标签:
什么叫做DNS?
DNS(Domain Name System,域名系统),因特网上作为域名和IP地址相互映射的一个分布式数据库,能够使用户更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。通过主机名即域名,最终得到该主机名对应的IP地址的过程叫做域名解析(或主机名解析)。DNS协议运行在UDP协议之上,使用端口号53。在RFC文档中RFC 2181对DNS有规范说明,RFC 2136对DNS的动态更新进行说明,RFC 2308对DNS查询的反向缓存进行说明。
什么叫做域名劫持?
域名劫持是互联网攻击的一种方式,通过攻击域名服务器(DNS,Domain Name System,域名系统),或伪造域名解析服务器(DNS)的方法,把目标网站域名解析到错误的地址从而实现用户无法访问目标网站的目的。
什么叫做IDS入侵检测?
IDS是英文“Intrusion Detection Systems”的缩写,中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略,通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。
简要介绍在IDS:
(1) 按入侵检测的手段、IDS的入侵检测模型可分为基于网络和基于主机两种。
基于网络的模型
即通过连接在网络上的站点捕获网上的包,并分析其是否具有已知的攻击模式,以此来判别是否为入侵者。当该模型发现某些可疑的现象时也一样会产生告警,并会向一个中心 管理站点发出“告警”信号。
原理:防火长城对所有经过骨干出口路由的在UDP的53端口上的域名查询进行IDS入侵检测,一经发现与黑名单关键词相匹配的域名查询请求,防火长 城会马上伪装成目标域名的解析服务器给查询者返回虚假结果。由于通常的域名查询没有任何认证机制,而且域名查询通常基于的UDP协议是无连接不可靠的协 议,查询者只能接受最先到达的格式正确结果,并丢弃之后的结果。而用户直接查询境外域名查询服务器(比如 Google Public DNS )又可能会被防火长城污染,从而在没有任何防范机制的情况下仍然不能获得目标网站正确的IP地址。
从2002年左右开始,the china mainland 的网络安全单位开始采用域名劫持(域名污染)技术,使用思科(Cisco)提供的路由器IDS监测系统来进行域名劫 持,防止了一般民众访问被过滤的网站,2002年Google被封锁期间其域名就被劫持到百度,而china部分ISP也会通过此技术插入广告。对于含有多个 IP地址或经常变更IP地址逃避封锁的域名,防火长城通常会使用此方法进行封锁,具体方法是当用户向境内DNS服务器提交域名请求时,DNS服务器返回虚 假(或不解析)的IP地址。
全球一共有13组根域名服务器(Root Server),先前the china mainland有F、I这2个根域DNS镜像,但现在均已因为多次DNS污染外国网络,威胁互联网安全和自由而被断开与国际互联网的连接。
2010年3月,当美国和智利的用户试图访问热门社交网站如 facebook.com 和 youtube.com 还有 twitter.com 等域名,他们的域名查询请求转交给the china mainland控制的DNS根镜像服务器处理,由于这些网站被封锁,结果用户收到了错误的DNS信息,这意味着防火长城的 DNS域名污染域名劫持已影响国际互联网。
2010年4月8日,the china mainland一个小型ISP的错误路由数据,经过中国电信的二次传播,扩散到了整个国际互联网,波及到了AT&T、 Level3、Deutsche Telekom、Qwest Communications和Telefonica等多个国家的大型ISP。
标签:
原文地址:http://www.cnblogs.com/wuxinliulei/p/4855205.html
