張海清

摘 要：DNS是Internet的基本支撐，其安全性對(duì)整個(gè)Internet的運(yùn)行起著舉足輕重的作用。隨著互聯(lián)網(wǎng)應(yīng)用的不斷深化，DNS已成為網(wǎng)絡(luò)攻擊的熱點(diǎn)目標(biāo)。本文從DNS的工作原理出發(fā)，解析了DNS面臨的安全威脅與受到的常見攻擊，并提出了相應(yīng)的防范方法。

關(guān)鍵詞：DNS；網(wǎng)絡(luò)攻擊；防范技術(shù)

1 引言

DNS（Domain Name System）域名系統(tǒng)，提供了Internet的底層基礎(chǔ)服務(wù)，它實(shí)現(xiàn)了將網(wǎng)絡(luò)域名映射為網(wǎng)絡(luò)IP地址，因此其安全性對(duì)整個(gè)Internet的安全性起著十分重要的作用。DNS作為當(dāng)今全球最大、最復(fù)雜的分布式層次數(shù)據(jù)庫系統(tǒng)，由于其開放、龐大、復(fù)雜的特性以及設(shè)計(jì)之初對(duì)于安全性的考慮不足，再加上人為的攻擊和破壞，DNS已面臨非常嚴(yán)重的安全威脅。

2 DNS的工作原理

DNS是為了實(shí)現(xiàn)域名和IP地址之間的轉(zhuǎn)換，它的工作原理就是在域名與IP地址兩者之間進(jìn)行相互的映射，起到相當(dāng)于翻譯的作用。DNS可分為Server和Client兩部分，當(dāng)Client向Server發(fā)出域名的解析請(qǐng)求時(shí)，本地的Server先查詢自己的數(shù)據(jù)庫是否存在需要的內(nèi)容，如果有則發(fā)送應(yīng)答數(shù)據(jù)包并給出相應(yīng)的結(jié)果，否則它將向上一層Server進(jìn)行查詢。如此不斷查詢，直至找到相應(yīng)的結(jié)果或?qū)⒉樵兪〉男畔⒎答伣oClient。DNS具體的工作流程如下：

（1）Client首先向本地的Server發(fā)出查詢請(qǐng)求，如要查詢解析域名為www.china.com的IP地址；

（2）本地Server如沒有對(duì)應(yīng)的記錄，轉(zhuǎn)而向根Server尋求幫助；

（3）根Server返回com域的Server地址；

（4）本地Server向com域的Server發(fā)出域名解析請(qǐng)求；

（5）com域的Server返回china.com域的Server地址；

（6）本地Server繼續(xù)向china.com域的Server發(fā)出域名解析請(qǐng)求；

（7）china.com域的Server向本地Server返回域名為www.china.com的IP地址查詢結(jié)果；

（8）本地Server向Client成功返回域名www.china.com的解析結(jié)果，并且更新本地Server的緩存記錄。

從上述DNS的工作流程中我們可以看到DNS的服務(wù)機(jī)制具有以下的漏洞和不足：

（1）DNS容易成為暴露用戶行為的工具；

（2）Internet的DNS體系無法承受加密帶來的開銷和技術(shù)升級(jí)的成本；

（3）迭代查詢，對(duì)根域與頂級(jí)域服務(wù)器的依賴非常嚴(yán)重；

（4）DNS主要使用無連接的UDP協(xié)議明文傳送，很容易被偽造投毒；

（5）明文傳輸?shù)腄NS不具備任何保密性；

（6）DNS服務(wù)器具有軟件漏洞。

3 常見的DNS攻擊

由于DNS已成為了網(wǎng)絡(luò)攻擊的熱門目標(biāo)，因此也成為了互聯(lián)網(wǎng)網(wǎng)絡(luò)安全的一個(gè)十分重大的隱患。網(wǎng)絡(luò)攻擊者們通過攻擊DNS達(dá)到了利用最少的成本，獲得最大的效益，利用最少的資源，發(fā)起最有破壞力的攻擊的目標(biāo)，而且其攻擊也可以輕而易舉地繞過嚴(yán)密的安全監(jiān)控和防護(hù)。如在2010年1月，網(wǎng)絡(luò)攻擊者們修改了百度的域名指向，以致百度網(wǎng)站出現(xiàn)無法訪問的情況；2011年3月，網(wǎng)絡(luò)攻擊者們利用Bind 9軟件出現(xiàn)的漏洞，使得部分DNS服務(wù)無法正常解析.com的域名。比較常見的DNS攻擊有緩存投毒、DNS欺騙和DDoS攻擊等，具體分析如下：

