三分钟了解DSP(网络篇)——DNS(中)

DSP 发布在 海盗号 38204

 

 

分布式网络下的安全问题

分布式网络中的灯塔

 

DNS作为一种地址映射服务,既然可以作为网络寻址的引路人,自然可以在分布式的应用架构中承担负载均衡和故障转移的作用。下面我们以DAPP访问区块链节点服务来做个简单的介绍。

1.      客户端向DNS服务器请求解析某特定节点地址

2.      DNS服务器通过与多个区块链节点的Probe过程,依照约定进行节点评价

3.      将选定的节点IP传递给客户端

4.      客户端访问特定的节点

要注意的是,这里的DNS服务器已经不是普通的DNS解析服务器,而是与普通DNS相结合的分布式应用DNS服务,其中包括对节点的评价,编辑节点选择逻辑以及传统DNS解析服务等。这里Probe是个广义的概念,主要指DNS服务对节点的评价过程,通常的策略有以下几种:

l 基于地理位置选择节点

l 基于节点的在网时间

l 节点块高

l 简单轮询

l 节点负载打分

l 节点类型

l 特殊服务响应时间等

 

DNS存在安全风险吗?

 

从上面例子我们可以看出,DNS在分布式网络环境中可以有效的引导访问流量,屏蔽底层网络复杂性和服务地址改变,但是作为一种和TCP/IP同时诞生的技术,DNS自身有会有当前IP网络普遍存在的安全问题,会受到几乎所有基于IP网络的安全攻击。总结下来主要有以下三种。

反射攻击

 

攻击者从他们能找到的所有打开的DNS解析程序中进行大量的DNS请求,并使用受害者的伪造IP地址执行此操作。当解析器响应时,受害者收到大量未请求的DNS数据,直接堵塞了受害者的网络端口。

缓存污染

 

攻击者设法将错误的地址记录插入到DNS中,因此当潜在的受害者请求对其中一个站点进行地址解析时,DNS将使用由攻击者控制的另一个站点的IP地址进行响应。一旦进入这些虚假网站,受害者可能会被诱骗放弃密码或下载恶意软件

资源耗尽攻击

 

这可以通过攻击者注册域名并使用受害者的名称服务器作权威服务器来实现。上面提到,如果DNS解析程序本地没有换成与站点名称相关联的IP地址时,它将询问受害者的名称服务器。攻击者在域内短时间内生成大量不存在的子域请求,这时大量的解析请求将发送至受害者的名称服务器,使服务器缓存充满了不存在的数据,大量正常的请求需要在外排队处理,如果攻击ISP的DNS名称服务器,则会造成ISP的用户无法进行网络地址解析,不能正常上网。

除了上面提到的攻击外,DNS还有不少类似的安全风险,加上DNS自身存在的缓存同步,中心化治理等等问题,可以说DNS系统是整个TCP/IP网络长期存在问题的一个缩影,如何解决这些问题呢?或者说如何在一个去信任的环境中发挥DNS的作用呢?区块链网络,特别是智能合约的出现,或许是解决问题的答案。

本文链接:https://www.8btc.com/media/621955
转载请注明文章出处

文章标签: dns
评论
登录 账号发表你的看法,还没有账号?立即免费 注册