張俊祥

（首都經(jīng)濟(jì)貿(mào)易大學(xué)教育技術(shù)中心 北京 100070）

0 引言

2015年第二屆國(guó)家網(wǎng)絡(luò)安全宣傳周即將啟動(dòng)，5月底就傳出各種網(wǎng)絡(luò)攻擊事件。先是支付寶短暫斷網(wǎng)，后澄清是“施工被斷光纖”，接著“攜程故障，24小時(shí)以上不能提供服務(wù)，具體故障原因不明”，然后傳出黑客公開(kāi)要攻擊國(guó)家重點(diǎn)網(wǎng)絡(luò)設(shè)備。網(wǎng)絡(luò)形勢(shì)表明，網(wǎng)絡(luò)安全無(wú)論是對(duì)于普通用戶，還是對(duì)于服務(wù)器管理員已經(jīng)到了非常重要的程度。

DNS服務(wù)器作為網(wǎng)絡(luò)核心服務(wù)之一，是網(wǎng)絡(luò)攻擊的首要目標(biāo)，如何做好DNS服務(wù)器的管理是服務(wù)器管理員的主要目標(biāo)。

1 DNS服務(wù)簡(jiǎn)介

1.1 DNS簡(jiǎn)介

DNS 是域名系統(tǒng)（Domain Name System）的縮寫(xiě)，是因特網(wǎng)的一項(xiàng)核心服務(wù)，它作為可以將域名和IP地址相互映射的一個(gè)分布式數(shù)據(jù)庫(kù)，能夠使人更方便的訪問(wèn)互聯(lián)網(wǎng)，而不用去記住能夠被機(jī)器直接讀取的IP地址。通常 Internet 主機(jī)域名的一般結(jié)構(gòu)為：主機(jī)名.三級(jí)域名.二級(jí)域名.頂級(jí)域名。Internet 的頂級(jí)域名由 Internet網(wǎng)絡(luò)協(xié)會(huì)域名注冊(cè)查詢負(fù)責(zé)網(wǎng)絡(luò)地址分配的委員會(huì)進(jìn)行登記和管理，它還為 Internet的每一臺(tái)主機(jī)分配唯一的 IP 地址。全世界現(xiàn)有三個(gè)大的網(wǎng)絡(luò)信息中心：位于美國(guó)的 Inter-NIC，負(fù)責(zé)美國(guó)及其他地區(qū)；位于荷蘭的 RIPE-NIC，負(fù)責(zé)歐洲地區(qū)；位于日本的APNIC，負(fù)責(zé)亞太地區(qū)。

用戶通過(guò)訪問(wèn)域名，DNS服務(wù)器解析域名，返回用戶 IP地址，完成整個(gè)服務(wù)。DNS服務(wù)器就是網(wǎng)絡(luò)中提供地址解析服務(wù)的網(wǎng)絡(luò)服務(wù)器。

1.2 近期攻擊事件

2014年12月10日，爆發(fā)了今國(guó)內(nèi)規(guī)模最大的針對(duì)運(yùn)營(yíng)商DNS網(wǎng)絡(luò)的惡性DDoS攻擊事件。攻擊是從12月10日凌晨開(kāi)始，現(xiàn)場(chǎng)網(wǎng)絡(luò)監(jiān)控到攻擊流量突增的情況，多個(gè)省份不斷出現(xiàn)網(wǎng)頁(yè)訪問(wèn)緩慢，甚至無(wú)法打開(kāi)等故障現(xiàn)象。經(jīng)過(guò)分析樣本發(fā)現(xiàn)，12月10日的攻擊主要是針對(duì)多個(gè)域名的隨機(jī)查詢攻擊，造成多省的 DNS遞歸服務(wù)器延遲增大，核心解析業(yè)務(wù)受到嚴(yán)重影響。

2014年1月21日發(fā)生全國(guó)大部分網(wǎng)站不能訪問(wèn)的情況，事后國(guó)家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布通告宣稱，此次事件是由網(wǎng)絡(luò)攻擊導(dǎo)致國(guó)內(nèi)互聯(lián)網(wǎng)用戶訪問(wèn)國(guó)際域名解析服務(wù)時(shí)出現(xiàn)異常。

事實(shí)上，針對(duì)DNS的攻擊就一直沒(méi)有中斷過(guò)。2009年國(guó)內(nèi)斷網(wǎng)，2010年baidu網(wǎng)絡(luò)域名被劫持事件，2011年電信寬帶斷網(wǎng)事件等，網(wǎng)絡(luò)攻擊者針對(duì)DNS服務(wù)的攻擊一直持續(xù)不斷。筆者作為DNS服務(wù)器管理員在日常維護(hù)中經(jīng)常遇到對(duì)DNS服務(wù)器的各種攻擊。

