DNS系統(tǒng)及重要性

我們?nèi)粘Ｉ暇W(wǎng)，需在瀏覽器中輸入相應(yīng)網(wǎng)站的域名，但事實上，我們真正訪問的是這個域名的IP地址，而將域名“翻譯”成IP地址的就是DNS系統(tǒng)，是互聯(lián)網(wǎng)核心服務(wù)之一，其主要目的是使域名方便記憶。此外，現(xiàn)在很多網(wǎng)站為了提高用戶上網(wǎng)體驗，采取了區(qū)域群集式服務(wù)，用戶只需記住域名，網(wǎng)站會自動將最佳域名IP地址反饋給用戶。DNS系統(tǒng)分為服務(wù)器和客戶端兩部分，服務(wù)器內(nèi)存儲著域名和IP地址相互映射的分布式數(shù)據(jù)庫，其工作流程是當(dāng)客戶端發(fā)出域名解析請求后，先在本機hosts文件中查看是否有這個域名相對應(yīng)的IP地址，如果有則直接訪問，如果沒有就會提交給本地DNS服務(wù)器，本地DNS服務(wù)器查詢自己的數(shù)據(jù)庫，如果可以查詢到，則直接將IP地址直接反饋給DNS客戶端，如果查詢不到，則會向上一級DNS服務(wù)器進行查詢，采取遞歸的方式進行查詢，直到將查詢到的結(jié)果或查詢失敗的結(jié)果反饋給客戶端。

DNS系統(tǒng)缺陷

結(jié)構(gòu)缺陷：互聯(lián)網(wǎng)是分布式、區(qū)域自治的網(wǎng)狀結(jié)構(gòu)，但DNS系統(tǒng)卻是一種由13個“根”組成的樹狀結(jié)構(gòu)，這些“根”全部在國外，雖然我們國家有5個“根”的鏡像，也僅僅是為了提高國內(nèi)用戶的訪問速度，無管理權(quán)限，要訪問其他“根”服務(wù)器，則需較長時間，極易遭受DDoS攻擊，且無有效防范措施。只有去根化、提高DNS的自治能力才能適應(yīng)迅速發(fā)展的互聯(lián)網(wǎng)，此外，DNS的授權(quán)服務(wù)器和緩存服務(wù)器都是集中配置，在遭受DDoS攻擊時會導(dǎo)致授權(quán)服務(wù)器和緩存服務(wù)器同時癱瘓。

技術(shù)缺陷：DNS協(xié)議基于UDP，使用53號端口，最大為512字節(jié)，DNS數(shù)據(jù)包易被篡改。IP分片難以處理，在IPv6環(huán)境下解析延遲較大，易被緩沖區(qū)投毒，較難發(fā)現(xiàn)由gTLD和ccTLD導(dǎo)致的根服務(wù)器污染、UDP欺騙攻擊、DNSSec根密鑰管理和更新難等問題。域名解析采用遞歸解析方式，在遞歸解析時，容易被中間人攻擊和DDoS攻擊，特別是域名數(shù)量巨大和網(wǎng)絡(luò)帶寬不足時。此外，DNS系統(tǒng)是對所有請求都需做出必要的響應(yīng)，對DNS系統(tǒng)解析造成了很大壓力，據(jù)不完全統(tǒng)計，“根”一級服務(wù)器上，有超過75%的域名請求是錯誤和無效的請求。此外，DNS系統(tǒng)的軟件版本不一致，導(dǎo)致DNS系統(tǒng)漏洞很多。

管理缺陷：目前，關(guān)于域名的注冊存在很大的問題，沒有很強的管理約束機制，很多不合格的代理機構(gòu)、網(wǎng)絡(luò)結(jié)構(gòu)差異性、泛濫的各類解析軟件等都給DNS系統(tǒng)的管理帶來很大麻煩。DNS系統(tǒng)本身無法及時發(fā)現(xiàn)系統(tǒng)故障和安全事件的風(fēng)險，域名系統(tǒng)日志記錄內(nèi)容不完整、日志保存時間過短，安全事件發(fā)生后難以追查，針對DNS系統(tǒng)的應(yīng)急預(yù)案少等都給管理帶來很大難度。

常見的DNS攻擊

1.DDoS攻擊

DDoS攻擊有2種方式：一種主要針對DNS系統(tǒng)本身，通常利用跨平臺的Bind軟件或其他DNS軟件中的漏洞，導(dǎo)致DNS服務(wù)器崩潰或拒絕服務(wù);另一種是利用DNS服務(wù)器作為中間的“攻擊放大器”，讓被攻擊者無法正常使用DNS服務(wù)。

