白競雄

摘 要 文章首先就DNS拒絕服務(wù)供給的概念與原理進行分析，而后進一步針對DNS服務(wù)器攻擊防范措施展開了討論，對于深入了解DNS的工作機制，提升其安全水平都有一定的積極意義。

關(guān)鍵詞 DNS；拒絕服務(wù)；攻擊；防范

中圖分類號：TP3 文獻標識碼：A 文章編號：1671-7597（2014）08-0082-01

當前信息時代之下，各種網(wǎng)頁訪問的有效性和信息的可得性，是衡量網(wǎng)站健康狀況的基本準繩，然而與信息化共同發(fā)展起來的，除了成熟的網(wǎng)絡(luò)環(huán)境，相關(guān)的安全問題也愈加尖銳。在諸多安全問題中，關(guān)于DNS的拒絕服務(wù)，作為一個危機典范，受到越來越多的關(guān)注。

1 DNS拒絕服務(wù)供給的概念與原理

想要了解關(guān)于DNS安全攻擊的原理，首先需要對DNS的工作原理有所了解。域名系統(tǒng)（DNS，Domain Name System）是當前互聯(lián)網(wǎng)環(huán)境下關(guān)鍵的基礎(chǔ)設(shè)施之一，其存在價值主要在于提供諸多網(wǎng)頁的主機名稱以及IP地址之間的映射，確保包括網(wǎng)頁瀏覽以及電子郵件在內(nèi)的諸多訪問請求能夠順利展開。從工作原理角度看，DNS系統(tǒng)以一個分布式數(shù)據(jù)庫系統(tǒng)的形式存在，當客戶段需要解析某一個域名的IP地址的時候，需要先向DNS服務(wù)器發(fā)起查詢請求，由DNS服務(wù)器先行搜索本地緩存，如果緩存中不存在相關(guān)記錄，則進一步展開遞歸查詢直到獲取到相應(yīng)記錄，將獲取到的映射信息依據(jù)優(yōu)化算法進行存儲并且對客戶端的查詢請求予以回應(yīng)。

從供給的表現(xiàn)角度看，拒絕服務(wù)攻擊（DoS，Denial of Service）的本質(zhì)目的在于剝奪計算機或網(wǎng)絡(luò)為合法用戶提供正常服務(wù)的能力，攻擊方通常通過網(wǎng)絡(luò)向DNS服務(wù)段發(fā)起大量查詢服務(wù)，耗費DNS服務(wù)器查詢資源導(dǎo)致無法對正常的用戶需求做出響應(yīng)，也有可能篡改DNS本地緩存的數(shù)據(jù)導(dǎo)致其真實性出現(xiàn)誤差，從而出現(xiàn)錯誤解析結(jié)果。從原理上看，可以將對于DNS的攻擊劃分為兩種，包括欺騙式攻擊和反彈式攻擊。在欺騙式攻擊中，攻擊方采用緩沖區(qū)溢出或者特洛伊木馬等攻擊方式對DNS服務(wù)器的高速緩存實現(xiàn)入侵，并且誘導(dǎo)使其存儲虛假信息，或者獲得root權(quán)限改變服務(wù)器的轉(zhuǎn)換表使不同的域名映射到被攻擊的目標IP上。對于這種情況，當正常用戶發(fā)出域名解析查詢請求的時候，會得到錯誤的IP應(yīng)答，從而使得用戶的計算機訪問跳轉(zhuǎn)到錯誤的網(wǎng)址。而對于反彈式攻擊而言，則是指攻擊方發(fā)送源IP為被攻擊目標IP的查詢報文到大量開放的DNS服務(wù)器，DNS服務(wù)器把相應(yīng)的應(yīng)答報文發(fā)送到被攻擊目標。被攻擊目標所在的網(wǎng)絡(luò)被大量的DNS應(yīng)答報文淹沒，導(dǎo)致帶寬被完全消耗無法對外提供服務(wù)。

DNS作為整個網(wǎng)絡(luò)正常秩序的一種索引，其存在的價值不言而喻，當DNS遭受攻擊而失去其本身存在價值或者解析能力的時候，就會直接影響到人們對于網(wǎng)絡(luò)的正常訪問，并且基于這種索引本身的作用地位考慮，其影響面之大不容忽視。因此對于DNS服務(wù)器本身的安全工作水平提升，必須正視。

2 DNS服務(wù)器攻擊防范措施分析

對于DNS的攻擊，雖然明確隸屬于安全攻擊的范疇內(nèi)，但是發(fā)起攻擊的報文本身卻呈現(xiàn)出合法特征，因此想要建立起類似于防火墻或者攻擊嗅探等功能的軟硬件系統(tǒng)，借以實現(xiàn)對于DNS服務(wù)器的保護，并不容易。但是經(jīng)過對于DNS攻擊行為特征的長期分析，仍然可以從如下幾個方面加以提升DNS服務(wù)器本身的安全水平。

