DNS安全及防护特征分析

ＤＮＳ安全及防护特征分析　马赫　（大庆油田信息技术公司北京分公司，黑龙江大庆１　６３４５３）　摘　要　文章首先针对ＤＮＳ工作机制与当前网络环境中对于其的主要安全威胁做出了简要分析，而后有针对性的从网　络内外两个方面，就如何切实提升ＤＮＳ体系安全规则展开了相应的讨论，对于更深一步认识ＤＮＳ安全以及防护的相关　＿Ｔ－作特征，把握安全技术发展脉搏都有一定的帮助价值。　关键词ＤＮＳ；安全；防护；特征　中图分类号：ＴＰ３　文献标识码：Ａ　文章编号：１６７１—７５９７（２０１　５）Ｏ卜Ｏ１９６－０１　域名系统（ＤＮＳ，Ｄｏｍａｉｎ　Ｎａｍｅ　Ｓｙｓｔｅｍ），存在于因特网上　Ｎａｍｅ　Ｄｏｍａｉｎ）作为当前网络环境中最为常用的ＤＮＳ服务软件，　的一个分布式数据库，其主要价值在于实现域名和ＩＰ地址相互　本身也存在着一定的安全漏洞。并且除此以外，ＤＮＳ服务器的　映射，从而能够实现用户更方便的访问互联网，不必去记住能　安全性，诸如服务器操作系统等，同样也是招致ＤＮＳ安全隐患　够被机器直接读取的ＩＰ数串。ＤＮＳ系统可谓当前全球最为庞大　的重要方面　的开放分布式层次数据库系统，但是由于其在设计之初并未为　２　ＤＮＳ安全防护特征分析　安全作出过多考虑，加上现在开放环境之下必然存在的人为破　坏，ＤＮＳ系统面临着极为严重的安全威胁，必须得到充分重视。　考虑到ＤＮＳ域名系统对于当前信息网络的价值和关键作用，　对于其安全防护必须放置于一个长期关注的环境之下，唯有不　１　ＤＮＳ工作机制与安全威胁　懈的努力才有可能切实实现ＤＮＳ体系的安全。总结而言，存在　想要切实了解ＤＮＳ系统所需要面临的安全威胁，首先必须　有如下几个方面的问题需要落实：　对其工作机制有所了解。从根本上看，ＤＮＳ系统保持了分布数　首先，从ＤＮＳ外部的角度看，由于ＤＮＳ是一个分级的系统，　据库的主要形式，并且利用树形目录结构将主机名称的管理权　由不同部门各级域以及相应的授权域名服务器共同构成，因此　限分配给对应的不同级别的ＤＮＳ服务器。这种做法可以保证对　对于ＤＮＳ外部环境而言，可以将包括边界路由器、防火墙的策　于主机名称的管理和修改工作能够在对应你的ＤＮＳ层级中实现，　略路由和端口管理、Ｆ５链路负载均衡器的链路控制和负载均衡　便于分散整个ＤＮＳ系统中的工作量，并且加强数据管理工作　策略、ＩＰＳ入侵防御系统的攻击防护和漏洞修复策略等结合在　力度。　一起，共同构成一个立体的ＤＮＳ安全环境。其中边界路由器以　在实际的域名查询工作过程中，首先由用户向当地的ＤＮＳ　及专用防火墙负责提供对外界网络的基本的安全保护，其主要　服务器提出显影的查询请求，当地的ＤＮＳ服务器负责接收该请求，　价值在于提供ＩＰ地址过滤和数据包过滤的基本规则，并且同时　并且检查本地资源，如果发现对应请求结果则将其反馈给用户，　担负起Ｉｎｔｅｒｎｅｔ与局域网之间的路由策略。而Ｆ５链路负载均　如果没有发现，则进一步检查本地缓存，如果仍然未能发现查　衡器则重点负责实现智能ＤＮＳ的功能，其能够将内部服务器集　询结果，则需要进一步向根服务器迭代展开查询。根服务器通　群化并且在外部网络访问的时候提供链路控制和负载均衡策略。　过查询将对应的ＤＮＳ授权服务器地址反馈给本地ＤＮＳ服务器，　而１ＰＳ入侵防御系统通常会放置于服务器与用户网络之间的环　由本地ＤＮＳ服务器实现面向授权服务器的进一步查询，并且最　境中，其价值突出表现在两个方面，其一为能够通过流量异常　终获取到查询结果反馈给用户。　监测以及连接等相关技术实现对于ＤＤｏｓ的攻击防御；其二　从ＤＮＳ的整个工作机制角度看，信息传输和ＤＮＳ的多层级　则是能够利用智能化的ＤＮＳ　ＤＤｏｓ攻击嗅探技术来针对ＤＮＳ解析　服务器都有可能成为其安全威胁的攻击点。