由于各DNS服務(wù)器有專人維護，軟件漏洞彌補比較及時，利用軟件漏洞實施DDoS攻擊的難度越來越大。目前，針對DNS系統(tǒng)比較常見的DDoS攻擊是將DNS服務(wù)器作為“攻擊放大器”，對訪問用戶進行放大攻擊。

2.DNS緩存感染

這主要是利用DNS系統(tǒng)的漏洞和DNS系統(tǒng)緩存機制，攻擊者將錯誤的域名記錄放入DNS服務(wù)器緩存之中，從而改變其他用戶訪問域名的結(jié)果，從而將用戶對正常的域名訪問引導(dǎo)至掛馬網(wǎng)站上，這種方式也主要針對DNS系統(tǒng)漏洞彌補不及時和維護不經(jīng)常的業(yè)務(wù)提供商。

3.DNS劫持

DNS劫持就是將用戶的正常域名解析請求劫持，攻擊者會監(jiān)聽用戶和DNS服務(wù)器之間的數(shù)據(jù)，獲取DNS服務(wù)器反饋給用戶的DNS查詢ID和端口號，攻擊者分析其請求的域名，在DNS服務(wù)器響應(yīng)之前，仿冒DNS服務(wù)器反饋給用戶篡改后的域名，反饋給用戶假的IP地址或者不給予響應(yīng)。其結(jié)果就是用戶無法訪問正確的域名或訪問的是假域名。其實質(zhì)就是劫持者先封鎖正常DNS服務(wù)器的IP地址或通過技術(shù)手段取得正常DNS服務(wù)器記錄解析控制權(quán)后，將錯誤的IP地址替代用戶訪問域名的IP地址，讓用戶訪問錯誤的IP地址，以達到竊取用戶信息資料或破壞用戶正常服務(wù)的目的。

4.DNS重定向

攻擊者利用技術(shù)手段，攻擊ISP或用戶的路由器，將路由器內(nèi)的DNS服務(wù)器IP地址進行修改，也就是將正常DNS服務(wù)器重定向到了惡意DNS服務(wù)器，那么所有用戶的上網(wǎng)行為就會被完全被控制。

5.ARP欺騙

ARP欺騙攻擊是局域網(wǎng)內(nèi)部攻擊，是內(nèi)部用戶攻擊內(nèi)部用戶，一般是主動攻擊或中了ARP病毒，這種方式就是通過偽造IP地址和MAC地址映射關(guān)系來達到ARP欺騙，攻擊者向被攻擊者發(fā)送構(gòu)造好的ARP響應(yīng)數(shù)據(jù)包，ARP欺騙成功后，監(jiān)聽被攻擊者發(fā)出的DNS請求數(shù)據(jù)包，在取得隨機產(chǎn)生的ID和端口號后，向目標(biāo)反饋一個惡意DNS響應(yīng)包，這樣被攻擊者就會在自己的DNS緩存表中，形成錯誤的映射關(guān)系，當(dāng)正確的DNS響應(yīng)包返回時，則被丟棄。

6.本機劫持

這種方式，一般是用戶自己計算機感染木馬、DNS病毒或使用了流氓軟件，用戶的DNS服務(wù)器地址被修改，hosts文件被篡改，這樣用戶就會無法正常訪問掛馬網(wǎng)站，這也是最方便、最容易遭受攻擊的方式。

DNS系統(tǒng)防護措施

1.建立規(guī)范的管理運行機制。

網(wǎng)絡(luò)上絕大多數(shù)的安全事故未能及時得到處理，都是管理人員麻痹大意造成的，規(guī)范的管理運行機制是確保DNS系統(tǒng)安全的首要條件，缺少規(guī)范的管理運行機制，即使擁有再好的技術(shù)水平也是不夠的，高素質(zhì)的運維技術(shù)人員，符合業(yè)務(wù)需求的安全運行和處理機制是確保DNS系統(tǒng)安全的基礎(chǔ)。這里不僅要有完善的風(fēng)險評估機制、還要有DNS系統(tǒng)的應(yīng)急處置方案、及時升級服務(wù)器和各類漏洞補丁方案，同ISP和域名服務(wù)商協(xié)調(diào)流程等。

2.采用新的運行架構(gòu)。

原有運行架構(gòu)為群集服務(wù)模式，DNS系統(tǒng)本身沒有相應(yīng)的安全機制，運行機制不夠靈活。國內(nèi)外有關(guān)DNS創(chuàng)新架構(gòu)的理論研究很多，目前有很多已經(jīng)投入實際應(yīng)用階段，這些架構(gòu)都采用了很多關(guān)鍵機制，從運行機制上確保了DNS的解析安全，這些關(guān)鍵機制包括一致性檢查、一致性仲裁、負載均衡和通信協(xié)調(diào)節(jié)點選舉等。

