基于伪造源地址的DNS攻击的解决办法

来源 :电脑知识与技术 | 被引量 : 0次 | 上传用户:supercamel1987
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  摘要:针对校园网出现的利用仿冒源地址对DNS进行攻击,从而影响DNS正常运行的情况,通过在网络设备和出口防火墙分别配置ACL和访问控制策略来阻断这种类型的攻击,来保证校园网正常运行。
  关键词:域名解析系统;网络攻击;校园网;防火墙;访问控制列表
  中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2018)10-0063-02
  Abstract: By using fake source address to attack DNS has affected the normal operation of the DNS on the campus network. Through to configure ACL and access control strategy in the network equipments and firewalls to block this type of attack, to ensure the normal operation of the campus network.
  Key words:DNS; network attack; campus network; firewall; ACL
  1 背景
  计算机网络应用的过程中,DNS扮演了不可替代的作用。在此不去详细介绍DNS的运行机制,强调的一点就是,DNS的运行状况与计算机用户网络访问的正常与否密切相关。但是,在网络信息安全形势日益严峻的今天,针对DNS的攻击也是层出不穷。作为校园网,更要承受着来自局域网内和互联网外的各种攻击。这里,针对我校校园网出现的通过仿冒源IP地址对DNS进行攻击的情况,给出解决方法,以供参考。
  2 DNS攻击的特征
  由于同一VLAN(虚拟局域网)中计算机与计算机之间的通信是通过广播的形式来发现彼此,然后建立连接进行通信。正是利用这一特点,攻击方把自己的IP地址伪造成和被攻击DNS的IP地址同属一个VLAN,仿冒的这个地址可能是没有正在使用的地址,实际抓包显示,存在大量没有正在使用的跟DNS在同一个VLAN里面的IP地址请求DNS。当DNS收到请求数据包,在拆包的过程中发现请求方的源地址跟自己在同一个VLAN后,就会在VLAN里面进行广播,寻找这个IP地址对应的计算机,其结果就是广播发出后,往往无法收到这个IP地址对应计算机的回应。如果这种攻击数据包是大量和连续的,DNS的系统资源大量用在处理这种攻击数据包上,频繁的发送广播,势必会长时间大量占用网络带宽,无法很好的回应正常的DNS请求,那么用户的网络访问就会受到影响。攻击原理如图1所示。
  从图1可以直观地看出攻击的过程,攻击者把源地址伪造成计算机终端C的地址,处于校园网外部的攻击者A的数据包经过校园网出口防火墙进入校园网内部发起攻击;而处于校园网内部的攻击者B的攻击数据包则经过校园网络交换机和路由器转发给DNS。根据攻击发生的流向和所经过的网络设备,我们加以分析得出相应的解决办法,即在校园网网络设备相应的端口启用ACL(访问控制列表),在出口防火墙上启用访问策略规则。
  3 DNS攻击的解决办法
  3.1 应对互联网上攻击
  针对互联网上发起的攻击,实际表现为,从流控设备上发现大量与DNS建立的连接,源地址为DNS所處VLAN的IP地址,方向为从互联网到校园网方向。因此我们在校园网出口防火墙入校园网的方向上配置访问控制策略,制定这样一条访问控制规则,但凡源地址为DNS所处VLAN的IP地址的,目的访问地址为DNS的IP地址,发起的所有类型的访问一律禁止。示例如图2所示。
  3.2 应对校园网内攻击
  对于校园网内的攻击,由于攻击者所处校园网的网络位置可能无法确定,就不能确定攻击者的数据包从下层哪个交换机转发而来。对于这种情况,只要可以确定出所有校园网用户请求DNS的数据必须经过的网络设备,就可以在此设备上配置全局ACL,然后在相应的端口上开启ip access-group访问控制,把这种伪造源地址的DNS请求给过滤掉。ACL示例如图3所示。
  4 结束语
  随着互联网的日益融入人们的日常生活,对网络的依赖越发加强,但是随之而来的网络攻击态势日渐高涨,作为一名网络管理者,在这种情况下就需要我们不断学习新知识,提高业务技术水平,针对实际工作中出现的问题,做到具体问题具体分析,运用手中的各种工具设备来不断的加强网络安全的防御,为用户获取更好的上网体验而努力。
  参考文献:
  [1] 闫伯儒. DNS欺骗攻击的检测和防范[J]. 计算机工程, 2006, 32(21): 130-132, 135.
  [2] 张小妹. 基于DNS 的拒绝服务攻击研究与防范[J]. 计算机工程与设计, 2008, 29(1): 21-24.
其他文献
悖论性思想实验通过导出两难问题,致使科学理论发生革命性的变化,推动理论发生质的飞跃。伽利略的著名的自由落体思想实验便是悖论的典型。诺顿主张思想实验就是论据,他通过
2017年田湾核电站3号机组反应堆完成了首次无中子源的启动。国内相关法规和标准对于压水堆物理启动是否使用外加中子源并无强制要求,但规定应重视启动过程的中子通量监测和临
目前,计算机技术与互联网被广泛地应用在我国的各个行业。信息时代,一场以数据信息为依托的革命席卷了社会的各个领域,对社会经济的发展起到了极大的推动作用,同时也为人民的
传统高校校园网建立在以设备为中心的架构上,面临着以云计算为代表的计算模式结构化变革,在客观分析当前高校校园网络在传统模式下所存在问题的基础上,分析了云技术在高校信
摘要:近年来,新信息化技术,如大数据、人工智能、物联网和云计算等对人们的生活产生深远的影响。相对于竞技体育,大众体育有其独特的内涵与特点。针对群众体育的特点,分析了新型信息化时代对大众体育所产生的机遇与挑战,并提出建议和举措。  关键词:信息化;大众体育;影响  中图分类号:G80- 05 文献标识码:A  文章编号:1009-3044(2019)11-0296-03  Abstracts: In
目的探讨解毒通络汤治疗肝炎后肝硬化患者的临床疗效,并揭示其可能的作用机制.方法符合"湿热内蕴、瘀血阻络证"中医证候标准,随机分为对照组20例,对照组应用保肝、利尿、止血
Volpe报告来自全世界关于极低出生体重儿(VLBWI)大量随访的研究指出:<1500 g早产儿生存率接近85%.随着存活率的增加,早产儿的肺损伤、脑损伤及视网膜病等并发症发生率同步增高。
摘要:本文主要研究一种基于Snort的主动式入侵防御系统,利用协议分析的方法,有效解决了当前主流入侵防御系统中准确性不足、实时性较差的问题,提高了系统检测效率和便捷性,有效增强了网络入侵防御系统的性能和安全性,更好地满足了复杂网络环境中入侵行为检测的需要。  关键词:入侵检测;网络安全;Snort  中图分类号:TP3 文献标识码:A 文章编号:1009-3044(2018)19-0038-02 
我科于2009年至2011年共收治326例耳聋、耳鸣患者,在临床护理中针对患者不同的分型进行个体分析,实施辨证护理方法,使患者保持最佳的身心状态,积极配合治疗,在康复过程中取得满意