術(shù). 技術(shù)DNS 安全威脅與防護李海明，蘇開宇(中國計量學(xué)院 現(xiàn)代教育技術(shù)中心，浙江 杭州 310018)DNS 服務(wù)是Internet 的基本支撐，其安全問題具有舉足輕重的地位。在分析DNS 的工作

術(shù). 技術(shù)

DNS 安全威脅與防護

李海明，蘇開宇

(中國計量學(xué)院 現(xiàn)代教育技術(shù)中心，浙江 杭州 310018)

DNS 服務(wù)是Internet 的基本支撐，其安全問題具有舉足輕重的地位。在分析DNS 的工作機理及其面臨的安全威脅的基礎(chǔ)上，摘 要：

提出了相應(yīng)的DNS 安全防護體系和安全防護策略，并以某高校的域名服務(wù)系統(tǒng)為例，深入討論了DNS 安全防護的實施方案。DNS; 安全威脅; 防護體系; 防護策略關(guān)鍵詞：

DNS Safe Threat and Protection

LI Hai-ming,SU Kai-yu

(Modern Education Technology Center, China Jiliang University,Hangzhou,Zhejiang 310018,China)

Abstract : The DNS service is the Internet basic support. Its security problem has the critical influence on a large number of Internet applications. On the foundation of analyzing the DNS work mechanism and its safe threats, a DNS safe protection system is proposed and the safe protection strategy is presented. Finally taking example for one university’s DNS, the implementation scheme for DNS safe protection is discussed thoroughly.

Key words: DNS; safe threat; protection infrastructure; protection policy

1 引言

DNS(Domain Name System, 域名系統(tǒng)) 是多層次的分布式數(shù)據(jù)庫系統(tǒng)， 基本功能是負責(zé)提供域名和I P 地址之間的映射。作為當(dāng)前全球最大最復(fù)雜的分布式層次數(shù)據(jù)庫系統(tǒng)，由于其開放、龐大、復(fù)雜的特性以及設(shè)計之初對于安全性的考慮不足，再加上人為攻擊和破壞，DN S 系統(tǒng)面臨非常嚴重的安全威脅。二十一世紀初以來，隨著信息高速公路的發(fā)展和普及，嚴重的DNS 安全事件時有發(fā)生。據(jù)不完全統(tǒng)計，就2009年5月到2010年8月短短16個月時間內(nèi)發(fā)生了21起嚴重的D N S 安全事件，影響廣泛[1, 2]。因此，如何解決DNS 安全問題并尋求相關(guān)解決方案是當(dāng)今DNS 亟待解決的問題。

了每一臺服務(wù)器的數(shù)據(jù)量，使得管理數(shù)據(jù)更加容易。圖1描述了D N S 層次結(jié)構(gòu)，它類似文件系統(tǒng)的目在最頂端的是一個“ROOT”，其下分錄樹結(jié)構(gòu)[3]：

為好幾個基本類別名稱，如：com、org、edu等；再下面是組織名稱，如：ibm、microsoft、intel等；繼而是主機名稱，如：www、mail、ftp等。因為當(dāng)初Internet 是從美國發(fā)展起的，所以當(dāng)時并沒有國域名稱，但隨著后來Internet 的蓬勃發(fā)展，D N S 也加進了諸如u k、tw、hk、cn 等國域或地區(qū)域名稱。

完整的域名是一個由“.”分隔的字符串，其中每個部分都代表一個域或主機名。例如w w w. baidu.com、www.sina.com.cn和www.cjlu. e d u. c n 這些都完整的域名，他們雖然不是同一臺

2 DNS層次結(jié)構(gòu)與工作機理

DNS 是一個分布式數(shù)據(jù)庫，它利用樹形目錄結(jié)構(gòu)將主機名稱的管理權(quán)分配給各級的DNS 服務(wù)器，這使得管理和修改工作可以在各層本地完成，減少

