《第5章 TCP∕IP体系的协议安全》

第5章TCP/IP体系的协议安全5.1TCP/IP体系5.1.1TCP/IP体系的分层特点TCP/IP开始仅仅是两个协议：TCP（TransferControlProtocol，传输控制协议）和IP（InternetProtocol，网际协议）。后来，TCP/IP演变为一种体系结构，即TCP/IP参考模型。现在的TCP/IP已成为一个工业 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 的协议集，它最早应用于ARPAnet。与OSI参考模型不同，TCP/IP模型由应用层（ApplicationLayer）、传输层（TransportLayer）、网际层（InternetLayer，也称为Internet层）和网络接口层（NetworkInterfaceLayer）四部分组成，如图5-1所示。图5-1TCP/IP体系为了便于对TCP/IP体系的理解，可以将TCP/IP体系分为协议层和网络层两层，如图5-2所示。图5-2将TCP/IP体系划分为协议层和网络层TCP/IP是一个协议簇或协议栈，它是由多个子协议组成的集合。图5-3列出了TCP/IP体系中包括的一些主要协议以及与TCP/IP体系的对应关系。图5-3TCP/IP体系中的主要协议及与各层的对应关系5.1.2TCP/IP各层的主要功能TCP/IP体系也称为TCP/IP参考模型，该模型从下到上共分为网络接口层、网际层、传输层和应用层，共4个子层。各层的主要功能如下。1．网络接口层在TCP/IP参考模型中，网络接口层属于最低的一层，它负责通过网络发送和接收分组。2．网际层网际层也称为“互联网络层”，它相当于OSI参考模型网络层的无连接网络服务。网际层的任务是：允许位于同一网络或不同网络中的两台主机之间以分组的形式进行通信。3．传输层在TCP/IP参考模型中，传输层位于网际层与应用层之间，其设计目标是：允许在源和目的主机的对等体之间进行会话，负责会话对等体的应用进程之间的通信。TCP/IP参考模型的传输层功能类似于OSI参考模型传输层的功能。4．应用层应用层属于TCP/IP参考模型的最高层。应用层主要包括根据应用需要开发的一些高层协议，如telnet、FTP、SMTP、DNS、SNMP、HTTP等。而且，随着网络应用的不断发展，新的应用层协议还会不断出现。5.1.3TCP/IP网络中分组的传输示例在掌握了TCP/IP参考模型的分层特点及各层的功能后，下面通过一个具体的实例向读者介绍TCP/IP网络中分组的传输过程，网络拓扑如图5-4所示。图5-4TCP/IP网络中数据的传输过程1．重要概念在如图5-4所示的通信过程中，涉及到一些关键技术和概念。为便于对操作过程的描述，下面对一些重要概念进行简要介绍。（1）子网。一个大型的通信网络由多个子网（Subnetwork）组成，每一个子网属于某一种特定类型的网络，如局域网中的以太网、令牌环网、FDDI，广域网中的x.25、帧中继等。（2）网络接入协议。当计算机接入网络中时，必须使用这一子网中规定的接入协议。通过网络接入协议，可以让一台主机将数据通过子网发送到其他的主机。（3）路由器。它是连接不同子网的设备，一台路由器相当于一个中继站，将一个IP分组从某一子网中的一台主机通过一个或多个子网发送到目的主机。（4）全局地址。对于Internet等互联网络来说，每一台主机必须拥有一个全网唯一的IP地址作为其身份的唯一标识，这个IP地址称为全局地址。当源主机发送数据到目的主机时，源主机首先要知道目的主机的IP地址。（5）端口。主机中的每一个进程必须具有一个在本主机中唯一的地址，这个地址称为端口（port）。通过端口，端到端的协议（如TCP）才能够将数据正确地交付给相应的进程。在TCP/IP参考模型中，每一层的数据称为协议数据单元（PDU），例如TCP报文段也称为TCPPDU。在数据发送端，在每一层添加首部信息的过程称为数据封装，如图5-5所示。在数据接收端，每一层去掉首部信息的过程称为数据解封。