關(guān)于域名服務(wù)系統(tǒng)風(fēng)險的調(diào)查報告國際經(jīng)濟與貿(mào)易專業(yè) 李慶生調(diào)查目的及意義：我于2011年3至5月在上海琵西網(wǎng)絡(luò)信息技術(shù)有限公司做畢業(yè)實習(xí)。我的實習(xí)的主要內(nèi)容是聯(lián)系國外的需要注冊中國或亞洲境內(nèi)

關(guān)于域名服務(wù)系統(tǒng)風(fēng)險的調(diào)查報告

國際經(jīng)濟與貿(mào)易專業(yè) 李慶生

調(diào)查目的及意義：

我于2011年3至5月在上海琵西網(wǎng)絡(luò)信息技術(shù)有限公司做畢業(yè)實習(xí)。我的實習(xí)的主要內(nèi)容是聯(lián)系國外的需要注冊中國或亞洲境內(nèi)域名的公司，申請作為其代理幫助他們注冊包括.cn,.hk,.aisa 在內(nèi)的多種域名。主要工作就是聯(lián)系國外公司的負責(zé)人，并洽談相關(guān)的代理細節(jié)問題，并完成為其注冊的相關(guān)步驟。

在實習(xí)過程中，結(jié)合自己的實習(xí)經(jīng)歷及域名服務(wù)行業(yè)的具體情況，做了一個關(guān)于域名服務(wù)行業(yè)普遍存在的風(fēng)險的調(diào)查報告，最后在參考域名行業(yè)知識的前提下提出了相關(guān)的防范建議。

調(diào)查內(nèi)容：

我國互聯(lián)網(wǎng)絡(luò)域名服務(wù)系統(tǒng)的相關(guān)風(fēng)險。

調(diào)查方式：

在調(diào)查的過程中除了采用我國互聯(lián)網(wǎng)絡(luò)信息中心的一些統(tǒng)計數(shù)據(jù)及方法外，還通過具體的事件案例調(diào)查，一般分析與具體事例相結(jié)合，最后總結(jié)出我國互聯(lián)網(wǎng)絡(luò)信息域名服務(wù)系統(tǒng)存在的風(fēng)險。

調(diào)查結(jié)果：

域名服務(wù)包含了權(quán)威域名服務(wù)和遞歸域名服務(wù)，服務(wù)的正確、安全和可靠運行對于整個互聯(lián)網(wǎng)的發(fā)展和建設(shè)來說至關(guān)重要。分析發(fā)現(xiàn)，國內(nèi)域名服務(wù)在配置管理和運行維護方面均存在不同程度的安全隱患，域名服務(wù)系統(tǒng)面臨的風(fēng)險如下：

風(fēng)險一：信息更改或過期：各級域名解析系統(tǒng)通常與域名注冊、WHOIS 等系統(tǒng)協(xié)調(diào)工作，任一環(huán)節(jié)的漏洞都可能被黑客利用，篡改域名解析數(shù)據(jù)。權(quán)威域名解析服務(wù)的主服務(wù)器或輔服務(wù)器如因配置不當(dāng)，也容易被攻擊，造成權(quán)威解析服務(wù)故障。

風(fēng)險二：DNS 系統(tǒng)應(yīng)用程序崩潰：域名解析服務(wù)系統(tǒng)所用軟件極其重要，如因配置不當(dāng)或升級延遲，軟件存在的漏洞容易被黑客利用。近年來開源軟件BIND 被廣泛使用，一旦該軟件出現(xiàn)嚴重安全漏洞，互聯(lián)網(wǎng)服務(wù)體系將面臨災(zāi)難性崩潰。 風(fēng)險三：域名劫持（Domain Name Hijacking ）：通過各種攻擊手段控制了域名管理密碼和域名管理郵箱，然后將該域名的NS 紀錄指向到黑客可以控制的DNS 服務(wù)器，然后通過在該DNS 服務(wù)器上添加相應(yīng)域名紀錄，從而使網(wǎng)民訪問該域名時，進入了黑客所指向的內(nèi)容。值得注意的是：域名被劫持后，不僅網(wǎng)站內(nèi)容會被改變，甚至?xí)?dǎo)致域名所有權(quán)也旁落他人。如果是國內(nèi)的CN 域名被劫持，還可以通過和注冊服務(wù)商或注冊管理機構(gòu)聯(lián)系，較快地拿回控制權(quán)。如果是國際域名被劫持，而且又是通過國際注冊商注冊，那么其復(fù)雜的解決流程，再加上非本地化的服務(wù)，會使得奪回域名變得異常復(fù)雜。

風(fēng)險四：中間人攻擊（Man in the Middle Attack）：中間人攻擊，是攻擊者冒充域名服務(wù)器的一種欺騙行為，它主要用于向主機提供錯誤DNS 信息。中間人攻擊大多數(shù)本質(zhì)都是被動，其檢測和防御十分困難。

風(fēng)險五：NSEC 游走：早期的DNSSec 使用NSEC 方案，會造成區(qū)文件被遍歷、枚舉，從而泄露所管理的域名解析數(shù)據(jù)，既是商業(yè)數(shù)據(jù)的泄露，也容易成為黑客攻擊的靶子。

風(fēng)險六：分布式拒絕服務(wù)攻擊（DDoS Attack ）：DDoS 攻擊手段是在傳統(tǒng)的DoS 攻擊基礎(chǔ)之上產(chǎn)生的更有效的攻擊方式。其攻擊手段往往是攻擊者組織大量的傀儡機同時向域名服務(wù)器發(fā)送大量查詢報文，這些報文看似完全符合規(guī)則，但往往需要DNS 服務(wù)器花費大量時間進行查詢，從而使DNS 癱瘓。2009年5月19日全國大面積斷網(wǎng)事件起因即為DDoS 攻擊。

