OSI堆栈安全:第7层——应用

日期: 2008-12-11 作者:Michael Gregg翻译:曾少宁 来源:TechTarget中国 英文

OSI模式的第7层是应用层。这是OSI模式的最高层。应用层直接与应用和应用进程相关。在网络安全中,应用扮演着至关重要的角色。

它们的设计可能是完全不安全的、相对安全的或者非常安全的。 很多应用程序已经存在相当长的时间了,如文件传输协议(FTP)、Telnet、简单文件传输协议(SMTP)和域名解析系统(DNS),因此它们目前所面对的威胁在它们的原先设计中是可能完全没有预想到的。2007年2月6日发生了13个核心DNS服务器中的2个受到攻击的事件,因此本章将集中探讨DNS。 DNS是如何工作的? 让我们先回顾一下DNS的一些基本概念。

Internet中没有任何一个地方能够保存DNS数据库的所有信息……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

OSI模式的第7层是应用层。这是OSI模式的最高层。应用层直接与应用和应用进程相关。在网络安全中,应用扮演着至关重要的角色。它们的设计可能是完全不安全的、相对安全的或者非常安全的。

很多应用程序已经存在相当长的时间了,如文件传输协议(FTP)、Telnet、简单文件传输协议(SMTP)和域名解析系统(DNS),因此它们目前所面对的威胁在它们的原先设计中是可能完全没有预想到的。2007年2月6日发生了13个核心DNS服务器中的2个受到攻击的事件,因此本章将集中探讨DNS。

DNS是如何工作的?

让我们先回顾一下DNS的一些基本概念。Internet中没有任何一个地方能够保存DNS数据库的所有信息。在最顶层,有13个DNS服务器保存这些信息;它们大多数都是在美国的物理安全设备。DNS是一个分布式数据库,它保存了主机名与IP地址的映射信息。DNS也提供了该数据库的信息查询方法。DNS可以依据特定的操作使用UDP或TCP。在查找或响应小于521字节的情况,UDP是典型的查询方式。TCP则可以用于更大的查找和zone转换。

当你检查邮件或浏览网络时,你往往需要依靠DNS来将主机名转化成IP地址。因此,当你打开你的浏览器浏览SearchNetworking.com时,DNS会将完整的网络名称(FQDN)转化成正确的IP地址。

DNS过程是从向本地主机的解析器发送服务请求开始的。解析器一般都会先检查保存最近请求的响应的本地缓存。另外,它也会检查主机的文件,该文件包含了主机名与IP地址的映射。如果请求信息在这些位置上都没有找到,那么解析器就会向主机TCP/IP网络接口所配置的DNS服务器发送一个请求。为了提高DNS性能和降低DNS所带来的网络流量,域名服务器将缓存一段时间的请求回复。至于响应信息被缓存多久是由响应中所指定的存活时间(TTL)所决定。

DNS暴露

当DNS服务器响应一个请求时,应答消息包含了一个事务ID和用户查询结果。如果DNS记录没有找到或已经损坏,你可能就无法到达你想访问的网站,或者你可能被连接到一个攻击者的Web服务器上。这是很有可能发生的,因为有几种方式可以攻击协议,包括:

  • 区域转换漏洞
  • DNS缓存污染
  • DNS缓存窥探
  • 中间人攻击

Zone转换是用于将主服务器的域数据库复制到次服务器。如果黑客可以在域中执行主服务器或次服务器的转换,那么他就可以查看域中的所有DNS记录。这样就暴露了敏感的信息,如内部寻址方案。此外,黑客还可能可以决定Web服务器、邮件或文件传输等使用哪个IP地址。

DNS 缓存污染是我们讨论的第二个技术。DNS客户端和服务器都会将响应缓存一段时间,以提高性能和减少网络流量。如果黑客能够对DNS请求发送欺骗响应,那么他们也就可以用一个不正确的记录来污染DNS。通过污染DNS客户端和服务器的缓存,黑客就可以将流量重定向到一个恶意主机,从而导致更大的危害。先前在根DNS服务器上的攻击就采用了这种技术,以及拒绝服务攻击。

DNS缓存窥探是一个确定特定资源记录是否在缓存中的过程。DNS缓存窥探可以帮助黑客确定攻击目标访问了哪些站点、他们的客户和用户是谁,以及其它可能有用的信息。它甚至还可能通过查询软件升级地址的资源记录来发现攻击目标正使用什么软件。

最后,中间人(MITM)攻击是发生在攻击者截断和修改DNS信息的时候。在这种情况下,攻击者可以从截获的流量中获得源端口和事务ID。MITM攻击可以将一个受害的合法地址重定向为一个恶意的网站。如果DNS请求是发向银行、财政和电子商务网站的,这对于试图窃取个人信息的黑客而言是非常有用的。不需要使用欺骗邮件,如常见的网站钓鱼邮件,黑客可以直接攻击指向合法站点的DNS记录。

保护DNS

这些攻击都是真实的威胁,但是也是可以防范的。通过强制使用随机事务ID和源端口,就可以增加DNS缓存污染的难度。在不知道这些域的正确值时,黑客将无法用欺骗答复来达到污染服务器缓存的目的。在几年前,Zone转移区域转换的确是一个棘手的问题,因为Windows2000服务器在默认的情况下允许任何人获得这个信息。这个默认设置在Windows Server 2003上已经不复存在。如果ISP的出口过滤足够好,那么即使最近出现的针对根DNS服务器的攻击也是可以防范的。关于这个问题的解决方案已经记录在RFC 3704中。

虽然上面探讨的安全对策在实现更安全的DNS上开了好头,但是我们仍不能仅满足于此。在DNS相关问题的处理失败仍然让我们置于易受攻击的境地,它将影响着我们的所有需要穿越Internet的应用,包括业务敏感应用、Web流量、电子邮件和VoIP通信等。

关于作者:

Michael Gregg 在IT方面有15年左右的工作经验。Michael是Houston-based 培训和咨询公司Superior Solutions Inc.的总裁。他是一位网络、安全和因特网技术专家。他有两个辅修学位,一个学士学位和硕士学位。目前他拥有下列证书:MCSE、MCT、CTT、A+、 N+、CAN、CCNA、CIW Security Analyst 和 TICSA。

作者

Michael Gregg
Michael Gregg

暂无

翻译

曾少宁
曾少宁

TechTarget中国特约技术编辑,某高校计算机科学专业教师和网络实验室负责人,曾任职某网络国际厂商,关注数据中心、开发运维、数据库及软件开发技术。有多本关于思科数据中心和虚拟化技术的译著,如《思科绿色数据中心建设与管理》和《基于IP的能源管理》等。

相关推荐