图5-5TCP/IP网络中数据的封装过程5.2ARP安全ARP（AddressResolutionProtocol，地址解析协议）用来将IP地址映射到MAC地址，以便设备能够在共享介质的网络（如以太网）中通信。5.2.1ARP概述在ARP协议的实现中还有一些应该注意的事项：（1）每台计算机上都有一个ARP缓冲，它保存了一定数量的从IP地址到MAC地址的映射，同时当一个ARP广播到来时，虽然这个ARP广播可能与它无关，但ARP协议软件也会把其中的物理地址与IP地址的映射记录下来，这样做的好处是能够减少ARP报文在局域网上发送的次数。（2）按照缺省设置，ARP高速缓存中的项目是动态的，ARP缓冲中IP地址与物理地址之间的映射并不是一旦生成就永久有效的，每一个ARP映射 表 关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf 项都有自己的寿命，如果在一段时间内没有使用，那么这个ARP映射就会从缓冲中被删除，这一点和交换机MAC地址表的原理一样。这种老化机制，大大减少了ARP缓存表的长度，加快了查询速度。在以太网中，当主机要确定某个IP地址的MAC地址时，它会先检查自己的ARP缓冲表，如果目标地址不包含在该缓冲表中，主机就会发送一个ARP请求（广播形式），网段上的任何主机都可以接收到该广播，但是只有目标主机才会响应此ARP请求。由于目标主机在收到ARP请求时可以学习到发送方的IP地址到MAC地址的映射，因此它采用一个单播消息来回应请求。这个过程如图5-6所示。图5-6ARP请求的过程如图5-7所示，主机B、主机D收到主机A发来的ARP请求时，它们发现这个请求不是发给自己的，因此它们忽略这个请求，但是它们还是将主机A的IP地址到MAC地址的映射记录到自己的ARP表中。当主机C收到主机A发来的ARP请求时，它发现这个ARP请求是发给自己的，于是它用单播消息回应ARP请求，同时记录下其IP地址到MAC地址的映射。图5-7ARP回应的过程5.2.2ARP欺骗1．ARP欺骗的概念和现状由于ARP协议在设计中存在的主动发送ARP报文的漏洞，使得主机可以发送虚假的ARP请求报文或响应报文，报文中的源IP地址和源MAC地址均可以进行伪造。在局域网中，即可以伪造成某一台主机（如服务器）的IP地址和MAC地址的组合，也可以伪造成网关的IP地址和MAC地址的组合，等等。2．针对计算机的ARP欺骗如图5-8所示，假设主机A向主机B发送数据。在主机A中，当应用程序要发送的数据到了TCP/IP参考模型的网际层与网络接口层之间时，主机A在ARP缓存表中查找是否有主机B的MAC地址（其实是主机B的IP地址与MAC地址的对应关系），如果有，则直接将该MAC地址（22-22-22-22-22-22）作为目的MAC地址添加到数据单元的网络首部（位于网络接口层），成为数据帧。在局域网（同一IP网段，如本例的192.168.1.x）中，主机利用MAC地址作为寻址的依据，所以主机A根据主机B的MAC地址，将数据帧发送给主机B。图5-8主机中IP地址与MAC地址的对应关系示意图如果主机A在ARP缓存表中没有找到目标主机B的IP地址对应的MAC地址，主机A就会在网络上发送一个广播帧，该广播帧的目的MAC地址是“FF.FF.FF.FF.FF.FF”，表示向局域网内的所有主机发出这样的询问：IP地址为192.168.1.2的MAC地址是什么？在局域网中所有的主机都会接收到该广播帧，但在正常情况下因为只有主机B的IP地址是192.168.1.2，所以主机B会对该广播帧进行ARP响应，即向主机A发送一个ARP响应帧：我（IP地址是192.168.1.2）的MAC地址是22-22-22-22-22-22。如果现在主机D要对主机A进行ARP欺骗，冒充自己是主机C。具体实施中，当主机A要与主机C进行通信时，主机D主动告诉主机A自己的IP地址和MAC地址的组合是“192.168.1.3+44-44-44-44-44-44”，这样当主机A要发送给主机C数据时，会将主机D的MAC地址44-44-44-44-44-44添加到数据帧的目的MAC地址中，从而将本来要发给主机C的数据发给了主机D，实现了ARP欺骗。