论文部分内容阅读
摘要:针对校园网出现的利用仿冒源地址对DNS进行攻击,从而影响DNS正常运行的情况,通过在网络设备和出口防火墙分别配置ACL和访问控制策略来阻断这种类型的攻击,来保证校园网正常运行。
关键词:域名解析系统;网络攻击;校园网;防火墙;访问控制列表
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2018)10-0063-02
Abstract: By using fake source address to attack DNS has affected the normal operation of the DNS on the campus network. Through to configure ACL and access control strategy in the network equipments and firewalls to block this type of attack, to ensure the normal operation of the campus network.
Key words:DNS; network attack; campus network; firewall; ACL
1 背景
计算机网络应用的过程中,DNS扮演了不可替代的作用。在此不去详细介绍DNS的运行机制,强调的一点就是,DNS的运行状况与计算机用户网络访问的正常与否密切相关。但是,在网络信息安全形势日益严峻的今天,针对DNS的攻击也是层出不穷。作为校园网,更要承受着来自局域网内和互联网外的各种攻击。这里,针对我校校园网出现的通过仿冒源IP地址对DNS进行攻击的情况,给出解决方法,以供参考。
2 DNS攻击的特征
由于同一VLAN(虚拟局域网)中计算机与计算机之间的通信是通过广播的形式来发现彼此,然后建立连接进行通信。正是利用这一特点,攻击方把自己的IP地址伪造成和被攻击DNS的IP地址同属一个VLAN,仿冒的这个地址可能是没有正在使用的地址,实际抓包显示,存在大量没有正在使用的跟DNS在同一个VLAN里面的IP地址请求DNS。当DNS收到请求数据包,在拆包的过程中发现请求方的源地址跟自己在同一个VLAN后,就会在VLAN里面进行广播,寻找这个IP地址对应的计算机,其结果就是广播发出后,往往无法收到这个IP地址对应计算机的回应。如果这种攻击数据包是大量和连续的,DNS的系统资源大量用在处理这种攻击数据包上,频繁的发送广播,势必会长时间大量占用网络带宽,无法很好的回应正常的DNS请求,那么用户的网络访问就会受到影响。攻击原理如图1所示。
从图1可以直观地看出攻击的过程,攻击者把源地址伪造成计算机终端C的地址,处于校园网外部的攻击者A的数据包经过校园网出口防火墙进入校园网内部发起攻击;而处于校园网内部的攻击者B的攻击数据包则经过校园网络交换机和路由器转发给DNS。根据攻击发生的流向和所经过的网络设备,我们加以分析得出相应的解决办法,即在校园网网络设备相应的端口启用ACL(访问控制列表),在出口防火墙上启用访问策略规则。
3 DNS攻击的解决办法
3.1 应对互联网上攻击
针对互联网上发起的攻击,实际表现为,从流控设备上发现大量与DNS建立的连接,源地址为DNS所處VLAN的IP地址,方向为从互联网到校园网方向。因此我们在校园网出口防火墙入校园网的方向上配置访问控制策略,制定这样一条访问控制规则,但凡源地址为DNS所处VLAN的IP地址的,目的访问地址为DNS的IP地址,发起的所有类型的访问一律禁止。示例如图2所示。
3.2 应对校园网内攻击
对于校园网内的攻击,由于攻击者所处校园网的网络位置可能无法确定,就不能确定攻击者的数据包从下层哪个交换机转发而来。对于这种情况,只要可以确定出所有校园网用户请求DNS的数据必须经过的网络设备,就可以在此设备上配置全局ACL,然后在相应的端口上开启ip access-group访问控制,把这种伪造源地址的DNS请求给过滤掉。ACL示例如图3所示。
4 结束语
随着互联网的日益融入人们的日常生活,对网络的依赖越发加强,但是随之而来的网络攻击态势日渐高涨,作为一名网络管理者,在这种情况下就需要我们不断学习新知识,提高业务技术水平,针对实际工作中出现的问题,做到具体问题具体分析,运用手中的各种工具设备来不断的加强网络安全的防御,为用户获取更好的上网体验而努力。
参考文献:
[1] 闫伯儒. DNS欺骗攻击的检测和防范[J]. 计算机工程, 2006, 32(21): 130-132, 135.
