文/鄒福泰

校園網(wǎng)內(nèi)有4000多臺(tái)開放的DNS遞歸解析服務(wù)器，占全部服務(wù)器的65.2%。

DNS安全問題已引起了廣泛的關(guān)注。為此，我們利用自行開發(fā)設(shè)計(jì)的DNS安全檢測軟件，對中國教育和科研計(jì)算機(jī)網(wǎng)的IP地址范圍進(jìn)行了DNS服務(wù)探測，并對響應(yīng)DNS請求的主機(jī)進(jìn)行服務(wù)器安全檢測。下面，我們給出我們的部分檢測結(jié)果以及被攻擊利用的危險(xiǎn)。

對教育網(wǎng)IP地址范圍掃描總共發(fā)現(xiàn)7235個(gè)主機(jī)提供DNS服務(wù)。

接下來，我們向7235個(gè)被測的DNS服務(wù)器發(fā)送遞歸查詢請求，結(jié)果如表1。4720臺(tái)服務(wù)器開放遞歸域名解析，占全部服務(wù)器的65.2%。其中，435臺(tái)的回答中AA（Authoritative Answer）標(biāo)志位置位，這些服務(wù)器并非測試使用域名的授權(quán)服務(wù)器，其回答含有AA可能因?yàn)檐浖?shí)現(xiàn)錯(cuò)誤，這類服務(wù)器大多采用Windows Server 2003的DNS服務(wù)。

在關(guān)閉遞歸的服務(wù)器中，775臺(tái)DNS服務(wù)器的回答為NXDOMAIN。對這些服務(wù)器進(jìn)一步的分析發(fā)現(xiàn)，其691臺(tái)“version.bind”字符串為“Array SmartDNS”，IP地址也大多在連續(xù)的范圍內(nèi)，這些服務(wù)器對所有A記錄查詢返回NXDOMAIN，而對所有的NS記錄查詢返回REFUSED。這些地址可能采用了Array Networks公司的Global Server Load Balancing設(shè)備。

在EDNS0的支持上，被測服務(wù)器中僅24.7%支持EDNS0（表2）。對于不支持EDNS0的服務(wù)器，81.7%響應(yīng)了查詢，18.0%沒有響應(yīng)，0.3%返回格式錯(cuò)誤的回答報(bào)文。支持EDNS0的服務(wù)器中，公布的UDP載荷尺寸有4096字節(jié)（57.4%）、1280字節(jié)（38.8%）、4000字節(jié)（3.4%）和512字節(jié)（0.3%）四類。對于TCP的支持，能夠通過TCP查詢的DNS服務(wù)器僅有36.5%（表3），其余服務(wù)器中90.8%的TCP/53端口關(guān)閉，2.2%建立TCP連接并發(fā)送請求后無響應(yīng)，7.0%提供格式錯(cuò)誤的回答。

對服務(wù)器信息的5種查詢，檢測結(jié)果如表4。4361臺(tái)服務(wù)器對版本號查詢（“version.bind”或“version.server”）給予回答，占全部主機(jī)的60.3%。

對DNS服務(wù)器進(jìn)行端口掃描，結(jié)果顯示56%的DNS服務(wù)器上開放了除53以外的其他端口。最常見的開放端口統(tǒng)計(jì)如表5。DNS服務(wù)器開放不必要的端口允許攻擊者通過其他存在漏洞的服務(wù)入侵，從而影響DNS的安全性。

表2 EDNS0測試結(jié)果

表3 TCP測試結(jié)果

表4 服務(wù)器信息查詢檢測結(jié)果

然后，我們針對檢測到開放遞歸解析的服務(wù)器，進(jìn)一步對其遞歸解析功能進(jìn)行檢測。

各種查詢類型的測試結(jié)果總結(jié)為表6。對于A記錄的遞歸查詢，79.6%的服務(wù)器給予了正確的回答，其中12臺(tái)服務(wù)器返回的IP地址與正確值不符。這12臺(tái)服務(wù)器對任何域名的查詢均返回服務(wù)器自身的IP地址，且TTL為0，通過Web瀏覽器訪問該服務(wù)器，顯示為Aruba Networks設(shè)備的登錄界面（圖1）。

支持AAAA和MX記錄查詢的服務(wù)器數(shù)量相近，均為73%左右。支持TXT記錄查詢的服務(wù)器為69.8%，而遞歸服務(wù)器對SRV記錄的支持較差，僅53.1%的服務(wù)器正確響應(yīng)SRV記錄查詢，有22.5%的服務(wù)器在SRV類型查詢的響應(yīng)中沒有回答數(shù)據(jù)（NODATA）。

在完成上述5種類型查詢后，立即發(fā)送ANY類型的查詢，83.9%的服務(wù)器響應(yīng)了ANY查詢并提供了回答資源記錄。而對域名中含有二進(jìn)制數(shù)據(jù)的查詢（BinQN），70.4%的服務(wù)器能夠正常地進(jìn)行遞歸解析。

表5 端口探測結(jié)果（Top 10）

表6 遞歸查詢測試結(jié)果

圖2 DNSSEC驗(yàn)證測試結(jié)果

圖3 端口和TXID隨機(jī)性測試結(jié)果

檢測發(fā)現(xiàn)，響應(yīng)遞歸查詢的服務(wù)器中，23.3%提供授權(quán)段的資源記錄，6.3%的回答中含附加段資源記錄。在NXDOMAIN劫持的測試中，總共檢測到257臺(tái)服務(wù)器存在NXDOMAIN劫持的行為，即查詢不存在的域名時(shí)仍返回A記錄，占所有遞歸服務(wù)器的5.4%。對這些服務(wù)器重定向的目標(biāo)進(jìn)行統(tǒng)計(jì)，總共采集到48個(gè)目標(biāo)IP地址，其中大部分指向中國聯(lián)通（16個(gè)）和電信114搜索（5個(gè)）等導(dǎo)航網(wǎng)站，其余部分指向一個(gè)登錄頁面。由于被檢測的服務(wù)器位于教育網(wǎng)，因此，這些服務(wù)器可能配置成Forwarder，將客戶端請求轉(zhuǎn)發(fā)給聯(lián)通和電信的DNS服務(wù)器解析。

對遞歸服務(wù)器是否啟用DNSSEC驗(yàn)證的測試結(jié)果如圖2。被測的4720臺(tái)遞歸服務(wù)器中，僅3臺(tái)服務(wù)器啟用了DNSSEC驗(yàn)證。62%的遞歸服務(wù)器不支持EDNS0，而EDNS0是啟用DNSSEC的前提。

對遞歸服務(wù)器的端口隨機(jī)性和TXID隨機(jī)性檢測結(jié)果如圖3。由于TXID安全性的研究較早，因此幾乎所有被測的DNS服務(wù)器都實(shí)現(xiàn)了較好的TXID隨機(jī)算法，僅45臺(tái)服務(wù)器的TXID隨機(jī)性不佳，占開放遞歸的服務(wù)器的1%。BIND等軟件從2008年起才實(shí)施源端口隨機(jī)化，并且還受到NAT等網(wǎng)絡(luò)環(huán)境的限制，因此，在開放遞歸的DNS服務(wù)器中，有12%至今仍未采用隨機(jī)的源端口。

檢測顯示，安全問題較為嚴(yán)重。這些安全隱患可為攻擊者利用，如DNS放大攻擊，并造成較嚴(yán)重的危害。因此，應(yīng)當(dāng)加強(qiáng)DNS安全配置，以減小安全風(fēng)險(xiǎn)。