DNS安全威胁与防护
来源:微智科技网
D N S安全威胁与防护 李海明,苏开宇 (中国计量学院现代教育技术中心,浙江杭州3lOOl8) 摘要DNS服务是]nternet的基本支撑,其安全问题具有举足轻重的地位。在分析DNS的工作机理及其面临的安全威胁的基础上 提出了相应的DNS安全防护体系和安全防护策略,并以某高校的域名服务系统为例,深入讨论了DNS安全防护的实施方案。 关键词:DNS;安全威胁;防护体系;防护策略 DNS Safe Threat and Protection Ll Hai—ming,SU Kai—yu (Modern Educat/on Tec ̄nology Ce#ter,Ch/ba J///###UniVersity,t/angzfTo ̄,Zhey)a/7#"JlO0/8. 汀强 Abstract:The DNS service is the]nternet basic support.Its security problem has the critical influence on A large number of lnternet Applications. On the foundation of AnAlyzing the DNS work mechanism And its safe threats,A DNS safe protection system is proposed and the safe protection strategy is presented Finally taking example for one university’S DNS,the implementation scheme for DNS safe protection is discussed thoroughly. Key words:DNS:safe threat;protection infrastructure:protection policy 1引言 DNS(Domain Name System,域名系统)是 了每一台服务器的数据量,使得管砰数据更加容易。 图l描述了DNS层次结构,它类似文件系统的目 录树结构 :在最顶端的是一个“ROOT”,其下分 多层次的分布式数据库系统,基本功能是负责提供 域名和IP地址之间的映射。作为当前全球最大最 复杂的分布式层次数据库系统,由于其开放、庞大、 复杂的特性以及设计之初对于安全性的考虑不足, 冉加上人为攻击和破坏,DNS系统面临非常严重 的安全威胁。二十一世纪初以来,随着信息高速公 为好几个基本类别名称,如:corn、org、edu等; 再下面是组织名称,如:ibm、microsoft、intel 等;继而是主机名称,如:www、mail、ftp等。 因为当初Internet是从美国发展起的,所以当时并 没有国域名称,但随着后来Iriternet的蓬勃发展, DNS也加进了诸如uk、tw、hk、Cn等国域或地 区域名称。 完整的域名是一个由“.”分隔的字符串,其 路的发展和普及,严重的DNS安全事件时有发生。 据不完全统计,就2009年5月到20l0年8月短短 16个月时间内发生了2I起严重的DNS安全事件, 影"I ̄JF泛 。因此,如何解决DNS安全问题并寻 中每个部分都代表一个域或主机名。例如www. baidu.corn、www.sina.CO1TI.C13和www.cjlu. 求相关解决方案是当今DNS亟待解决的问题。 edu.cn这些都完整的域名,他们虽然不是同一台 2 DNS层次结构与工作机理 DNS是一个分布式数据库,它利用树形目录结 构将主机名称的管理权分配给各级的DNS服务器, 机器,却有相同的主机名www,而在互联网中名 字相同的主机非常多,要准确地定位某台主机,首 先需要确定他们所属的域。这样就算有很多名字为 www的主机,只要在不同的域当中,DNS也能准 这使得管理和修改工作可以在各层本地完成,减少 基金项目:浙江省教育规划研究基金项目(SCG247) 75固l== 团2 0 1 1.0 4 a*'\Swq'、5C o rg c I 确地找到它。 一0,。 .. 1 J 图1 DNS的层次结构 图2描述_r DN S的工作机理和域名www. cjlu.edu.cn的解析过程 。当客户机提出查询请求 时,首先在本地计算机的缓存中查找。如果在本地 无法获得查洵信息,则将查询晴求发给本地D NS 服务器。如果本地DNS服务器是域名所在区域的 权威服务器或者曾经在特定的时间段内处理过该域 名的资源请求,那么它就会从自己的区域或者缓存 中检索到该域名相应的资源记录,并返回给客户机, 否则它就将查询转发给根名字服务器。由根域名服 务器向下级域名服务器转发,直到某个域名服务器 搜索到相应的资源记录,这类查询一般称为递归查 询。最后由本地D S服务器将递归查询结果返回 客户机,完成一个域名解析过程。 : j Ks ≤。n 一 墨 - .j囊 蔓 图2 DN¥工作机理和域名WWW c]Iu edu Cn的解析过程 3 DNS面临的安全威胁 3.1 DDoS攻击 DDoS(Distr uted Denial of Service)攻击 通过僵尸网络利用各种服务请求耗尽被攻击网络的 系统资源,造成被攻击网络无法处理合法用户的请 求。而针对DNS的DD0S攻击又可按攻击发起者 和攻击特征进行分类。 1)按攻击发起者分类 僵尸网络:控制大批僵尸网络利用真实DNS 协议栈发起大量域名查询请求。 厂 。 I 模拟工具:利用工具软件伪造源IP发送海量 DNS查询。 l一\厂 \ 二 — j 避 罐9 2)按攻击特征分类 _ 退 6 , 8 回 近 , Flood攻击:发送海量DNS查询报文导致网络 ≮ 应 盘 曩≤ : 带宽耗尽而无法传送正常DNS查询请求。 } 地 》 垃 C 』 资源消耗攻击:发送大量非法域名查询报文引 , 起DNS服务器持续进行迭代查询,从而达到较少 阜, E t l_ . ■ 一t 的攻击流量消耗大量服务器资源的目的。 3.2 DNS欺骗 DNS欺骗 是最常I见的DNS安全问题之一。 当一个DNS服务器由于自身的设计缺陷,接收了 一个错误信息,那么,就将做出错误的域名解析, 从而引起众多安全问题,例如将用户引导到错误的 互联网站点,甚至是一个钓鱼网站;又或者发送一 个电子邮件到一个未经授权的邮件服务器。攻击者 通常通过三种方法进行DNS欺骗: (1)缓存污染:攻击者采用特殊的DNS请求, 将虚假信息放入DNS的缓存中。 (2)DNS信息劫持:攻击者监听DNS会话,猜 测D NS服务器响应ID,抢先将虚假的响应提交给 客户端。 (3)DNS重定向:将DNS名称查询重定向到恶 意DNS服务器 3.3系统漏洞 BIND(Berkeley Internet NaIIle Domain)是 最常用的DNS服务软件,具有, 泛的使用基础, Internet上的绝大多数D NS服务器都是基于这个 软件的。BIND提供高效服务的同时也存在着众多 的安全性漏洞,CNCERT/CC在2009年安全报告 中指出:2009年7月底被披露的“Bind9”高危 漏洞,影响波及全球数万台域名解析服务器,我国 2 0 1 1 0 4圃[1=j豳76 n c O g C 。 有数千台和重要信息系统部门、基础电信运营 企业以及域名注册管理和服务机构的域名解析服务 器受到影响。 其中: (1)边界路由器与专用防火墙一起提供了对外 界网络的基本的安全保护,或者从缺乏网络控制的 除此之外,DNS服务器的自身安全性也是非 常重要。目前主流的操作系统如Windows、UNIX、 区域进入到专用网络区域的主要接入点。它们提 供IP地址过滤和数据包过滤的基本规则,也提供 Linux均存在不同程度的系统漏洞和安全风险,而 补丁的管理也是安全管理工作中非常重要和困难的 一个组成部分,因此针对操作系统的漏洞防护也是 DNS安全防护工作中的重点。 4 DNS防护体系与防护策略 DNS域名系统面临着来自内部和外部的各类风 险,构建DNS外部安全防护体系来防范外部风险, 同时制定DNS内部安全防护策略来预防内部风险, 以提高DNS安全系数,降低DNS故障水平,就显 得尤为 要。 4.1 DNS外部安全防护体系 考虑到DNS是一个分级系统,主要由机构、 非组织、企事业单位等各级域及其授权域名服 务器组成的。本文将以某高校的域名服务器为例, 构建某高校DNS安全防护体系。图3描述了某高 校的网络拓扑结构和DNS外部安全防护体系,它 将边界路由器、防火墙的策略路由和端口管理、F5 链路负载均衡器的链路控制和负载均衡策略、IPS 入侵防御系统的攻击防护和漏洞修复策略结合在一 起,构成三位一体的校园DNS安全防护体系。 童 j : i 图5某高校的网络拓扑结构和DNS外部安全防护体系 77圃【==眄圉2 0 1{0 4 ^r]sc o re3t0。 Internet与内部局域网之间的路由策略。 (2)F5链路负载均衡器本身提供智能DNS功能, 它将内部服务器集群化或虚拟化成针对不同ISP的 虚拟服务器(Virtual Server),并在外部网络用户 访问内部服务器时提供链路控制和负载均衡策略。 防火墙同时作为备份链路以应对F5单点故障的情 形(防火墙配置类似于F5配置,在F5链路负载均 衡器出现故障情况下,自动启用防火墙中的虚拟服 务器配置)。 (3)IPS入侵防御系统被配置在包括DNS在内 的服务器区域与用户网络之问,它一方面通过流 量异常检测和连接等技术实现了DDOS攻击 防御。一方面利用智能的DNS DDoS攻击识别技 术,通过实时分析DNS解析失败率、DNS响应报 文与请求报文的比例关系等方法,准确识别各种针 对DNS的DDOS攻击,避免产生漏报和误报,并 且通过专业的线性DNS攻击防御技术和离散DNS 攻击防御技术有效的防御了DNS DDoS攻击。