在整个ARP欺骗过程中，主机D称为“中间人”（maninthemiddle），对这一中间人的存在主机A根本没有意识到。通过以上的ARP欺骗，使主机A与主机C之间断开了联系。如图5-9所示，现在假设主机C是局域网中的网关，而主机D为ARP欺骗者。这样，当局域网中的计算机要与其他网络进行通信（如访问Internet）时，所有发往其他网络的数据全部发给了主机D，而主机D并非真正的网关，这样整个网络将无法与其他网络进行通信。这种现象在ARP欺骗中非常普遍。图5-9ARP欺骗的实现过程3．针对交换机的ARP欺骗交换机的工作原理是通过主动学习下连设备的MAC地址，并建立和维护端口和MAC地址的对应表，即交换机中的MAC地址表。通过MAC地址表，实现下连设备之间的通信。交换机中的MAC地址表也称为CAM（ContentAddressableMemory， 内容 财务内部控制制度的内容财务内部控制制度的内容人员招聘与配置的内容项目成本控制的内容消防安全演练内容 可寻址存储器），如图5-10所示。图5-10交换机中的MAC地址表在进行ARP欺骗时，ARP欺骗者利用工具产生欺骗MAC，并快速填满CAM表。交换机的CAM表被填满后，交换机便以广播方式处理通过交换机的数据帧，这时ARP欺骗者可以利用各种嗅探攻击获取网络信息。CAM表被填满后，流量便以洪泛（Flood）方式发送到所端口，其中交换机上连端口（Trunk端口）上的流量也会发送给所有端口和邻接交换机。这时的交换机其实已成为一台集线器。与集线器不同，由于交换机上有CPU和内存，大量的ARP欺骗流量会给交换机产生流量过载，其结果是下连主机的网络速度变慢，并造成数据包丢失，甚至产生网络瘫痪。5.2.3实验操作--ARP欺骗的防范1．针对计算机ARP欺骗的防范具体操作如下：（1）进入“命令提示符”窗口，在确保网络连接正常的情况下，使用Ping命令Ping网关的IP地址，如“Ping172.16.2.1”。（2）在保证Ping网关IP地址正常的情况下，输入“arp–a”命令，可以获得网关IP地址对应的MAC地址，如图5-11所示。图5-11使用“arp-a”命令显示网关IP地址对应的MAC地址读者会发现，这时该计算机上网关对应的ARP记录类型（Type）是动态（dynamic）的。（3）利用“arp-s网关IP地址网关MAC地址”将本机中ARP缓存表中网关的记录类型设置为静态（static），如图5-12所示。图5-12将ARP缓存中的网关记录设置为静态类型（4）如果再次输入“arp-a”命令，就会发现ARP缓存表中网关的记录已被设置为静态类型。可以编写一个批处理文件（如arp.bat），然后将该批处理文件添加到Windows操作系统的“启动”栏中，这样每次开机后系统便会进行自动绑定。批处理文件的内容如下：@echooffarp-darp-s172.16.2.100-0a-8a-2d-a5-ff2．针对交换机ARP欺骗的防范目前，主流的交换机（如Cisco、H3C、3COM等）都提供了端口安全功能（PortSecurityfeature）。通过使用端口安全功能，可以进行如下的控制：·端口上最大可以通过的MAC地址数量·端口上只能使用指定的MAC地址对于不符合以上规定的MAC地址，进行相应的违背规则的处理。一般有三种方式（针对交换机类型和型号的不同，具体方式可能会有所不同）：·Shutdown。即关闭端口。虽然这种方式是最有效的一种保护方式，但会给管理员带来许多不便，因为被关闭的端口一般需要通过手工方式进行重启。•Protect。直接丢弃非法流量，但不报警。•Restrict。丢弃非法流量，但产生报警。5.3DHCP安全DHCP（DynamicHostConfigurationProtocol，动态主机配置协议）是一个客户机/服务器协议，在TCP/IP网络中对客户机动态分配和管理IP地址等配置信息，以简化网络配置，方便用户使用及管理员的管理。5.3.1DHCP概述一台DHCP服务器可以是一台运行Windows2000Server、UNIX或Linux的计算机，也可以是一台路由器或交换机。DHCP的工作过程如图5-13所示。