任從容

達州職業(yè)技術學院 四川 635001

0 引言

使用DNS重新綁定的易受攻擊性，攻擊者需要進行直接套接字訪問，這種訪問通過DNS使用Flash與Java重新綁定，其請求僅具有從目標主機讀取HTTP響應的能力。這種攻擊有兩種典型防火墻欺騙和IP劫持。

1 防御DNS重新綁定攻擊

防御DNS重新綁定攻擊可以在瀏覽器、插件、DNS解析、防火墻和服務器中實現(xiàn)。

1.1 修復防火墻欺騙攻擊

網絡系統(tǒng)防御防火墻欺騙攻擊通過禁止外部主機解析到內部IP地址，這樣能夠有效地防御攻擊者重命名到目標服務器。如果不能重命名到目標服務器，攻擊者就不能匯聚眾多目標服務器到其控制下的區(qū)域源內。這樣惡意綁定就能夠在防火墻端通過過濾包而被阻止，或者通過在客戶端修改DNS解析而阻止。

1.2 修復瀏覽器拒絕缺省套接字

通過拒絕缺省方式直接套接字訪問可以阻止相關DNS重新綁定的攻擊。如果瀏覽器插件缺省設置成拒絕套接字訪問，對于使用Flash或TCP連接，這些防御是可行的。像Java以及一些未知名的插件請求套接字連接訪問是被允許的。

1.2.1 檢查主機報頭

HTTP請求用戶代理，該代理包括一個在HTTP請求中Host頭，該HTTP請求詳細描述服務器的主機。這個特性廣泛應用于HTTP代理與Web服務器，去定位大多數(shù)虛擬主機到一個IP地址。如果拒絕缺省套接字訪問，Host頭能夠可靠地指向正連接到服務器的瀏覽器所使用的主機，這是因為XMLHTTP請求限制欺騙Host頭。對于服務器而言，防御這些攻擊是通過拒絕引入不是預知的Host頭的HTTP請求。

1.2.2 細化區(qū)域源

防御：DNS重新綁定攻擊還可以通過提取包括額外信息的區(qū)域源，這些額外信息可以是服務器的IP地址或者公鑰等，這樣當攻擊者重新綁定其域名到目標主機時，瀏覽器將認為該重新綁定主機作用一個新區(qū)域。

IP地址：使用IP地址的細化區(qū)域比使用單一瀏覽會話的插件更具有可靠性，單一瀏覽會話策略可能會使從一個IP地址轉換到另一個IP地址時出錯。當這種轉換錯誤發(fā)生時，很可能破壞已經運行存在的AJAX應用程序，這是因為它們將被阻止使用XMLHTTP請求新IP地址，用戶能夠通過使用單擊瀏覽器刷新按鈕來重載該請求。

公鑰：使用公鑰增加區(qū)域源預防可以使兩類HTTPS網頁服務免受來自相同區(qū)域源的攻擊，避免相同區(qū)域源使用不同的公鑰去讀取其狀態(tài)值。這種防御應用于用戶丟失HTTPS無效證書警告的情況下，其主要防御用于攻擊只有HTTPS的個人安全設置。

2 智能插件策略

為了減少重新綁定攻擊，瀏覽器可以實現(xiàn)更為智能的插件策略。插件策略是為了防御DNS重新綁定，而使解析域名更加安全。RFC1035提出一個較小值的（甚至是0）TTLs使動態(tài)DNS成為可能，這些TTLs不允許重新綁定攻擊。瀏覽器可以實現(xiàn)不同插件的持續(xù)時間策略，這樣提高了瀏覽器的穩(wěn)定性。但是，TTLs不是能夠改變插件策略的惟一參數(shù)。

如果允許主機重新綁定到一組IP地址，使瀏覽器能夠改變其插件的寬度，這樣可以用到一些相似的策略。選擇最佳寬度與持續(xù)時間使安全與穩(wěn)定性間的轉換成為可能，而不是單獨持續(xù)時間的優(yōu)化。一個較好的策略是允許在一個網絡內重新綁定。例如，如果一臺主機解析到202.117.112.10，客戶端可能也允許另一個IP地址開始于202.117.112.內。Firefox擴展功能采用了該智能插件策略。