具体而言，当前网　失败率以及响应请求执行状况等方面展开实时的分析，最终达　络环境中针对ＤＮＳ而存在的安全问题主要有如下几类：　成总体工作优化的目标。　首先是Ｄｄｏｓ攻击，即分布式拒绝服务攻击。这一类的供给　其次，从ＤＮＳ内部安全防护工作的角度看，考虑到ＤＮＳ协　又可以进一步划分为两个主要方面，其一为针对ＤＮＳ服务器软　议或者其相应软件以及配置方面存在的漏洞，常常会成为安全　件而展开的攻击，而其二则为将ＤＮＳ服务器作为攻击工具而朝　隐患攻击的途径，有鉴于此，则应当切实加强ＤＮＳ系统内部自　向其他网络主机而展开的攻击行为。其中前者以破坏ＤＮＳ服务　身安全机制的建设，从而发现实现提升ＤＮＳ环境安全水平的最　器本身查询功能作为攻击的重点，而后者则是通过发送大量包　终目标。对于这一方面，可以基于ＤＮＳ系统的工作状态特征以　含目标攻击主机ＩＰ地址的查询请求给ＤＮＳ服务器，从而实现被　及用户的需求特征来加强ＤＮＳ系统内部的安全建设。可以考虑　攻击主机必须接收到大量的查询结果，从而应当到其无法有效　名字服务器递归查询功能，从而阻止对于外部数据的缓存　提供正常的访问服务。其次，ＤＮＳ欺诈也是一个重要的安全威　产生。还可以区传送，通过在ＢＩＮＤ的配置文件中允许　胁形式。ＤＮＳ欺诈主要是未授权主机向域名解析系统诸如虚假的　区传送的主机，这对于减轻信息泄漏有着积极的帮助价值。还　资源记录，这样在正常的ＤＮＳ查询过程中，就有可能反馈错误　可以考虑对ＤＮＳ实现分立，即通过ＢＩＮＤ的视图功能将ＤＮＳ系统　的查询信息给用户，因此形成安全威胁。常见的实现方法包括　划分为内外两个部分，分立执行相应的职能，相当于在ＤＮＳ系　缓存污染、ＤＮＳ信息劫持以及ＤＮＳ重定向三种。最后，系统漏洞，　统工作的过程中增加了一层防火墙。除此以外，隐藏ＤＮＳ版本　是常见的ＤＮＳ安全问题，但是就目前的情况看并无十分有效的　信息并且禁用ＤＮＳ服务器上的不必要服务等手段，都是切实加　杜绝做法，因此一直都备受关注。ＢＩＮＤ（Ｂｅｒｋｅｌｅｙ　Ｉｎｔｅｒｎｅｔ　强ＤＮＳ系统自身安全水平的有力措施。　“（下转第２２１页）Ｉ１　２０１５年第１期总第１６９期　ＳｌＬ＿Ｃ０Ｎ　ＶＡＬＬＥＹ　城全市绿地覆盖率最高、规模最大的生态公园。　３）建设养护、维修成本低、管理粗放型的园林绿地。　．４技术创新与资源循环利用　１）减少高能源消耗园林建设。　绿化管理是绿化建设中的一个重要程序，维护管理是长期、　周期性的过程。当前许多精致的绿化工程的背后伴随的是长期　的、大量的投入。特别是大面积的草坪、喷泉水池、人工整形　修剪的模纹植物的大量应用，一旦失去高额的运行成本支撑，　原本炫目的景观会迅速失去光彩，成为城市败笔。因此要以低　成本、粗放型的设计理念为前提打造城市园林，设计时要综合　低碳园林首先是节约型园林，应以最少的用地、最少的用　水、最少的建设资金，选择对周围生态环境最少干扰的绿化模　式，为城市环境提供高效的生态保障系统。城市园林是城市中　唯一有生命的基础设施，保持着生态平衡，一定程度上也消耗　着资源和能源。在碳循环研究中，我们把释放二氧化碳的库称　为源（ｓｏｕｒｃｅ），吸收二氧化碳的库成为汇（Ｓｉｎｋ）。因此我们　应该最大化园林碳汇功能，降低资源消耗，遵循资源的优化配置、　合理利用循环经济等原则，以最少的资金投入创造最佳的城市　园林。　２）增强资源循环再利用。　考虑周边生态群落的自然环境条件和特色、植物景观生态群落　的建立等内容，充分利用当地资源和乡土植物。　