2 DNS相關(guān)的攻擊類(lèi)型及原理

2.1 針對(duì)DNS服務(wù)器的DDoS攻擊

分布式拒絕服務(wù)（DDoS：Distributed Denia1 of Service）攻擊指借助于客戶/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DDoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。這類(lèi)攻擊就是向受害者DNS服務(wù)器發(fā)送大量的DNS解析請(qǐng)求包，由于DNS服務(wù)器每秒查詢的次數(shù)有限，使得它忙不過(guò)來(lái)造成拒絕服務(wù)，從而發(fā)生故障。

簡(jiǎn)單說(shuō)就是攻擊者可以借助多個(gè)肉雞同時(shí)向 DNS服務(wù)器發(fā)起請(qǐng)求，從而引起服務(wù)器解析故障，造成服務(wù)宕機(jī)。

2.2 DNS反射型攻擊

大量主機(jī)偽造受害者 ip向網(wǎng)絡(luò)上的大量開(kāi)放式遞歸 DNS服務(wù)器發(fā)送DNS查詢請(qǐng)求包。由于開(kāi)放遞歸DNS服務(wù)器并不對(duì)請(qǐng)求包進(jìn)行地址真實(shí)性驗(yàn)證，因此都會(huì)進(jìn)行應(yīng)答，這樣受害者將同時(shí)接收到大量的DNS請(qǐng)求應(yīng)答包，堵塞受害DNS服務(wù)器的網(wǎng)絡(luò)，最終形成拒絕服務(wù)攻擊。

這種攻擊利用了遞歸查詢的漏洞，攻擊者偽造DNS服務(wù)器ip向遞歸查詢DNS服務(wù)器發(fā)起查詢請(qǐng)求，遞歸查詢DNS服務(wù)器返回請(qǐng)求，當(dāng)這種請(qǐng)求達(dá)到一個(gè)量級(jí)，就對(duì)正常DNS服務(wù)器形成了一種DDoS攻擊。

2.3 針對(duì)用戶的DNS劫持

dns劫持就是本來(lái)你想訪問(wèn)百度的網(wǎng)站www.baidu.com，結(jié)果輸入域名后返回給你的是搜狐的服務(wù)器ip，那么自然顯示在瀏覽器中的也就是搜狐的頁(yè)面。那么這是怎么發(fā)生的呢？

首先的原因是 DNS服務(wù)器地址被劫持。用戶的網(wǎng)絡(luò)中的DNS服務(wù)器地址被修改為惡意的DNS服務(wù)器。當(dāng)你訪問(wèn)網(wǎng)絡(luò)時(shí)，你訪問(wèn)的任何域名都被解析成其他的地址。

但是這種情況一般是不會(huì)發(fā)生的，因?yàn)閻阂馊藛T登錄不了的路由器修改不了 DNS服務(wù)器地址，就更修改不了你本機(jī)的DNS設(shè)置。不過(guò)當(dāng)幾個(gè)小的漏洞結(jié)合在一起的時(shí)候就成為了大的漏洞。比如之前出現(xiàn)過(guò)的路由器劫持事件。

還有一種情況是用戶的hosts文件被修改。根據(jù)解析流程來(lái)看，如果要解析www.qq.com的ip，系統(tǒng)會(huì)首先訪問(wèn)hosts文件，看看有沒(méi)有相關(guān)的綁定。如果有直接返回綁定ip，如果沒(méi)有訪問(wèn)DNS服務(wù)器進(jìn)行解析。如果hosts文件被修改，那么用戶訪問(wèn)綁定域名就會(huì)訪問(wèn)綁定ip。

還有一種劫持就是直接劫持域名服務(wù)器根服務(wù)器，這種情況比較少見(jiàn)，但也有出現(xiàn)的例子。

2.4 侵入DNS服務(wù)器修改記錄。

針對(duì)網(wǎng)絡(luò)服務(wù)提供商的DNS地址，進(jìn)行暴力入侵DNS服務(wù)器，獲取管理員權(quán)限，直接進(jìn)行域名記錄修改。這種方式比較困難，但也是存在著可能。

2.5 緩存區(qū)中毒攻擊

惡意人員向受害DNS服務(wù)器發(fā)送域名的解析請(qǐng)求，然后搶在權(quán)威服務(wù)器應(yīng)答前偽造應(yīng)答包發(fā)送給受害服務(wù)器。這樣錯(cuò)誤的解析記錄就保存到了緩存中，那么接下來(lái)緩存時(shí)間內(nèi)所有該域名的解析就都是錯(cuò)誤了。這種攻擊偽造的是回答資源記錄，攻擊時(shí)間很短，效率低。