2.1 建立鏡像服務(wù)器

此種方法的實現(xiàn)目標，在于在網(wǎng)絡(luò)中實現(xiàn)對于DNS信息查詢的負載均衡。在同一區(qū)域內(nèi)，考慮配置主服務(wù)器和從服務(wù)器兩個并行服務(wù)器，其中主服務(wù)器可以用于ROOTZONE文件的維護，而從服務(wù)器在工作過程中則定期從主服務(wù)器上讀取數(shù)據(jù)以保持二者的同步。區(qū)域內(nèi)部的多個自治系統(tǒng)，均可依據(jù)從服務(wù)器數(shù)據(jù)建立起相關(guān)的鏡像服務(wù)器，這種方式可以幫助用戶就近獲取到DNS解析服務(wù)，一方面提升了整個DNS解析系統(tǒng)的響應(yīng)效率，另一個方面，這種多級的狀態(tài)可以對DNS主服務(wù)器實現(xiàn)保護，從安全角度看多了一個層級保護，有效降低了主服務(wù)器被直接攻擊的可能性。

2.2 加強防火墻等保護系統(tǒng)建立

雖然防火墻對于DNS攻擊防范的作用相對有限，但是仍然需要基于安全考慮加強各方面的建設(shè)，其中包括防火墻以及嗅探器等在內(nèi)的手段都應(yīng)當在這個過程中予以重視。防火墻以及嗅探器的工作重點在于針對網(wǎng)絡(luò)數(shù)據(jù)流展開監(jiān)聽監(jiān)測，當網(wǎng)絡(luò)中的流量超過一定的閾值時檢測系統(tǒng)會發(fā)出報警信息。這一方面的工作通常由網(wǎng)絡(luò)入侵檢測系統(tǒng)（NIDS，Network Intrusion Dete ction Systems）協(xié)助防火墻加以實現(xiàn)，并且在實際的工作過程中注意及時更新NIDS的相關(guān)安全策略判斷規(guī)則。與此同時，在DNS服務(wù)器上仍然應(yīng)當安裝有完整防火墻，實現(xiàn)對于來往數(shù)據(jù)流的監(jiān)聽檢測。但是對于此種防火墻的作用，其工作重點并不在于此，更為重要的工作應(yīng)當是對單個IP地址每秒的域名解析請求次數(shù)，從而克服DNS應(yīng)答無狀態(tài)的缺陷。

2.3 加強DNS服務(wù)器的管理

DNS服務(wù)器本身也是網(wǎng)絡(luò)上的一個節(jié)點，同樣要面對黑客以及木馬等攻擊，如果遭受這些攻擊，無異于為拒絕服務(wù)攻擊敞開大門?；谶@樣的考慮，同樣應(yīng)當為DNS展開必要的維護，包括及時更新系統(tǒng)，修改默認端口，加強用戶管理等，都應(yīng)當包含在這個范圍之內(nèi)。在加強管理的過程中，應(yīng)當重點關(guān)注對于數(shù)據(jù)檔案的建立，這不僅僅是對于算法的優(yōu)化，更應(yīng)當是對于不同解析請求行為識別的優(yōu)化。同時還應(yīng)當加強交叉檢驗功能的建設(shè)，即當服務(wù)器能夠通過反向查詢得到IP所對應(yīng)的主機名的時候，用該主機名查詢DNS系統(tǒng)對應(yīng)于該主機名的IP地址，在二者相一致的情況之下才做出相應(yīng)的應(yīng)答。

3 結(jié)論

DNS服務(wù)器的安全，直接關(guān)系到整個網(wǎng)絡(luò)的安全，并且影響著用戶需求能否有效得到滿足，在某些情況下甚至?xí)蔀殛P(guān)系到國家利益和安全的重大問題?；诖朔N考慮，必須認真對待，不斷分析現(xiàn)有不足，有的放矢地提出改進建議并且加以落實執(zhí)行，才能夠為加強DNS服務(wù)建設(shè)作出貢獻。

參考文獻

[1]李德全.拒絕服務(wù)攻擊[M].北京：電子工業(yè)出版社，2007.

[2]賀龍濤，方濱興，胡銘曾.主動監(jiān)聽中協(xié)議欺騙的研究[J].通信學(xué)報，2003（24）.

[3]張小妹，趙榮彩，單征，陳靜.基于DNS的拒絕服務(wù)攻擊研究與防范[J].計算機工程與設(shè)計，2008（01）.endprint