浙江省教育規(guī)劃研究基金項目(SCG247) 基金項目：011. 04

機器，卻有相同的主機名w w w，而在互聯(lián)網(wǎng)中名字相同的主機非常多，要準(zhǔn)確地定位某臺主機，首先需要確定他們所屬的域。這樣就算有很多名字為www 的主機，只要在不同的域當(dāng)中，DNS也能準(zhǔn)

確地找到它。

圖1 DNS的層次結(jié)構(gòu)

圖2描述了D N S 的工作機理和域名w w w. cjlu.edu.cn 的解析過程[4]。當(dāng)客戶機提出查詢請求時，首先在本地計算機的緩存中查找。如果在本地?zé)o法獲得查詢信息，則將查詢請求發(fā)給本地D N S 服務(wù)器。如果本地D N S 服務(wù)器是域名所在區(qū)域的權(quán)威服務(wù)器或者曾經(jīng)在特定的時間段內(nèi)處理過該域名的資源請求, 那么它就會從自己的區(qū)域或者緩存中檢索到該域名相應(yīng)的資源記錄，并返回給客戶機，否則它就將查詢轉(zhuǎn)發(fā)給根名字服務(wù)器。由根域名服務(wù)器向下級域名服務(wù)器轉(zhuǎn)發(fā)，直到某個域名服務(wù)器搜索到相應(yīng)的資源記錄，這類查詢一般稱為遞歸查詢。最后由本地D N S 服務(wù)器將遞歸查詢結(jié)果返回

客戶機，完成一個域名解析過程。

圖2 DNS工作機理和域名www.cjlu.edu.cn 的解析過程

3 DNS面臨的安全威脅

3.1 DDoS攻擊

DDoS(Distributed Denial of Service)攻擊[5, 6]

通過僵尸網(wǎng)絡(luò)利用各種服務(wù)請求耗盡被攻擊網(wǎng)絡(luò)的系統(tǒng)資源，造成被攻擊網(wǎng)絡(luò)無法處理合法用戶的請求。而針對D N S 的D D o S 攻擊又可按攻擊發(fā)起者和攻擊特征進行分類。

學(xué)術(shù). 技術(shù)

1) 按攻擊發(fā)起者分類

僵尸網(wǎng)絡(luò)：控制大批僵尸網(wǎng)絡(luò)利用真實D N S 協(xié)議棧發(fā)起大量域名查詢請求。

模擬工具：利用工具軟件偽造源I P 發(fā)送海量DNS 查詢。

2) 按攻擊特征分類

Flood 攻擊：發(fā)送海量DNS 查詢報文導(dǎo)致網(wǎng)絡(luò)帶寬耗盡而無法傳送正常DNS 查詢請求。

資源消耗攻擊：發(fā)送大量非法域名查詢報文引起D N S 服務(wù)器持續(xù)進行迭代查詢，從而達到較少的攻擊流量消耗大量服務(wù)器資源的目的。

3.2 DNS欺騙

DNS 欺騙[7, 8]是最常見的DNS 安全問題之一。當(dāng)一個D N S 服務(wù)器由于自身的設(shè)計缺陷，接收了一個錯誤信息，那么，就將做出錯誤的域名解析，從而引起眾多安全問題，例如將用戶引導(dǎo)到錯誤的互聯(lián)網(wǎng)站點，甚至是一個釣魚網(wǎng)站；又或者發(fā)送一個電子郵件到一個未經(jīng)授權(quán)的郵件服務(wù)器。攻擊者通常通過三種方法進行DNS 欺騙：

