文章目录
  1. 介绍
  2. 历史
  3. 记录类型
  4. 技术实现
    1. 概述
    2. 域名解析
    3. WHOIS
  5. DNS 攻击
    1. DNS 复位向
    2. ARP 欺骗
    3. 利用 DNS 伺候器 DDOS
    4. DNS 污染
    5. DNS 劫持

DNS

介绍

域名系统(Domain Name System),可以将域名转换为 IP 地址。

历史

DNS 最早于 1983 年由 Paul Mockapetris 发明;原始的技术规范在 RFC 882 中发布。
1987 年发布的 1034 和 1035 号草案修正了 DNS 技术规范,并废除了之前的第 882 和 883 号草案。
在此之后对因特网标准草案的修改基本上没有涉及到 DNS 技术规范部分的改动。
早期的域名必须以英文句号“.”结尾,当访问 hanxv.com 的 HTTP 服务时必须在地址栏中输入 https://hanxv.com.,这样 DNS 才能够进行域名解析。
如今 DNS 伺候器已经可以自动补上结尾的句号。

记录类型

代码 描述
A IP 地址记录
AAAA IPv6 IP 地址记录
AFSDB AFS文件系统
APL 地址前缀列表
CERT 证书记录
CNAME 规范名称记录
DHCID DHCP 标识符
DLV DNSSEC 来源验证记录
DNAME 代表名称
DNSKEY DNS 关键记录
DS 委托签发者
HIP 主机鉴定协议
IPSECKEY IPSEC 密钥
KEY 关键记录
LOC 位置记录
MX 电邮交互记录
NAPTR 命名管理指针
NS 名称伺候器记录
NSEC 下一代安全记录
NSEC3 NSEC 记录第三版
NSEC3PARAM NSEC3 参数
PTR 指针记录
RRSIG DNSSEC 证书
RP 负责人
SIG 证书
SOA 权威记录的起始
SPF SPF 记录
SRV 服务定位器
SSHFP SSH 公共密钥指纹
TA DNSSEC 信任当局
TKEY 秘密密钥记录
TSIG 交易证书
TXT 文本记录
AXFR 全局转移
IXFR 增量区域转移
OPT 选项
* 所有缓存的记录

技术实现

概述

DNS 通过允许一个名称伺候器把它的一部分名称服务“委托”给子伺候器而实现了一种层次结构的名称空间。
此外,DNS 还提供了一些额外的信息,例如系统别名、联系信息以及哪一个主机正在充当系统组或域的邮件枢纽。
任何一个使用 IP 的计算器网络可以使用DNS来实现它自己的私有名称系统。
尽管如此,当提到在公共的 Internet DNS 系统上实现的域名时,术语“域名”是最常使用的。
这是基于 504 个全球范围的“根域名伺候器”。
从这 504 个根伺候器开始,余下的 Internet DNS 命名空间被委托给其他的 DNS 伺候器,这些伺候器提供 DNS 名称空间中的特定部分。

域名解析

举个例子,hanxv.com 作为一个域名就和 IP 地址 151.101.100.133 相对应。
DNS 就像是一个自动的电话号码簿,我们可以直接拨打 hanxv.com 的名字来代替电话号码(IP 地址)。
DNS 查询有两种方式:递归和叠代。DNS 客户端设置使用的 DNS 伺候器一般都是递归伺候器,它负责全权处理客户端的 DNS 查询请求,直到返回最终结果。而 DNS 伺候器之间一般采用叠代查询方式。
以查询 hanxv.com 为例:

客户端发送查询报文 query hanxv.com 至 DNS 伺候器,DNS 伺候器首先检查自身缓存,如果存在记录则直接返回结果。
如果记录老化或不存在,则 DNS 伺候器向根域名伺候器发送查询报文 query hanxv.com,根域名伺候器返回 .com 域的权威域名伺候器地址,这一级首先会返回的是顶级域名的权威域名伺候器。
DNS 伺候器向 .com 域的权威域名伺候器发送查询报文 query hanxv.com,得到主机的 A 记录,存入自身缓存并返回给客户端。

WHOIS

一个域名的所有者可以通过查询 WHOIS 数据库而被找到;对于大多数根域名伺候器,基本的 WHOIS 由 ICANN 维护,而 WHOIS 的细节则由控制那个域的域注册机构维护。
对于多个国家代码顶级域名(ccTLDs),通常由该域名权威注册机构负责维护 WHOIS。
例如:香港互联网注册管理有限公司(Hong Kong Internet Registration Corporation Limited)负责 .HK 域名的 WHOIS 维护。

DNS 攻击

##本机劫持
本机计算器系统被木马或流氓软件感染后,可能会出现部分域名的访问异常。如访问挂马或者钓鱼站点、无法访问。

DNS 复位向

将 DNS 名称查询复位向指定的 DNS 伺候器上,被劫持域名的解析就在攻击者的控制之下了。

ARP 欺骗

通过伪造 IP 地址和 MAC 地址实现 ARP 欺骗,能够在网络中产生大量的 ARP 通信量使网络阻塞,只要持续不断的发出伪造的 ARP 响应包就能更改目标主机 ARP 缓存中的 IP-MAC 条目,造成网络中断或中间人攻击。
ARP 攻击主要是存在于局域网网络中,局域网中若有一台计算器感染 ARP 病毒,则感染该 ARP 病毒的系统将会试图通过”ARP 欺骗”手段截获所在网络内其它计算器的通信信息,并因此造成网内其它计算器的通信故障。

利用 DNS 伺候器 DDOS

正常 DNS 伺候器递归查询过程可能被利用成 DDOS 攻击。假设攻击者已知被攻击机器的 IP 地址,然后使用该地址作为发送解析命令的源地址。
当 DNS 伺候器递归查询后,DNS 伺候器响应给最初用户,而这个用户正是被攻击者。如果控制了足够多的肉鸡,反复的进行如上操作,被攻击者就会受到来自于 DNS 伺候器的响应信息 DDOS 攻击。
拥有着足够多的肉鸡群,那么就可以使被攻击者的网络被拖垮至发生中断。

DNS 污染

使用 DNS 请求,将数据放入一个具有漏洞的的 DNS 伺候器的缓存当中。
这些缓存信息会在客户进行 DNS 访问时返回给用户,从而造成 DNS 污染。

DNS 劫持

通过监听客户端和DNS伺候器的对话,可以猜测伺候器响应给客户端的 DNS 查询 ID。每个 DNS 报文包括一个相关联的 16 位 ID 号,DNS 伺候器根据这个 ID 号获取请求源位置。
在 DNS 伺候器之前将虚假的响应交给用户,从而造成 DNS 劫持。