一致性檢查是每個節(jié)點將自己收到的DNS數(shù)據(jù)發(fā)送給服務(wù)組其他節(jié)點進行一致性比對，只有完全一致時，才有通信協(xié)調(diào)節(jié)點發(fā)出指令更改這些節(jié)點的DNS記錄。一致性仲裁是如果發(fā)現(xiàn)新的記錄不完全一致時，按少數(shù)服從多數(shù)的策略決定是否接受記錄的變化。負載均衡是DNS服務(wù)組在收到DNS請求時，由負載均衡設(shè)備依據(jù)處理壓力自主選擇由哪個節(jié)點提供服務(wù)。通信協(xié)調(diào)節(jié)點是指有權(quán)力修改各節(jié)點的DNS記錄的節(jié)點，該節(jié)點按特殊算法在各節(jié)點中選舉產(chǎn)生，其主要作用一是修改各節(jié)點的DNS記錄，二是完成與向上一級DNS域的數(shù)據(jù)交互。

這種架構(gòu)具有良好的擴展性、可快速部署，與DNS服務(wù)器之前的黑洞群集防護設(shè)備聯(lián)動，并且能有效預(yù)防DNS劫持、DNS緩存感染和針對DNS的DDoS攻擊等，此外，還能及時封禁非正常域名和修改策略。

3.采用新的DNS防護系統(tǒng)。

傳統(tǒng)的DNS防護系統(tǒng)主要通過識別DNS攻擊的行為特征修改策略，從而保護DNS系統(tǒng)，這種方式配置簡單，對新的DNS變種攻擊無法有效防御且誤報率較高，新的DNS防護系統(tǒng)特征庫一般由三部分組成：第一部分是傳統(tǒng)DNS攻擊行為特征庫，第二部分是由上級域名服務(wù)器、權(quán)威安全機構(gòu)或ISP實時提供的DNS攻擊行為特征庫，第三部分是由防護系統(tǒng)自主生成的DNS攻擊行為特征庫。新的防護系統(tǒng)在過濾掉第一、二種DNS攻擊行為后，對剩余的可能攻擊行為進行仿真模擬運行，如果有攻擊行為，則會生成相應(yīng)特征代碼并將之放入第三部分特征庫，這樣就可以及時有效防護DNS系統(tǒng)不受攻擊。

4.提高入口帶寬速率。

目前，針對DNS的DDoS攻擊特別是“DNS放大攻擊”急劇增長，這種攻擊類似泛洪攻擊，就是讓網(wǎng)絡(luò)中充斥大量的數(shù)據(jù)包特別是廣播包以阻塞網(wǎng)絡(luò)，這種攻擊雖然不產(chǎn)生廣播包，但在響應(yīng)包大且多的情況下，針對被攻擊者的數(shù)據(jù)流量仍然特別巨大，瞬間流量可以達到每秒數(shù)GB甚至10GB，在這樣大的數(shù)據(jù)流下，被攻擊者根本無法訪問互聯(lián)網(wǎng)，而DNS系統(tǒng)也承受極大壓力。很顯然，如果DNS系統(tǒng)帶寬速率過低，那么即使小規(guī)模的“DNS放大攻擊”，都會導(dǎo)致DNS系統(tǒng)癱瘓。當(dāng)DNS系統(tǒng)監(jiān)測到異常時，可以跟ISP聯(lián)系，在入口過濾掉這種數(shù)據(jù)流。此外，帶寬速率高，給用戶的響應(yīng)時間就短，可以很好地壓縮攻擊者的處理時間，極大地提高攻擊難度。

5.應(yīng)用各類技術(shù)。

目前，針對DNS系統(tǒng)有很多技術(shù)，在提高安全效果方面比較明顯的有CDN技術(shù)、DNSSec技術(shù)和使用DNS轉(zhuǎn)發(fā)器等技術(shù)，其中DNSSec是DNS安全擴展，是由IETF提供的一系列DNS安全認證的機制，它提供了一種來源鑒定和數(shù)據(jù)完整性的擴展，但不去保障可用性、加密性和證實域名是否存在。其主要目的是通過對數(shù)據(jù)進行數(shù)字“簽名”來抵御此類攻擊，來驗證用戶所訪問的網(wǎng)站是否有效。就技術(shù)層次上講，DNSSec應(yīng)該是迄今最完善的域名設(shè)立和解析的辦法，對防范域名欺騙攻擊等安全事件是非常有效的。使用CDN技術(shù)和DNS轉(zhuǎn)發(fā)器，主要是減輕DNS系統(tǒng)處理的壓力，提高DNS服務(wù)器處理速度。

