@南馆潇湘
2年前 提问
1个回答

DNS开放协议存在哪些自身缺陷

Andrew
2年前

DNS开放协议存在以下自身缺陷:

  • 单点故障:DNS采用层次化的树形结构,由树叶走向树根就可以形成一个完全合格域名(Fully Qualified Domain Name, FQDN),DNS服务器作为该FQDN唯一对外的域名数据库和对内部提供递归域名查询的系统,其安全和稳定就存在单点故障的风险。

  • 无认证机制:DNS没有提供认证机制,查询者在收到应答时无法确认应答信息的真假,黑客可以将一个虚假的IP地址作为应答信息返回给请求者,从而引发DNS欺骗。

  • DNS本身漏洞:DNS是域名软件,它在提供高效服务的同时也存在许多安全性漏洞。现已证明在DNS版本4和版本8上存在缺陷,攻击者利用这些缺陷能成功地进行DNS欺骗攻击。

  • 缓存中毒:DNS使用超高速缓存,当一个名称服务器收到有关域名和IP的映射信息时,它会将该信息存放在高速缓存中。这种映射表是动态更新的,但刷新有一个周期,假冒者如果在下次更新之前成功修改了这个映射表,就可以进行DNS欺骗。

  • 信息泄露:DNS的默认设置允许任何人进行区传送(区传送一般用于主服务器和辅服务器之间的数据同步),而区传送可能会造成信息泄露。

  • 不安全的动态更新:随着DHCP的出现,客户计算机由DHCP服务器动态分配IP地址,使原来手工更新其A(Address)记录和PTR(反向解析)记录变得很难管理,为此提出了DNS的动态更新,即DNS客户端在IP地址或名称出现更改的任何时候都可利用DNS服务器来注册和动态更新其资源记录。但黑客可以利用IP欺骗伪装成DNS服务器信任的主机对区数据进行添加、删除和替换。