另 外它还具备专业的漏洞库,通过分析攻击产生原理, 来识别攻击和系统潜在漏洞,为DNS服务提供“虚 拟系统补丁”的功能,即使DNS服务器未能及时 更新补丁程序,依然能有效地阻挡所有企图利用特 定漏洞进行的攻击。 4.2 DNS内部安全防护策略 DNS协议或者软件设计与配置上的漏洞常常被 非法用户或者黑客利用,他们通过网络向DNS发 起的攻击或欺骗以达到非法目的。加强DNS内部 的安全防护策略可以最大程度地降低DNS安全风 险。 Internet上最广泛使用的DNS服务器软件是 BIND,它是一款开源免费软件。目前最新的正式 版本是BIND9.8.0。BIND不断增加新的安全功能, 填补以前的安全漏洞。因此使用BIND的最新版本 可以大大提高DNS的安全性。但是随着新漏洞的 发现,最新版本也将成为不安全的旧版本。本文将 以BIND为例,提出一些重要的DNS内部安全防 护策略[1o-i 2i。 (1)名字服务器递归查询功能。这样只会回 答自己授权域的查询请求,而不会缓存任何外部的 数据。 (2)区传送。在BIND配置文件中通过设置 来允许区传送的主机,从一定程度上能减轻信 息泄漏。 (3)分离DNS。BIND可以通过视图(view)技 术把DNS系统划分为内部和外部两部分,外部视 图起着负责对外解析工作,内部视图则负责对内解 析。 (4)隐藏DNS的版本信息。因为通常软件的漏 洞和风险信息疋FI和特定版本相关的。 (5)删除DNS服务器上不必要的服务,避免非 法用户通过其他服务的漏洞侵入DNS系统。 (6)合理配置DNS的查询方式,流量很大的 DNS服务器可以禁止客户机使用递归查询以减轻 流量。 (7)应用DNSSec技术。DNSSec主要依靠公钥 技术对于包含在DNS中的信息创建密码签名,从 而为DNS数据提供来源验证。 5结束语 DNS安全是当前网络安全领域的一个重要课 题,是关系到国家利益的重大问题。本文在分析 DNS安全漏洞及所面临的安全威胁基础上,提出 了一种外部安全防护体系和内部安全防护策略相结 合的DNS安全防范方法,并以某高校的域名服务 系统为例,深入讨论了DNS安全防护问题。随着 DNSSec技术的不断完善,以及DNSSec技术与其 他网络防护技术的融合,更安全可靠和更Di:l J 泛的 DNS服务将被应用到Internet中去。@ 参考文献: f】]北龙中网. 中国域名服务及安全现状报告fEB/0L]. http:///WWW.cnnic.net.Cn.201 0.8. [2]郑先伟.DNS漏洞公布致网络危机四伏[J/OLj 中国教 育网络,http://www edu.CR,2008.9. [3]中国通信企业协会. 域名系统安全防护标准及检 查[DB/OL],,ntt口://wenk u baidu.corn/ view/ g2bf50daa58daO 7 1 6c1 74994.htm1.201 0.i 0. [4J董新科,邢雨,高维银.DNS网络安全系统分析与 设计[J],计算机安全,20i 0年(6):1 6—1 8. [5]方蕾,钱华林.DNS安全漏洞以及防范策略研究【J] 微电子学与计算机,2O05年(i 0):55 5 7. [6]闰伯儒,方滨兴,李斌等.DNS欺骗攻击的检测和防 范『J].计算机工程 2006年(i 7) (a2)21:1 50一i 55. [7】黎成.网络DNS欺骗攻击的检测及其防护[JJ.电脑 知识与技术,20i 0年(8),(6)24:6687--6 706. [8]任勉.DNS安全与防护一~DNs安全系统设计与实施 [D】,北京:北京邮电大学,2。0 7. [9】国家互联网应急中心.中国互联网网络安全报告(201 0 年上半年)[EB/OL】.http:// WWW.cert.org cn,201 0.1 0 [1 0】陈松. 战学刚.基于双向NAT和智能DNS内网服务 器安全快速访问策略[J J.计算机工程与设计,2009 50 (1 2):2941 2944 [1 1】李洋.保护DNS的安全[N/OL】.计算机世界.http:/// www2.CCW.corn.cn/weekly/tech/htm2009/2009085 1—65 1 574 shtml,2009.8. [1 2]Internet Systems Consortium,Inc..BIND 9 Administrator gefe rence tv1anua1.htt P://WWW.i SC.0 rg/SOftWa re/bi n d/ documentation/arm94.200 7.1 1. 作者简介:李海明(1 976一),男,讲师,硕士.主要研完 方向为计算机科学与应用,网络技术。 收稿日期:201 1—02 1 8 2 0 1 1 0 4固[晒圈78 ¨ 0sC o r::