當瀏覽器使用一個C類網絡插件時，攻擊者可能定位那個受攻擊的服務器在其相同的C類網絡作為其目標，這樣使重新綁定攻擊定位更加困難。如果攻擊者協(xié)助定位到一個服務器，這個服務器使用相同協(xié)作定位的設備，或者這個協(xié)助定位的服務器具有交叉腳本嵌入的弱點，這種攻擊也是可能的。

瀏覽器能夠在公網與內網IP地址之間預防重新綁定，這對于不安全的數(shù)據(jù)通過與動態(tài)DNS提供了更加穩(wěn)定性。在實現(xiàn)公網與內網IP地址轉換中，JavaScript插件的Firefox擴展時使用了LocalRodeo。對于安全而言，內外網間IP地址的插件很大程度上預防了防火墻欺騙。但是在一些特殊情況下，不但不能保護IP欺騙也不能預防防火墻欺騙，這些特殊情況是防火墻保護非私有IP地址。

更寬的插件策略可以預防一些合法的DNS重新綁定。由組織機構掌管的公網主機通常有兩個IP地址，一個私有IP地址內部用戶防火墻使用，一個公用IP地址由Internet用戶使用。插件可以防御內部員工完全地連接到這些服務器之后又連接到該組織的VPN，又要防御公網IP地址重新綁定到私有IP地址。

2.1 通用插件數(shù)據(jù)庫

為了消除多插件的攻擊，基于插件的防御需要所有的瀏覽器共享一個通用的插件數(shù)據(jù)庫。許多插件，當發(fā)出HTTP請求時就已經使用了瀏覽器的插件，這是因為它們通過瀏覽器發(fā)出這些請求。為了共享DNS插件給其它類型的網絡訪問，另外一些瀏覽器可能暴露其插件數(shù)據(jù)庫的一個接口，或者操作系統(tǒng)可能插入它的DNS解析。瀏覽器暴露了這些接口與操作系統(tǒng)插件，要么是為了其它應用程序而改變DNS的語義，要么需要操作系統(tǒng)處理瀏覽器與不同應用程序的插件。

2.2 基于策略的插件

如果不使用插件的策略，可以讓瀏覽器使用服務器替代策略以確定重新將插件從一個IP地址轉換到另一個IP地址的主機什么時候是安全的，其條件是不使用非正規(guī)的安全機制提供穩(wěn)定性。為了重新插入安全性，瀏覽器必須獲得一個來自于新舊IP地址主機的策略，這是因為一些攻擊者首先綁定到攻擊者，反之另外一些首先綁定目標主機。服務器在一些定位中能夠提供這種策略，例如逆向DNS解析。

緩存：瀏覽器與所有插件的緩存必須通過改進才可以預防重新綁定攻擊。通常，存儲在緩存中目標主機通過URL重新得到而不管其最初的IP地址，建立一個重新綁定攻擊，當攻擊者主機綁定到目標主機時，從攻擊者來的緩存腳本可能稍后運行。為了預防這種攻擊，緩存中的目標必須通過URL與最初的IP地址重新獲得。當瀏覽器插進一個新的IP地址時就可以降低系統(tǒng)性能，當?shù)谝淮蜪P地址定位失敗時這種降低性能就成為可能，用戶啟動一個新的瀏覽器進程，或者用戶的網絡連接發(fā)生改變。

document.domain：即使使用最嚴謹?shù)牟寮?，如果主機打開執(zhí)行下面的似乎無缺陷Java腳本的網頁：document.domain=document.domain，服務器也是易受重新綁定攻擊的。

在頁面屬性設置域屬性值之后，瀏覽器允許具有交叉區(qū)域源的頁面與其它頁面相互訪問，這些頁面已經設置了相同的域屬性值。通過使用Java腳本庫的值，在受攻擊者控制的當前主機的情況下，達到設置域屬性值的目的。

3 主機認證策略

為了代替預防主機免受來自一個IP地址到另一個IP地址重新綁定攻擊，另一種防御重新綁定攻擊的策略就是預防攻擊者命名目標服務器。如果不具備命名目標服務器能力，攻擊者就不可能登錄到DNS重新綁定攻擊到目標服務器。這種方法防御重新綁定攻擊，能夠允許使用缺省值進行套接字訪問，也能夠保護動態(tài)DNS的穩(wěn)定性。

