网络攻防学习笔记 Day29

DNS 则是 CDN 的基础，是 DNS 把用户的访问指向离用户最近的那个服务器节点，同时也为服务器提供了负载均衡的功能，相当于 DNS 实现了应用层路由。

设立根镜像服务器的主要目的包括：

一是完善国家域名服务体系布局，因为在设置根镜像时可同步布局.CN 的解析配置；

二是可以提高设置区域的网络效率，比如缩短解析响应时间；

三是提高互联网运行安全性，例如在遭受分布式拒绝服务攻击时可以分流攻击流量等。

DNS 查询有两种方式：递归和迭代。DNS 客户端设置使用的 DNS 服务器一般都是递归服务器，它负责全权处理客户端的 DNS 查询请求，直到返回最终结果。而 DNS 服务器之间一般采用迭代查询方式。

DNS 的绝大部分通信使用 UDP，数据报文容易丢失，也易于受到劫持和欺骗。DNS 协议脆弱性面临的威胁主要是域名欺骗和网络通信攻击。

域名欺骗是指域名系统（包括 DNS 服务器和解析器）接收或使用来自未授权主机的不正确信息。在此类威胁中，攻击者通常伪装成客户可信的 DNS 服务器，然后将伪造的恶意信息反馈给客户。域名欺骗主要是事务 ID 欺骗（transaction IDspoofing）和缓存投毒（cache poisoning）。

事务 ID 欺骗（transaction IDspoofing）对 ID 的获取主要采用网络监听和序列号猜测两种方法。

缓存投毒是指攻击者将“污染”的缓存记录插入到正常的 DNS 服务器的缓存记录中，所谓污染的缓存记录指 DNS 解析服务器中域名所对应的 IP 地址不是真实的地址，而是由攻击者篡改的地址，这些地址通常对应着由攻击者控制的服务器。

针对 DNS 的网络通信攻击主要是分布式拒绝服务（Distributed Denial ofService,DDoS）攻击、恶意网址重定向和中间人（Man-In-The-Middle，MITM）攻击。

针对 DNS 的拒绝服务攻击通常有两种方式：一种是攻击 DNS 系统本身，包括对名字服务器和客户端进行攻击，另一种是利用 DNS 系统作为反射点来攻击其他目标。