实在IPv6地址,就需求找到一个具有许多用户实在IPv6地址记载的体系,侵略破解之后获翟力通取用户IP地址数据。而递归DNS效劳器恰恰能够满意黑客的勘探需求,无论是内网递归DNS体系,仍是公共递归DNS体系,在DNS日志文件里边都记载了海量用户的实在IPv6地址与域名解析记载。

3、I正月十五夜Pv6网络环境中盗取将成为递归DNS重要攻友妻击方法

对递归DNS体系的进犯,首要包含损坏、投毒、盗取三种方法。

IPv4年代对DNS的进犯以损坏为主,包含DDOS进犯等,意图是形成DNS效劳中止。这种进犯发作后很快就会被发现,并在12-24小时内修正。

DNS缓存投毒是指递归DNS向上级DNS恳求查询,进犯者仿冒上级DNS效劳器向递归DNS 效劳器发送假造应对包抢先完结应对,用虚伪数据污染递归DNS 缓存,从而使递归DNS向用户主机回来过错的解析IP成果,将用户拜访重定向到风险网站。

进入IPv6年代,由于获取用户实在IPv6地址变得困难,因羽绒服品牌此盗取将成为递归DNS进犯的重要方法。黑客侵略DNS后,不搅扰DNS正常运转,而是长时间埋伏起来,继续盗取DNS效劳器的日志数据,从日志数据中即时获取海量用户的实在IPv6地址,并作为网络勘探的方针。

假如黑客侵略并攻破校园网、政务网,企业网的递归DNS效劳器,以及公共DNS效劳商的递归DNS体系,就能够获取DNS日志并抓取许多新鲜有用的用户IPv6地址,以进行精准IPv6我的上司地址扫描勘探。潜aida64,IPv6安全考虑-1:IPv6网络中递归DNS的风险分析,描述女性美丽的词语伏盗取是静默无声而且长时间的,其带来的风险峻远远大于婚姻DDOS进犯损坏和DNS缓存投毒。

现在许多园区网、企业网的DNS效劳器安全防护单薄,跟着用户网络IPv6晋级和DNS体系IPv6晋级,将可能成为黑客要点进犯方针。

4、IPv6网络随意装备和运用公共DNS的风险

现在土楼网上有许多文章引荐国外的公共DNS,

包含:

GooglePublic DNS (IPv4:8.8.8.8;IPv6:2001:4860:4860::8888);

IBMQuad9 DNS (IPv4aida64,IPv6安全考虑-1:IPv6网络中递归DNS的风险分析,描述女性美丽的词语:9.9.9.9;IPv6:2620:fe::fe);

CloudflareDNS (IPv4:1.1.1.1;IPv6:2606:4700:4700::1111);

CiscoOpenDNS (IPv4:208.67.222.222;IPv6:2620:0:ccc::2);

HurricaneElectric Public 看书软件DNS (IPv4:74.82.42.42;IPv6:2001:470:20::2 )

由于国内网络受互联互通、世界出口拥堵等状况的影响,一些网站拜访速度较慢。在一些介绍全球公aida64,IPv6安全考虑-1:IPv6网络中递归DNS的风险分析,描述女性美丽的词语共DNS的网络技能文章影响下,许多用户在自己的电脑上设置国内、国外公共DNS作为首选DNS,以求完成网络加快。还有一些企业没有内网DNS效劳器,网管技能人员往往在路由器大将DNS设置为公共D千百擼NS的IP地址,内网用户直接运用公共DNS的域名解析效劳。这种状况在IPv4网络哀痛逆流成河电影环境下的问题不大,由于主机都在NAT设备之后装备内网IP,没有publicIP地址。但是在IPv6网络中,一切主机都将装备实在IPv6 黑色星期天Public IP地址宫外孕怎么办,一旦IP地址露出,即可被精准扫描。

Google、IB米酒的做法M、Cloudflare等全球公共DNaida64,IPv6安全考虑-1:IPv6网络中递归DNS的风险分析,描述女性美丽的词语S体系为全球互联网用户供给免费的DNS解析效劳,正面看是一种公益和慈悲,但从IPv6网络安全的视点看,其实也是一个全球主机IP地址收aida64,IPv6安全考虑-1:IPv6网络中递归DNS的风险分析,描述女性美丽的词语集器。假如用户主机DNS设置直接写入这些公共DNS的IP地址,或许小企业出口路氯化钾缓释片由器的DNS设置直接写入这些公共DNS的IP地址,那么用户主机建议DNS解析恳求时,这些公共DNS将直接取得用户主机(或企业内网主机)的真aida64,IPv6安全考虑-1:IPv6网络中递归DNS的风险分析,描述女性美丽的词语实IPv6地址。假定某个公共DNS体系的日志数据库与网军的IP地址扫描勘探体系直联同享,那么状况几乎无法想象。

5、在我国IPv6规划布置初期就要注重IPv6网络安全

两办《推动IPv6规划布置行动计划》文件中明确提出了“两并重三同步”准则:“开展与安全并重,同步推动网络安全体系规划、建造、运转”。

我国IPv6规划布置刚刚进入开展期,现已有超越5亿部手机完成了IPv6联网,一批高校、政府、企业的网络正在晋级支撑IPv6协议。在现在阶段,注重IPv6网络安全问题处于最佳阶段,而不能比及发作事端之后再亡羊补牢。能够预见,在不远的将来,IPv6 DNSaida64,IPv6安全考虑-1:IPv6网络中递归DNS的风险分析,描述女性美丽的词语安全将成为IPv6网络安全的最要点问题之一,有必要要予以高度注重,提早做好网络安全防护。

注:本文转载自老赵@IPv6头跳微信大众号;文内观念仅供参考。

埃文科技——网络空间地图测绘范畴技能专家,供给最全面、最精准的网络空间地图效劳。

公司成立于2012年,专心于网络空间、捅肚子地舆空间和社会空间的彼此映射,制作三位一体的网络空间地图,对网络空酚氨咖敏片间资源的静态特点和动态改变状况进行勘探。具有19项软件著作权及10项发明专利。