图5-13DHCP的工作过程5.3.2DHCP的安全问题在通过DHCP提供客户端IP地址等信息分配的网络中存在着一个非常大的安全隐患：当一台运行有DHCP客户端程序的计算机连接到网络中时，即使是一个没有权限使用网络的非法用户也能很容易地从DHCP服务器获得一个IP地址及网关、DNS等信息，成为网络的合法使用者。由于DHCP客户端在获得DHCP服务器的IP地址等信息时，系统没有提供对合法DHCP服务器的认证，所以DHCP客户端从首先得到DHCP响应（DHCPOFFER）的DHCP服务器处获得IP地址等信息。如图5-14所示，一台非法DHCP服务器接入到了网络中，并“冒充”为一这个网段中的合法DHCP服务器。图5-14非法DHCP服务器的工作原理5.3.3实验操作—非法DHCP服务的防范1．使用DHCPSnooping信任端口DHCPSnooping能够过滤来自网络中非法DHCP服务器或其他设备的非信任DHCP响应报文。在交换机上，当某一端口设置为非信任端口时，可以限制客户端特定的IP地址、MAC地址或VLANID等报文通过。一旦将交换机的某一端口设置为指向正确DHCP服务器的接入端口，则交换机会自动丢失从其他端口上接收到的DHCP响应报文，如图5-15所示。图5-15DHCPSnooping的工作原理2．在DHCP服务器上进行IP与MAC地址的绑定在通过DHCP服务器进行客户端IP地址等参数分配的网络中，对于一些重要部门的用户，可以通过在DHCP服务器上绑定IP与MAC地址，实现对指定计算机IP地址的安全分配。具体操作方法见 教材 民兵爆破地雷教材pdf初中剪纸校本课程教材衍纸校本课程教材排球校本教材中国舞蹈家协会第四版四级教材 。5.4TCP安全5.4.1TCP概述TCP协议涉及到TCP报文段的结构、TCP连接的建立与终止、TCP数据的传输、流量控制、差错控制、数据重传等内容。1．连接建立TCP是面向连接的。在面向连接的环境中，开始传输数据之前，在两个终端之间必须先建立一个连接。建立连接的过程可以确保通信双方在发送用户数据之前已经准备好了传送和接收数据。对于一个要建立的连接，通信双方必须用彼此的初始化序列号SEQ和来自对方成功传输确认的确认序号ACK来同步。（ACK号指明希望收到的下一个字节的编号）习惯上将同步信号写为SYN，应答信号写为ACK。图5-18所示。图5-18TCP连接建立时的三次握手2．数据传输在连接建立后，TCP将以全双工方式传送数据，在同一时间主机A与主机B之间可以同时进行TCP报文段的传输，并对接收到的TCP报文段进行确认。如图5-19所示，当通过三次握手建立了主机A与主机B之间的TCP连接后，现在假设主机A要向主机B发送1800字节的数据，主机B要向主机A发送1500字节的数据。图5-19TCP报文段的传输过程3．连接终止对于一个已经建立的连接，TCP使用改进的三次握手来释放连接（使用一个带有FIN附加标记的报文段，即在TCP报文段首部中将FIN字段的值置为1）。TCP关闭连接的步骤如图5-20所示。图5-20TCP使用改进的三次握手来释放连接5.4.2TCP的安全问题在TCP/IP网络中，如果两台主机之间要实现可靠的数据传输，首先要通过三次握手方式建立主机之间的TCP连接，但在TCP连接过程中很容易出现一个严重的安全问题：TCPSYN泛洪攻击。按照TCP连接建立时三次握手的协议约定，当源主机A要建立与目的主机B之间的TCP连接时，源主机A首先发送一个用于同步的SYN报文段（第一次握手）。当目的主机B接收到这个报文段时，在正常情况下目的主机会打开连接端口，并给源主机A返回一个SYN+ACK的报文段（第二次握手）。TCPSYN泛洪攻击的工作过程如图5-21所示。如果在第一次握手过程中，源主机A发送给目的主机B的SYN报文段中的IP地址是伪造的，同时源主机A同时向目的主机B发送大量的SYN报文段。这时，对于目的主机B来说会正常接收这些SYN报文段，并发送SYN+ACK确认报文段。由于目的主机B接收到的SYN报文段中的IP地址都是伪造的，所以发送出去的SYN+ACK确认报文段全部得不到回复。在目的主机B的队列中存在大量的“半开放状态”的连接，最终将队列的存储空间填满，并因资源耗尽而瘫痪。