[2] 张小妹. 基于DNS 的拒绝服务攻击研究与防范[J]. 计算机工程与设计, 2008, 29(1): 21-24.
关键词:域名解析系统;网络攻击;校园网;防火墙;访问控制列表
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2018)10-0063-02
Abstract: By using fake source address to attack DNS has affected the normal operation of the DNS on the campus network. Through to configure ACL and access control strategy in the network equipments and firewalls to block this type of attack, to ensure the normal operation of the campus network.
Key words:DNS; network attack; campus network; firewall; ACL
1 背景
计算机网络应用的过程中,DNS扮演了不可替代的作用。在此不去详细介绍DNS的运行机制,强调的一点就是,DNS的运行状况与计算机用户网络访问的正常与否密切相关。但是,在网络信息安全形势日益严峻的今天,针对DNS的攻击也是层出不穷。作为校园网,更要承受着来自局域网内和互联网外的各种攻击。这里,针对我校校园网出现的通过仿冒源IP地址对DNS进行攻击的情况,给出解决方法,以供参考。
2 DNS攻击的特征
由于同一VLAN(虚拟局域网)中计算机与计算机之间的通信是通过广播的形式来发现彼此,然后建立连接进行通信。正是利用这一特点,攻击方把自己的IP地址伪造成和被攻击DNS的IP地址同属一个VLAN,仿冒的这个地址可能是没有正在使用的地址,实际抓包显示,存在大量没有正在使用的跟DNS在同一个VLAN里面的IP地址请求DNS。当DNS收到请求数据包,在拆包的过程中发现请求方的源地址跟自己在同一个VLAN后,就会在VLAN里面进行广播,寻找这个IP地址对应的计算机,其结果就是广播发出后,往往无法收到这个IP地址对应计算机的回应。如果这种攻击数据包是大量和连续的,DNS的系统资源大量用在处理这种攻击数据包上,频繁的发送广播,势必会长时间大量占用网络带宽,无法很好的回应正常的DNS请求,那么用户的网络访问就会受到影响。攻击原理如图1所示。
从图1可以直观地看出攻击的过程,攻击者把源地址伪造成计算机终端C的地址,处于校园网外部的攻击者A的数据包经过校园网出口防火墙进入校园网内部发起攻击;而处于校园网内部的攻击者B的攻击数据包则经过校园网络交换机和路由器转发给DNS。根据攻击发生的流向和所经过的网络设备,我们加以分析得出相应的解决办法,即在校园网网络设备相应的端口启用ACL(访问控制列表),在出口防火墙上启用访问策略规则。
3 DNS攻击的解决办法
3.1 应对互联网上攻击
针对互联网上发起的攻击,实际表现为,从流控设备上发现大量与DNS建立的连接,源地址为DNS所處VLAN的IP地址,方向为从互联网到校园网方向。因此我们在校园网出口防火墙入校园网的方向上配置访问控制策略,制定这样一条访问控制规则,但凡源地址为DNS所处VLAN的IP地址的,目的访问地址为DNS的IP地址,发起的所有类型的访问一律禁止。示例如图2所示。
3.2 应对校园网内攻击
对于校园网内的攻击,由于攻击者所处校园网的网络位置可能无法确定,就不能确定攻击者的数据包从下层哪个交换机转发而来。对于这种情况,只要可以确定出所有校园网用户请求DNS的数据必须经过的网络设备,就可以在此设备上配置全局ACL,然后在相应的端口上开启ip access-group访问控制,把这种伪造源地址的DNS请求给过滤掉。ACL示例如图3所示。
4 结束语
随着互联网的日益融入人们的日常生活,对网络的依赖越发加强,但是随之而来的网络攻击态势日渐高涨,作为一名网络管理者,在这种情况下就需要我们不断学习新知识,提高业务技术水平,针对实际工作中出现的问题,做到具体问题具体分析,运用手中的各种工具设备来不断的加强网络安全的防御,为用户获取更好的上网体验而努力。
参考文献:
[1] 闫伯儒. DNS欺骗攻击的检测和防范[J]. 计算机工程, 2006, 32(21): 130-132, 135.
[2] 张小妹. 基于DNS 的拒绝服务攻击研究与防范[J]. 计算机工程与设计, 2008, 29(1): 21-24.