(1)緩存污染：攻擊者采用特殊的D N S 請求，將虛假信息放入DNS 的緩存中。

(2)DNS信息劫持：攻擊者監(jiān)聽DNS 會話，猜測D N S 服務(wù)器響應(yīng)I D，搶先將虛假的響應(yīng)提交給客戶端。

(3)DNS重定向：將DNS 名稱查詢重定向到惡意DNS 服務(wù)器

3.3 系統(tǒng)漏洞

BIND(Berkeley Internet Name Domain) 是最常用的D N S 服務(wù)軟件，具有廣泛的使用基礎(chǔ)，Internet 上的絕大多數(shù)DNS 服務(wù)器都是基于這個軟件的。BI N D 提供高效服務(wù)的同時也存在著眾多的安全性漏洞，CNCERT/CC在2009年安全報告

[9]

中指出：2009年7月底被披露的“Bi n d9”高危

漏洞，影響波及全球數(shù)萬臺域名解析服務(wù)器，我國

2011. 0

術(shù). 技術(shù)

有數(shù)千臺政府和重要信息系統(tǒng)部門、基礎(chǔ)電信運營企業(yè)以及域名注冊管理和服務(wù)機構(gòu)的域名解析服務(wù)器受到影響。

除此之外，DN S 服務(wù)器的自身安全性也是非常重要。目前主流的操作系統(tǒng)如Windows、UNIX、Linux 均存在不同程度的系統(tǒng)漏洞和安全風(fēng)險，而補丁的管理也是安全管理工作中非常重要和困難的一個組成部分，因此針對操作系統(tǒng)的漏洞防護也是DNS 安全防護工作中的重點。

4 DNS防護體系與防護策略

DNS 域名系統(tǒng)面臨著來自內(nèi)部和外部的各類風(fēng)險，構(gòu)建DNS 外部安全防護體系來防范外部風(fēng)險， 同時制定DNS 內(nèi)部安全防護策略來預(yù)防內(nèi)部風(fēng)險，以提高DNS 安全系數(shù)，降低DNS 故障水平，就顯得尤為重要。

4.1 DNS外部安全防護體系

考慮到DNS 是一個分級系統(tǒng)，主要由政府機構(gòu)、非政府組織、企事業(yè)單位等各級域及其授權(quán)域名服務(wù)器組成的。本文將以某高校的域名服務(wù)器為例，構(gòu)建某高校D N S 安全防護體系。圖3描述了某高校的網(wǎng)絡(luò)拓撲結(jié)構(gòu)和D N S 外部安全防護體系，它將邊界路由器、防火墻的策略路由和端口管理、F5鏈路負載均衡器的鏈路控制和負載均衡策略、IP S 入侵防御系統(tǒng)的攻擊防護和漏洞修復(fù)策略結(jié)合在一起，構(gòu)成三位一體的校園DNS

安全防護體系。

圖3 某高校的網(wǎng)絡(luò)拓撲結(jié)構(gòu)和DNS 外部安全防護體系011. 04

其中：

(1)邊界路由器與專用防火墻一起提供了對外界網(wǎng)絡(luò)的基本的安全保護，或者從缺乏網(wǎng)絡(luò)控制的區(qū)域進入到專用網(wǎng)絡(luò)區(qū)域的主要接入點。它們提供I P 地址過濾和數(shù)據(jù)包過濾的基本規(guī)則，也提供Internet 與內(nèi)部局域網(wǎng)之間的路由策略。

(2)F5鏈路負載均衡器本身提供智能D N S 功能，它將內(nèi)部服務(wù)器集群化或虛擬化成針對不同ISP 的虛擬服務(wù)器(Virtual Server)，并在外部網(wǎng)絡(luò)用戶訪問內(nèi)部服務(wù)器時提供鏈路控制和負載均衡策略。

防火墻同時作為備份鏈路以應(yīng)對F5單點故障的情形(防火墻配置類似于F5配置，在F5鏈路負載均衡器出現(xiàn)故障情況下，自動啟用防火墻中的虛擬服務(wù)器配置)。