图5-21TCPSYN泛洪攻击的工作过程5.4.3实验操作—操作系统中TCPSYN泛洪的防范可以在Windows注册表内配置TCP/IP参数，以便保护服务器免遭网络级别的TCPSYN泛洪攻击。下面以Windows2000/2003为例进行介绍。1．启用TCPSYN攻击保护启用TCPSYN泛洪攻击保护的命名值，位于注册表项的下面：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services。值名称：SynAttackProtect建议值：2有效值：0~2说明：使TCP调整SYN+ACK的重传。配置此值后，在遇到TCPSYN攻击时，对连接超时的响应将更快速。在超过TcpMaxHalfOpen或TcpMaxHalfOpenRetried的值后，将触发SYN攻击保护。2．设置TCPSYN保护阈值下列值确定触发SYN保护的阈值。这一部分中的所有注册表项和值都位于注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下。这些注册表项和值是：值名称：TcpMaxPortsExhausted建议值：5有效值：0~65535说明：指定触发TCPSYN泛洪攻击保护所必须超过的TCP连接请求数的阈值。值名称：TcpMaxHalfOpen建议的数值数据：500有效值：100~65535说明：在启用SynAttackProtect后，该值指定处于SYN_RCVD状态的TCP连接数的阈值。在超过SynAttackProtect后，将触发TCPSYN泛洪攻击保护。值名称：TcpMaxHalfOpenRetried建议的数值数据：400有效值：80~65535说明：在启用SynAttackProtect后，该值指定处于至少已发送一次重传的SYN_RCVD状态中的TCP连接数的阈值。在超过SynAttackProtect后，将触发TCPSYN泛洪攻击保护。3．设置其他保护这一部分中的所有注册表项和值都位于注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下。这些注册表项和值是：值名称：TcpMaxConnectResponseRetransmissions建议的数值数据：2有效值：0~255说明：控制在响应一次SYN请求之后、在取消重传尝试之前SYN+ACK的重传次数。值名称：TcpMaxDataRetransmissions建议的数值数据：2有效值：0~65535说明：指定在终止连接之前TCP重传一个数据段（不是连接请求段）的次数。值名称：EnablePMTUDiscovery建议的数值数据：0有效值：0，1说明：将该值设置为1（默认值）可强制TCP查找在通向远程主机的路径上的最大传输单元或最大数据包大小。攻击者可能将数据包强制分段，这会使堆栈不堪重负。对于不是来自本地子网的主机的连接，将该值指定为0可将最大传输单元强制设为576字节。值名称：KeepAliveTime建议的数值数据：300000有效值：80~4294967295说明：指定TCP尝试通过发送持续存活的数据包来验证空闲连接是否仍然未被触动的频率。值名称：NoNameReleaseOnDemand建议的数值数据：1有效值：0，1说明：指定计算机在收到名称发布请求时是否发布其NetBIOS名称。使用表5-1中汇总的值可获得最大程度的保护。表5-1建议值值名称值（REG_DWORD）SynAttackProtect2TcpMaxPortsExhausted1TcpMaxHalfOpen500TcpMaxHalfOpenRetried400TcpMaxConnectResponseRetransmissions2TcpMaxDataRetransmissions2EnablePMTUDiscovery0KeepAliveTime300000（5分钟）NoNameReleaseOnDemand15.4.4实验操作—TCP端口的查看与限制1．Windows操作系统已开放端口的查看方法Windows操作系统提供了netstat命令来显示当前TCP/IP网络的连接情况。