在互聯(lián)網中，客戶端需要附加信息以確定一個給定IP地址主機設置的有效性。網絡服務器廣播主機的設置，并且服務器認為它們自身是有效的，客戶端在綁定主機到IP地址之前檢查這些廣播，以確定這些主機名能夠映射到這些IP地址。主機名認證能夠預防重新綁定攻擊，這是因為真實的主機不能廣播這些被攻擊者控制的主機名。

逆DNS已經提供了一個從IP址到主機的映射。具有IP地址的用戶委派授權命名認證該IP到其域名，同時存儲一個PTR記錄，該記錄包括與其IP地址相關聯(lián)的主機名。這些記錄對于主機認證還是不夠的，這是因為一個單IP地址能夠有許多有效的主機名，現(xiàn)有的PTR記錄不可以預示那些另外的主機名是無效的。

逆向DNS系統(tǒng)在向后不兼容時不能擴展認證主機。為了認證主機到IP地址（例，a.b.c.d），IP地址的所有者可以插入下面的DNS記錄：

auth a.b.c.in-addr.arpa.in A a.b.c.d

www.eg.com.Auth a.b.c.in-addr.arpa.in A a.b.c.d

為了使策略可以解析主機，首先按正常情況解析一組IP地址的主機名，然后按下面步驟驗證每個IP地址的有效性：

（1）解析主機名auth.ip.in-addr.arpa。

（2）如果主機名存在，ip是策略使能（policy-enabled）同時接受僅僅已經驗證的主機名，否則，ip不是策略使能同時接受任何主機名。

（3）最后，如果ip是策略使能，解析主機名www.eg.com.auth.ip.in-addr.arpa，以確定主機名是否已經驗證通過。

IP地址ip驗證每一個由*.auth.ip.in-addr.arpa組成的主機名，預防不正確的遞歸策略檢查。對于具有多個IP地址的主機名，只有通過驗證的IP地址才可以包括在其結果中。如果沒有IP地址通過驗證，其結果是沒有找到。如果IP地址不是策略使能，那么DNS重新綁定攻擊就能夠減少在拒絕缺省套接字中的使用。

由相關機構或ISP運行控制的策略檢查能夠在DNS解析中實現(xiàn)，顯然這樣可以保護大量計算機免受IP地址劫持攻擊。像瀏覽器與插件這樣的用戶代理也能進行策略記錄檢查，這是因為它們存儲了記錄且使用HTTP請求時執(zhí)行策略檢查。標準DNS緩存減化了大量的過多的策略檢查。當進行進一步優(yōu)化時，具有策略使能的解析能夠在DNS請求附加部分中包括策略記錄，允許逆向解析緩存。

主機認證策略的特點是IP地址的擁有者與ISP可能不是那個IP地址主機的擁有者。當且僅當ISP愿意授權anth子域給擁有者或者插入適當?shù)腄NS記錄，主機才可能廣播那組已經驗證的主機。相反，主機可能廣播已經驗證的主機在HTTP已知的定位中，類似Flash的crossdomain.xml。

4 總結

攻擊者能夠使用DNS重新綁定的缺點繞過防火墻和劫持IP地址。典型防御與插件技術具有防御基本DNS重新綁定攻擊的能力，減少了穩(wěn)定性與保護使用了插件的瀏覽器失敗就導致允許攻擊者直接訪問客戶端的主機。這些攻擊能夠劫持成千上萬的IP地址主機進行發(fā)送垃圾郵件與點擊欺騙。預防DNS重新綁定攻擊欺騙防火墻可以使用阻止外部DNS域名解析到內部IP地址的策略。對于防火墻欺騙與IP劫持提出兩種防御方案：基于策略的智能插件與主機名認證。

[1]閆伯儒，方濱興，等.DNS欺騙攻擊的檢測和防范[J].上海:計算機工程.2006.

[2]何旭.DNS重新綁定對Web瀏覽器的影響[J].上海:計算機工程.2010.

[3]宗兆偉，黎峰，翟征德.基于統(tǒng)計分析和流量控制的DNS分布式拒絕服務攻擊的檢測及防御[C].北京:2009全國計算機網絡與通信學術會議.2009.

[4]任勉.DNS安全與防護[D].北京郵電大學.2007.

[5]李軍利，卜曉燕，張根耀，張震.惡意DNS流量攻擊研究[J].北京:計算機應用與軟件.2007.

[6]李基，楊義先.DNS安全問題及解決方案[J].電信科學.2005.