(3)I P S 入侵防御系統(tǒng)被配置在包括D N S 在內(nèi)的服務(wù)器區(qū)域與用戶網(wǎng)絡(luò)之間，它一方面通過流量異常檢測和連接限制等技術(shù)實現(xiàn)了D D o S 攻擊防御。一方面利用智能的DNS DDoS 攻擊識別技術(shù)，通過實時分析DNS 解析失敗率、DNS響應(yīng)報文與請求報文的比例關(guān)系等方法，準(zhǔn)確識別各種針對D N S 的D D o S 攻擊，避免產(chǎn)生漏報和誤報，并且通過專業(yè)的線性DNS 攻擊防御技術(shù)和離散DNS 攻擊防御技術(shù)有效的防御了DNS DDoS 攻擊。另外它還具備專業(yè)的漏洞庫，通過分析攻擊產(chǎn)生原理，來識別攻擊和系統(tǒng)潛在漏洞，為DNS 服務(wù)提供“虛擬系統(tǒng)補丁”的功能，即使D N S 服務(wù)器未能及時更新補丁程序，依然能有效地阻擋所有企圖利用特定漏洞進行的攻擊。

4.2 DNS內(nèi)部安全防護策略

DNS 協(xié)議或者軟件設(shè)計與配置上的漏洞常常被非法用戶或者黑客利用，他們通過網(wǎng)絡(luò)向D N S 發(fā)起的攻擊或欺騙以達到非法目的。加強D N S 內(nèi)部的安全防護策略可以最大程度地降低D N S 安全風(fēng)

險。

I n t e r n e t 上最廣泛使用的D N S 服務(wù)器軟件是B I N D，它是一款開源免費軟件。目前最新的正式版本是BIND9.8.0。BIND 不斷增加新的安全功能，填補以前的安全漏洞。因此使用BIND 的最新版本可以大大提高D N S 的安全性。但是隨著新漏洞的發(fā)現(xiàn)，最新版本也將成為不安全的舊版本。本文將以B I N D 為例，提出一些重要的D N S 內(nèi)部安全防護策略[10-12]。

(1)限制名字服務(wù)器遞歸查詢功能。這樣只會回答自己授權(quán)域的查詢請求，而不會緩存任何外部的數(shù)據(jù)。

(2)限制區(qū)傳送。在BIND 配置文件中通過設(shè)置來限制允許區(qū)傳送的主機，從一定程度上能減輕信息泄漏。

(3)分離DNS。BIND可以通過視圖(view)技術(shù)把D N S 系統(tǒng)劃分為內(nèi)部和外部兩部分，外部視圖起著負責(zé)對外解析工作，內(nèi)部視圖則負責(zé)對內(nèi)解析。

(4)隱藏D N S 的版本信息。因為通常軟件的漏洞和風(fēng)險信息是和特定版本相關(guān)的。

(5)刪除D N S 服務(wù)器上不必要的服務(wù)，避免非法用戶通過其他服務(wù)的漏洞侵入DNS 系統(tǒng)。

(6)合理配置D N S 的查詢方式，流量很大的D N S 服務(wù)器可以禁止客戶機使用遞歸查詢以減輕流量。

(7)應(yīng)用DNSSec 技術(shù)。DNSSec主要依靠公鑰技術(shù)對于包含在D N S 中的信息創(chuàng)建密碼簽名，從而為DNS 數(shù)據(jù)提供來源驗證。

5 結(jié)束語

D N S 安全是當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域的一個重要課題，是關(guān)系到國家利益的重大問題。本文在分析D N S 安全漏洞及所面臨的安全威脅基礎(chǔ)上，提出

學(xué)術(shù). 技術(shù)

了一種外部安全防護體系和內(nèi)部安全防護策略相結(jié)合的D N S 安全防范方法，并以某高校的域名服務(wù)系統(tǒng)為例，深入討論了D N S 安全防護問題。隨著DNSSec 技術(shù)的不斷完善，以及DNSSec 技術(shù)與其他網(wǎng)絡(luò)防護技術(shù)的融合，更安全可靠和更加廣泛的DNS 服務(wù)將被應(yīng)用到Internet 中去。

參考文獻：