3.1 緩存投毒

緩存投毒是通過控制DNS的緩存服務(wù)器，把用戶從原本需要訪問的網(wǎng)站帶到其它的網(wǎng)站，從而實(shí)現(xiàn)黑客的目的。緩存投毒實(shí)現(xiàn)的方式主要有兩種：

3.1.1 攻擊或控制用戶ISP端的DNS緩存服務(wù)器的漏洞，將該ISP內(nèi)的用戶訪問域名的響應(yīng)結(jié)果改變；

3.1.2 利用權(quán)威域名服務(wù)器上的漏洞，在用戶權(quán)威域名服務(wù)器同時(shí)被當(dāng)作緩存服務(wù)器使用時(shí)，就可以實(shí)施緩存投毒，將錯(cuò)誤的域名紀(jì)錄存入服務(wù)器的緩存當(dāng)中，使所有使用該服務(wù)器的用戶得到的都是錯(cuò)誤的DNS解析結(jié)果。從網(wǎng)絡(luò)拓?fù)涞慕嵌葋砜?，緩存投毒針?duì)的DNS服務(wù)器是最接近用戶的服務(wù)器，因此對(duì)這些服務(wù)器的攻擊將會(huì)直接影響到連接這些服務(wù)器的所有用戶。

3.2 DNS欺騙

DNS 欺騙是局域網(wǎng)常見的一種DNS攻擊方式，是冒充域名服務(wù)器進(jìn)行的一種欺騙行為。網(wǎng)絡(luò)攻擊者在DNS服務(wù)器響應(yīng)之前先將虛假的響應(yīng)結(jié)果交給用戶，從而通過欺騙的手段使用戶去訪問惡意的網(wǎng)站。假設(shè)當(dāng)用戶提交給DNS服務(wù)器的域名解析請(qǐng)求報(bào)文數(shù)據(jù)包被截獲，然后按網(wǎng)絡(luò)攻擊者的意圖將一個(gè)虛假的IP地址作為應(yīng)答信息返回給用戶，用戶就會(huì)把這個(gè)虛假的IP地址作為他所要的IP地址而進(jìn)行訪問，這樣他就會(huì)被不知不覺地被欺騙到了網(wǎng)絡(luò)攻擊者想要其訪問的那個(gè)網(wǎng)站，從而實(shí)現(xiàn)了DNS欺騙。

3.3 DDoS攻擊

DDoS攻擊主要有兩種實(shí)現(xiàn)方式：

3.3.1 針對(duì)DNS的服務(wù)器軟件，利用其軟件程序中存在的各種漏洞，導(dǎo)致DNS服務(wù)器崩潰或拒絕提供服務(wù)；

3.3.2 利用DNS服務(wù)器作為中間的“攻擊放大服務(wù)器”，去攻擊其它互聯(lián)網(wǎng)上的主機(jī)或服務(wù)器，導(dǎo)致被攻擊的主機(jī)或服務(wù)器拒絕服務(wù)。

4 常見DNS攻擊的防范方法

4.1 緩存投毒的防范方法

4.1.1 必須及時(shí)更新DNS的數(shù)據(jù)，重建DNS的緩存，根據(jù)DNS服務(wù)器的性能和網(wǎng)絡(luò)的實(shí)際運(yùn)行情況，將服務(wù)器緩存記錄的TTL值適當(dāng)減少，以防止緩存中毒；

4.1.2 將UDP端口隨機(jī)化，在UDP端口的范圍內(nèi)隨機(jī)選擇使用端口，而不是固定使用53端口，這樣可以使端口號(hào)和ID號(hào)的組合空間擴(kuò)大到6萬多倍 ，從而有效降低緩存投毒的命中率；

4.1.3 設(shè)置靜態(tài)的DNS映射表，對(duì)動(dòng)態(tài)DNS的更新進(jìn)行限制，達(dá)到保護(hù)少數(shù)重要網(wǎng)站不受攻擊的目的。

4.2 DNS欺騙的防范方法

4.2.1 防范由于ARP欺騙而引起的DNS欺騙，由于這種DNS欺騙是以ARP欺騙為基礎(chǔ)的，所以可以通過將網(wǎng)關(guān)路由器的MAC地址和IP地址進(jìn)行綁定以達(dá)到避免此類欺騙的目的；