总之，运城市还是一个经济欠发达地区，全市ＧＤＰ和人均　产值还很低，在城市大发展的过程中还要兼顾农村和农民的利　益，要赶超发达地区，切实提高人民的生活质量，在发展经济　的同时，更要看护好环境的美化与生态的和谐。就城市发展而　言建设环保低碳、经济适用、整洁美丽是我们必须努力的方向，　也是环境友好型、资源节约型社会发展的趋势。　城市园林绿化是一个弹性投资项目，其经济回报是多方面　的，但由于经济发展，水、土地、原材料、能源等极其短缺。　因此城市园林建设要依靠科技进步和创新构建低碳、节约型园　林支撑体系。除此之外，“循环再利用”是低碳型园林的另一　个增加碳汇的措施。主要包括废弃物再利用、水肥的循环利用、　土地资源的高效利用、绿化空间的拓展等多方面措施。　参考文献　［１】韩金焕．城市绿化植物的固碳释氧效应［Ｊ］．园林，　２０１　０　ｆ　１）．　（上接第１９６页）臀　（上接第１９８页）　３结论　ＤＮＳ的安全，对于整个网络的安全以及稳定运行有着毋庸　满足核心层大颗粒业务调度和承载需求。　汇聚层：合理对ＯＴＮ网络资源进行规划，实现对重要汇聚　置疑的积极价值，是关系到网络有效运行的重大问题，必须引　起足够的重视。相关工作人员必须紧跟技术步伐，积极学习研究，　切实以提升ＤＮＳ安全作为追求和己任，推动ＤＮＳ系统实现健康　发展。　节点的覆盖；其中要注重网络整体架构的科学构建，确保网络　的稳定性和可拓展性。　接入层：目前，接入层还未进行ＯＴＮ网络建设，相信随着　宽带接入技术及业务的发展，ＯＴＮ网络必将会向接入层延伸，　构建基于ＯＴＮ网络的接入层大颗粒业务的统一承载平台。　３结束语　油田通信传输网目前正处于关键的演进时期，随着通信网　络技术的发展，油田通信传输网在技术支持下必将会构建更加　稳定可靠的承载平台。目前，各业务网的需求还比较多样化，　参考文献　［１］方蕾，钱华林．ＤＮＳ安全漏洞以及防范策略研究【Ｊ］．微电子学　与计算机，２００３（１　０）：５　３—５７．　［３］闰伯儒，方滨兴，李斌，等．ＤＮＳ欺骗攻击的检测和防范［Ｊ】．　计算机工程，２００６（１１），（３２）２１：１３０—１　３５．　［３］任勉．ＤＮＳ安全与防护——ＤＮｓ安全系统设计与实施［Ｄ］．北　在未来很长一段时期内，传输网都将处在多种技术与网络并存　的阶段。　参考文献　［１］张跃东．石油企业通信可持续发展的研究与实践…．中国高　新技术企业，２Ｏ１】（１　５）．　［２】顾晓梅，，汪艳华，燕晓松．油田通信业发展重在提升竞争力　［Ｊ］．中国石化，２０Ｏ３（０９）．　京：北京邮电大学，２００７．　（上接第２０３页）０　网络安全的目标。这样才能把许多动态的安全分析过程和静态　的安全措施都能够发挥他们最大的作用，维护我们的网络安全。　总的说来，计算机网络安全是一个事关全局的，整体系　统的问题，只有一个没有做到的地方或者漏洞，就可以引起整　个网络的安全受到威胁。在当今社会网络安全已经不可能仅仅　依靠一些网络安全的基础设备来解决，我们应该把网络安全建　设尽快融入我们的基础网络平台的建设当中，不能仅仅单纯的　考虑计算机网络安全问题，而是应该从多个方面去考虑我们的　是网络安全的重要核心。我们的计算机网络安全应该遵循整体　安全有效的原则，然后再根据我们制定的原则建立合理的计算　机网络安全的结构体系，只有这样我们才能做到维护整个网络　系统的安全。要提高我们的计算机网络的安全，就必须实施最　严格的网络管理制定和法律，随着互联网世界的迅猛发展，安　全可靠的计算机网络才是我们的老百姓需要的。只有在保证安　全的情况之下，网络才会有利于经济社会的发展和稳定，否则　将会带来社会的混乱和经济的停滞，不利于我们的现代信息化　建设。　网络安全。一个完整的而且运作有效的网络安全管理策略，才