具体方法如下所示（以WindowsServer2003为例）：选择“开始→程序→附件→命令提示符”，进入“命令提示符”窗口。输入命令netstat–na，回车后将显示如图5-22所示的信息。图5-22利用netstat–na命令显示当前打开的端口如果在DOS窗口中输入了netstat-nab命令，还将显示每个连接都是由哪些程序创建的，如图5-23所示。图5-23利用netstat–nab命令显示哪些应用程序在使用当前打开的端口另外，也可以使用一些专门的端口监视软件来查看本机打开了哪些端口。这类软件非常多，如Tcpview、PortReporter、绿鹰PC万能精灵、网络端口查看器等。如图5-24所示的是Tcpview的操作界面，该软件会密切监视本机端口连接情况，这样就能严防非法连接，确保网络安全。图5-24Tcpview软件的操作界面2．限制TCP端口端口是应用层程序（进程）与传输层协议（TCP或UDP）之间的连接通道。通过端口限制功能，可以只允许计算机通过指定的TCP或UDP端口来通信，其他端口的通信功能将被全部关闭。下面，假设在一台Web服务器上只开放TCP80端口，只允许用户使用系统默认的TCP80端口访问服务器上的HTTP页面，而无法从事其他的网络访问，以加强对专用Web服务器的安全保护。图5-25TCP/IP“选项”对话框图5-26设置TCP或UDP端口3．限制IP地址的访问通过限制主机的TCP或UDP的端口，可以对一些专业服务器进行安全保护。如果一台服务器上提供了Web、FTP、Mail等多项服务，同一项服务（如Web）还可能同时存在多个站点，且不同站点采取不同的安全保护策略。具体操作过程见教材。5.5DNS安全为了解决主机IP地址与主机名之间的对应关系，InterNIC（InternetNetworkInformationCenter，Internet网络信息中心）制定了一套称为域名系统（DomainNameSystem，DNS）的分层名字解析 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 ，当DNS用户提出IP地址查询请求时，就可以由DNS服务器中的数据库提供所需的数据。DNS技术目前已广泛地应用于Internet和Intranet中。5.5.1DNS概述1．DNS的功能及组成简单地讲，DNS协议的最基本的功能是对主机名与对应的IP地址之间建立映射关系。例如，新浪网站的一个IP地址是202.106.184.200，几乎所有浏览该网站的用户都是使用www.sina.com.cn，而并非使用IP地址来访问。使用主机名（域名）比直接使用IP地址具有以下两点好处：·主机名便于记忆，如sina.com.cn。·数字形式的IP地址可能会由于各种原因而改变，而主机名可以保持不变。图5-32显示了顶级域的名字空间及下一级子域之间的树型结构关系，图中的每一个节点以及其下的所有节点叫做一个域。域可以有主机（计算机）和其他域（子域）。例如，在图5-32中，pc1.sd.cninfo.net就是一个主机，而sd.cninfo.net则是一个子域。一般在子域中含有多个主机，例如，ah.cninfo.net子域下就含有pc1.ah.cninfo.net和pc30.ah.cninfo.net两台主机。图5-32Internet的域名结构2．DNS的解析过程现在假设客户端Web浏览器要访问网站www.sina.com，整个访问过程如图5-33所示。图5-33Internet上对www.sina.com的访问过程5.5.2DNS的安全问题1．缓存中毒DNS缓存中毒利用了DNS缓存机制，在DNS服务器的缓存中存入大量错误的数据记录主动供用户查询。由于缓存中大量错误的记录是攻击者伪造的，而伪造者可能会根据不同的意图伪造不同的记录，例如将查询指向某一个特定的服务器，使所有通过该DNS查询的用户都访问某一个网站的主页；或将所有的邮件指向某一台邮件服务器，拦截利用该DNS进行解析的邮件，等等。