4.2.2 在DNS欺騙中，客戶端會(huì)收到一個(gè)合法的應(yīng)答包和一個(gè)欺騙的應(yīng)答包。欺騙應(yīng)答包為了能盡量快地返回給客戶端，它的報(bào)文結(jié)構(gòu)比合法應(yīng)答包簡單，甚至只有一個(gè)應(yīng)答域，而沒有授權(quán)域和附加域。這樣我們就可以通過監(jiān)聽DNS的應(yīng)答包，按照一定的算法，鑒別出合法和欺騙兩種應(yīng)答包，進(jìn)而避免DNS的欺騙攻擊；

4.2.3 對(duì)DNS服務(wù)器做適當(dāng)?shù)陌踩渲煤桶踩芾?，限制DNS服務(wù)器作出應(yīng)答的IP地址的范圍，安裝最新版的軟件，關(guān)閉服務(wù)器的遞歸功能等；

4.2.4 個(gè)別安全級(jí)別要求較高的服務(wù)可以直接用IP地址進(jìn)行訪問，從而繞開DNS服務(wù)，這樣全部針對(duì)DNS的攻擊就都可以避免了。

4.3 DDoS攻擊的防范方法

對(duì)于DDoS攻擊可以采取以下幾個(gè)防范措施：取消DNS服務(wù)器中允許查詢網(wǎng)址的遞回功能；部署入侵檢測系統(tǒng)IDS；對(duì)重要的DNS服務(wù)器做冗余備份；安裝相應(yīng)的防火墻，對(duì)高DNS流量的請(qǐng)求進(jìn)行限制和過濾。

4.4 除了上述防范攻擊的方法之外，也應(yīng)對(duì)DNS做好必要的保護(hù)措施，保證DNS的安全性，具體如下：

4.4.1 使用最新版本的DNS服務(wù)器軟件，并且還要隨著新漏洞的出現(xiàn)，不斷升級(jí)或安裝相應(yīng)的補(bǔ)丁程序；

4.4.2 通過交叉檢驗(yàn)功能，服務(wù)器反向查詢已得到的IP地址所對(duì)應(yīng)的主機(jī)名，再用該主機(jī)名查詢DNS系統(tǒng)對(duì)應(yīng)于該主機(jī)名的IP地址，判斷兩者是否一致，從而判定用戶的合法性；

4.4.3 安裝防火墻，將DNS服務(wù)器分為內(nèi)部、外部服務(wù)器，并且進(jìn)行隔離。內(nèi)部服務(wù)器只提供內(nèi)部網(wǎng)絡(luò)域名的解析，外部服務(wù)器提供外部用戶的查詢，并處理內(nèi)網(wǎng)服務(wù)器提交的解析請(qǐng)求；

4.4.4 通過設(shè)置訪問控制列表ACL限制用戶對(duì)DNS服務(wù)器的訪問；

4.4.5 對(duì)區(qū)域傳送進(jìn)行限制，防止網(wǎng)絡(luò)攻擊者通過正常的查詢命令獲得詳盡的的網(wǎng)絡(luò)內(nèi)部信息。

5 結(jié)束語

本文基于當(dāng)前DNS的現(xiàn)狀，闡述了DNS的工作原理，并對(duì)常見的DNS緩存投毒、DNS欺騙、DDoS攻擊等進(jìn)行了詳細(xì)的分析和給出了防范這些攻擊的方法，對(duì)于提高DNS的可靠性、安全性和抗攻擊能力具有積極的作用。在日益發(fā)展的互聯(lián)網(wǎng)中，DNS將占據(jù)著越來越重要的地位，如何更進(jìn)一步提高DNS的主動(dòng)、智能安全防御能力將是我們下一步工作和研究的重點(diǎn)。

參考文獻(xiàn)

[1]孔政，姜秀柱.DNS欺騙原理及其防御方法[J].計(jì)算機(jī)工程，2010（2）.

[2]董新科，邢雨，高維銀.DNS網(wǎng)絡(luò)安全系統(tǒng)分析與設(shè)計(jì)[J].計(jì)算機(jī)安全，2010（6）.

[3]李基，楊義先. DNS安全問題及解決方案[M].北京：北京郵電大學(xué)信息安全中心，2005.