風(fēng)險七：緩存窺探（Cache Snooping）：DNS 緩存窺探是一個確定某一個資源記錄是否存在于一個特定的DNS 緩存中的過程。通過這個過程攻擊者可以得到一些信息，例如解析器處理了哪些域名查詢。攻擊者通常利用緩存窺探尋找可攻擊對象。

風(fēng)險八：緩存中毒（或DNS 欺騙）（Cache Poisoning or DNS Spoofing）：通過向DNS 服務(wù)器注入非法網(wǎng)絡(luò)域名地址實現(xiàn)緩存中毒攻擊，對該類安全威脅的檢測十分困難。利用該漏洞輕則可以讓用戶無法打開網(wǎng)頁，重則是網(wǎng)絡(luò)釣魚和金融詐騙，給受害者造成巨大損失。由于軟件實現(xiàn)技術(shù)水平參差不齊，端口、報文ID 隨機算法落后的域名服務(wù)器容易遭受緩存中毒攻擊。

風(fēng)險九：DNS 放大、反射攻擊：目前的DDoS 攻擊通常與“DNS 放大攻擊”和“DNS 反射攻擊”配合實施。在這兩類攻擊中，DNS 服務(wù)器往往不受攻擊目標(biāo)，而是充當(dāng)了無辜的被利用者的角色。這種攻擊向互聯(lián)網(wǎng)上的一系列無辜的第三方DNS 服務(wù)器發(fā)送小的和欺騙性的詢問信息。這些DNS 服務(wù)器隨后將向表面上是提出查詢的那臺服務(wù)器發(fā)回大量的回復(fù)，導(dǎo)致通訊流量的放大并且最終導(dǎo)致攻擊目標(biāo)癱瘓。提供遞歸域名解析服務(wù)的主體需要控制服務(wù)范圍，盡可能的避免提供開放遞歸服務(wù)，并借助于流量分析監(jiān)測等手段發(fā)現(xiàn)潛在的DDos 攻。

防范建議：

一、確保域名解析服務(wù)的獨立性，運行域名解析服務(wù)的服務(wù)器上不能同時開啟其他端口的服務(wù)。權(quán)威域名解析服務(wù)和遞歸域名解析服務(wù)需要在不同的服務(wù)器上獨立提供。

二、采用安全的操作系統(tǒng)平臺和域名解析軟件，并關(guān)注軟件商發(fā)布的最新安全漏洞，定期升級軟件系統(tǒng)。

三、選擇安全性高、服務(wù)便捷的域名注冊服務(wù)機構(gòu)和域名注冊管理機構(gòu)；隱藏域名解析軟件及操作系統(tǒng)等版本信息；限制域名區(qū)文件的傳送權(quán)限；

四、使用入侵檢測系統(tǒng)，盡可能的檢測出中間人攻擊行為；需對域名服務(wù)器邊界網(wǎng)絡(luò)設(shè)備的流量、數(shù)據(jù)包進行監(jiān)控，監(jiān)控方式可基于監(jiān)聽、SNMP 、NetFlow 等網(wǎng)管技術(shù)和協(xié)議；對域名服務(wù)協(xié)議是否正常進行監(jiān)控，即利用對應(yīng)的服務(wù)協(xié)議或采用相應(yīng)的測試工具向服務(wù)端口發(fā)起模擬請求，分析服務(wù)器返回的結(jié)果，以判

斷當(dāng)前服務(wù)是否正常以及內(nèi)存數(shù)據(jù)是否變動。在條件允許的情況下，在不同網(wǎng)絡(luò)內(nèi)部部署多個探測點分布式監(jiān)控；部署實施DNSSec ；

五、采用NSEC3方案解決該問題；

六、提供域名服務(wù)的服務(wù)器數(shù)量應(yīng)不低于2臺，建議獨立的名字服務(wù)器數(shù)量為5臺。并且建議將服務(wù)器部署在不同的物理網(wǎng)絡(luò)環(huán)境中；限制遞歸服務(wù)的服務(wù)范圍；利用流量分析等工具檢測出DDoS 攻擊行為，以便及時采取應(yīng)急措施；在域名服務(wù)系統(tǒng)周圍部署抗攻擊設(shè)備，應(yīng)對這類型的攻擊；

七、限制遞歸服務(wù)的服務(wù)范圍，僅允許特定網(wǎng)段的用戶使用遞歸服務(wù)。

八、對重要域名的解析結(jié)果進行重點監(jiān)測，一旦發(fā)現(xiàn)解析數(shù)據(jù)有變化能夠及時給出告警提示；部署實施DNSSec ；

九、利用流量分析等工具檢測出攻擊行為；在域名服務(wù)系統(tǒng)周圍部署抗攻擊設(shè)備，應(yīng)對這類型的攻擊；

此外，為了加強域名服務(wù)的安全可靠性，域名服務(wù)部署時，需要考慮單節(jié)點故障問題。所涉及的路由器、交換機等均需要有冗余備份能力，建立完善的數(shù)據(jù)備份機制和日志管理系統(tǒng)。應(yīng)保留最新的3個月的全部解析日志。并且建議對重要的域名信息系統(tǒng)采取7×24的維護機制保障。應(yīng)急響應(yīng)到場時間不能遲于30分鐘。