3 DNS服務(wù)器安全管理與防范

DNS服務(wù)是網(wǎng)絡(luò)基礎(chǔ)服務(wù)，由于網(wǎng)絡(luò)的自適應(yīng)性，DNS采用的面向非連接的UDP協(xié)議，但UDP協(xié)議又是不安全的，而域名的樹(shù)形結(jié)構(gòu)是為了便于查詢服務(wù)，這都使得單點(diǎn)故障明顯，網(wǎng)絡(luò)安全威脅加劇。要提高DNS服務(wù)器安全，有以下幾種思路：

3.1 把DNS服務(wù)器放在網(wǎng)絡(luò)內(nèi)部區(qū)域

在網(wǎng)絡(luò)設(shè)計(jì)過(guò)程中，把DNS服務(wù)器放在安全區(qū)域。訪問(wèn)互聯(lián)網(wǎng)時(shí)，先有防火墻進(jìn)行安全保護(hù)，現(xiàn)在防火墻產(chǎn)品可以有效抵御大多數(shù)網(wǎng)絡(luò)攻擊。

3.2 提高DNS服務(wù)器的安全配置和硬件等級(jí)

DNS服務(wù)器內(nèi)部的安全防護(hù)策略有很多，應(yīng)針對(duì)DNS服務(wù)器安全設(shè)定高優(yōu)先級(jí)防護(hù)策略。首先要對(duì)服務(wù)器進(jìn)行專(zhuān)一化服務(wù)，去掉各種不需要的網(wǎng)絡(luò)服務(wù)，DNS服務(wù)器的防火墻也要打開(kāi)，只開(kāi)放管理端口和53端口，使用非root權(quán)限、隱藏DNS服務(wù)器軟件的版本信息，降低針對(duì)漏洞進(jìn)行的DNS攻擊。設(shè)置單一ip管理，也就是只有固定的ip才能進(jìn)入修改記錄和管理。提高硬件等級(jí)，可以提高服務(wù)器響應(yīng)處理能力，面對(duì)DDoS攻擊時(shí)能提高處理能力。

3.3 根據(jù)需要分ip進(jìn)行遞歸查詢

一般把DNS服務(wù)器的查詢ip進(jìn)行區(qū)分，可信任的ip可以進(jìn)行遞歸解析，不信任的或不屬于區(qū)域的ip地址一律不給于遞歸查詢，只能進(jìn)行權(quán)威查詢。這樣可以防止惡意遞歸查詢攻擊。

3.4 加強(qiáng)DDoS攻擊的防護(hù)

目前的域名服務(wù)器有自己搭建的bind系統(tǒng)，也有購(gòu)買(mǎi)的智能DNS系統(tǒng)。目前已經(jīng)有了針對(duì)DDoS攻擊的防護(hù)產(chǎn)品，必須增加DNS服務(wù)器的DDoS防護(hù)模塊，加強(qiáng)DNS服務(wù)器的DDoS攻擊防護(hù)是服務(wù)器管理員的重要工作。

3.5 要做好DNS服務(wù)器系統(tǒng)的定期升級(jí)服務(wù)

這里有操作系統(tǒng)的升級(jí)和DNS應(yīng)用系統(tǒng)的升級(jí)。服務(wù)器應(yīng)不僅使用最新版本的 DNS 服務(wù)器軟件，隨時(shí)更新版本，及時(shí)下載并安裝相應(yīng)的補(bǔ)丁程序，預(yù)防攻擊者利用軟件漏洞進(jìn)行攻擊，也要經(jīng)常操作系統(tǒng)升級(jí)，防止攻擊者利用操作系統(tǒng)漏洞攻入服務(wù)器。

DNS服務(wù)器安全直接關(guān)系到整個(gè)網(wǎng)絡(luò)的安全，我們只有實(shí)施具體的安全措施，才能有效杜絕網(wǎng)絡(luò)安全攻擊。保證DNS服務(wù)器正常運(yùn)行，是保證網(wǎng)絡(luò)服務(wù)的重要保障。

[1]毛樂(lè)琦.DNS安全與防護(hù)[J].電腦知識(shí)與技術(shù).2014.

[2]徐斌.DNS安全分析與防范[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.2014.

[3]孫巍等.分布式 DNS 反射 DDoS 攻擊原理與防范[J].通信管理與技術(shù).2014.

[4]白競(jìng)雄.DNS拒絕服務(wù)攻擊以及防范措施分析[J].硅谷.2014.

[5]夏宏利.讓DNS服務(wù)器遠(yuǎn)離瘋狂的DDoS攻擊[J].計(jì)算機(jī)與網(wǎng)絡(luò).2014.