由于DNS服务器之间会进行记录的同步复制，所以在TTL内，缓存中毒的DNS服务器有可能将错误的记录发送给其他的DNS服务器，导致更多的DNS服务器中毒。正如DNS的发明者PaulMockapetris所说：中毒的缓存就像是“使人们走错方向的假冒路牌”。2．拒绝服务攻击DNS服务器在互联网中的关键作用使它很容易成为攻击者进行攻击的目标，加上DNS服务器对大量的攻击没有相应的防御能力，所以攻击过程很容易实现，且造成的后果非常严重。现在使用的DNS采用了树型结构，一旦DNS服务器不能提供服务，其所辖的子域都将无法解析客户端的域名查询请求。3．域名劫持域名劫持通常是指通过采用非法手段获得某一个域名管理员的账户和密码，或者域名管理邮箱，然后将该域名的IP地址指向其他的主机（该主机的IP地址有可能不存在）。域名被劫持后，不仅有关该域名的记录会被改变，甚至该域名的所有权可能会落到其他人的手里。5.5.3DNS安全扩展（DNSSEC）1．DNSSEC的基本原理域名系统安全扩展（DNSSEC）是在原有的域名系统（DNS）上通过公钥技术，对DNS中的信息进行数字签名，从而提供DNS的安全认证和信息完整性检验。具体原理为：发送方：首先使用Hash函数对要发送的DNS信息进行计算，得到固定长度的“信息摘要”；然后对“信息摘要”用私钥进行加密，此过程实现了对“信息摘要”的数字签名；最后将要发送的DNS信息、该DNS信息的“信息摘要”以及该“信息摘要”的数字签名，一起发送出来。接收方：首先采用公钥系统中的对应公钥对接收到的“信息摘要”的数字签名进行解密，得到解密后的“信息摘要”；接着用与发送方相同的Hash函数对接收到的DNS信息进行运算，得到运算后的“信息摘要”；最后，对解密后的“信息摘要”和运算后的“信息摘要”进行比较，如果两者的值相同，就可以确认接收到的DNS信息是完整的，即是由正确的DNS服务器得到的响应。2．DNSSEC的工作机制如图5-34所示的是一个DNSSEC系统的查询和应答过程。其中，系统中的所有客户端和服务器都支持DNSSEC，区域abc.cn的权威名字服务器为auth.abc.cn，区域xyz.net的权威名字服务器为auth.xyz.net。图5-34DNSSEC系统的查询和应答过程3．DNSSEC的应用现状DNSSEC作为对目前DNS的安全扩展，可有效地防范DNS存在的各种攻击，保证客户端收到的DNS记录的真实性和完整性。此外，DNSSEC与原有的DNS具有向下的兼容性，在实现上具有可行性。但是，由于Internet的特殊性，就像从IPv4到IPv6的迁移一样，从DNS到DNSSEC的转换不可能在短期内完成，需要一个渐进的过程。可以先有针对性地建立一些安全区域，如.cn、.net等，然后再向其他区域扩展。当整个Internet部署了DNSSEC后，所有的信任将集中到根域下。目前在推广DNSSEC上存在许多问题或困难：一是由于整个Internet上的DNS记录非常庞大，如果要部署适用于整个Internet的DNSSEC，需要投入大量时间和设备投入，同时还要得到所有区域服务器提供商的支持；二是DNSSEC只是提供了对DNS记录真实性的验证，只是有限的程度上为用户通信的安全提供了保证；三是DNSSEC在DNS请求和应答中添加了数字签名，一方面增加了通信的流量和复杂性，另一方面安全性主要依赖于公钥技术的安全性，所以对于DNSSEC系统来说是否会存在新的安全问题也是一个未知数。5.5.4实验操作—DNS系统的安全设置1．选择安全性较高的DNS服务器软件Internet上大量的DNS服务器软件使用的是基于UNIX/Linux的BIND软件，目前最新版本为BIND9.x。最新版本的BIND软件支持许多安全特性，如支持DNSSEC，解决了早期版本中存在的一些安全漏洞等。对于在Internet上的DNS服务器建议采用BIND软件，并将其升级为最新版本。对于WindowsNT服务器来说，建议使用高版本的系统。2．限制端口DNS在工作时使用UDP53和TCP53端口进行通信。其中，DNS服务器会同时监听这两个端口，DNS客户端通过UDP53端口与DNS服务器之间进行域名解析的请求和应答，而TCP53端口用于DNS区域之间的数据复制。