6.對DNS流量和異常數(shù)據(jù)包進行實時監(jiān)測。

監(jiān)測主要有兩種：一種是對較小的DNS響應(yīng)數(shù)據(jù)包進行監(jiān)測，這樣可以有效預(yù)防ARP欺騙攻擊，這是因為在ARP欺騙攻擊中，用戶會接收到至少兩個DNS的響應(yīng)數(shù)據(jù)包，一個是正確數(shù)據(jù)包，另一個是攻擊數(shù)據(jù)包。ARP欺騙攻擊數(shù)據(jù)包相比正確數(shù)據(jù)包結(jié)構(gòu)比較簡單，只有應(yīng)答域，不包括授權(quán)域和附加域。因此，遵循相應(yīng)的原則和模型算法可以對正誤兩種響應(yīng)包進行分辨，從而避免虛假數(shù)據(jù)包的攻擊。另一種是對DNS流量進行實時監(jiān)測，這可以有效預(yù)防DDoS攻擊，通常我們采取DNS流量閾值的方法來判斷是否發(fā)生攻擊。

7.備份域名和DNS服務(wù)器。

對一個企業(yè)或單位來說，除非必要，否則不必自己搭建和管理DNS服務(wù)器，因為無論從技術(shù)條件、管理方面都會存在一定的安全風(fēng)險，找個專業(yè)的ISP或其他專業(yè)的托管機構(gòu)來負責(zé)企業(yè)DNS是更理想的方案，雖然無法從根本上杜絕黑客DNS攻擊威脅，起碼可以保證在發(fā)生DNS攻擊時，企業(yè)或單位各種網(wǎng)絡(luò)不受影響。如果必須要搭建DNS服務(wù)器，應(yīng)準(zhǔn)備兩個以上的域名，一旦遭到DNS攻擊，用戶還可以訪問另一個域名，此外還應(yīng)對DNS服務(wù)器進行異地備份。

用戶DNS防護措施

對普通用戶而言，上網(wǎng)的安全要求一般不高，但對一些重要用戶而言，安全上網(wǎng)、防護DNS攻擊是十分必要的。

1.提高網(wǎng)速。

很多攻擊者的網(wǎng)速和DNS數(shù)據(jù)包分析處理能力遠達到不到專業(yè)DNS服務(wù)器的能力，其響應(yīng)時間也不一定很快，提高網(wǎng)速很大程度上確保正確域名響應(yīng)包比攻擊者提供的錯誤域名響應(yīng)包要快，因為監(jiān)測分析和反饋也是需要一定時間的。

2.手動設(shè)置自己的DNS服務(wù)器。

為避免一些不良ISP，可以手動設(shè)置自己的DNS服務(wù)器IP地址。

3.使用IP地址上網(wǎng)。

在國內(nèi)可以利用www.ip138.com等網(wǎng)站來查詢各域名的IP地址，這個上網(wǎng)方式雖然比較繁瑣，但是可以有效防止DNS攻擊。

4.修改自己的hosts文件。

將常用網(wǎng)站的IP地址寫入hosts文件（hosts文件位置：windows xp/2003/2008/7系統(tǒng)中c:windowssystem32driversetc），用記事本打開即可進行修改。用戶一般上網(wǎng)時，瀏覽器首先會查詢hosts文件中域名有無相應(yīng)IP地址，有則直接使用該IP地址，否則會提交DNS服務(wù)器，但這里需要注意的是使用這種方式，不能使用代理服務(wù)器上網(wǎng)，如果使用代理服務(wù)器則會直接跳轉(zhuǎn)至代理服務(wù)器所指定的DNS服務(wù)器。

5.使用一些國內(nèi)比較安全的導(dǎo)航網(wǎng)站上網(wǎng)。

國內(nèi)比較安全的知名導(dǎo)航網(wǎng)站有：http://www.hao123.com、http://www.2345.com、http://www.265.com、http://hao.qq.com、http://123.sougou.com、http://hao.#、http://site.baidu.com、http://www.155.com等。

6.其他措施。

如在局域網(wǎng)交換機內(nèi)將用戶IP地址和MAC地址進行綁定，可以有效預(yù)防ARP欺騙攻擊；同時，使用安全性高的瀏覽器上網(wǎng)，如360瀏覽器、百度瀏覽器等。

修復(fù)DNS故障

1.關(guān)閉瀏覽器。

網(wǎng)站一般都會設(shè)置Connection:keep-alive這個屬性，其目的是保持用戶長連接，避免多次連接產(chǎn)生網(wǎng)絡(luò)消耗，如果不關(guān)閉瀏覽器，客戶端會跟服務(wù)器保持長連接，只要長連接不斷開，頁面在請求的時候就不會重新解析域名。

2.查殺DNS病毒。

遇到DNS攻擊時，有超過一多半都是由于計算機感染DNS病毒造成的，所以在發(fā)現(xiàn)計算機可能遭受DNS攻擊時，可以使用專殺工具或殺毒軟件進行查殺，如360免費查殺工具等。

3.對DNS服務(wù)器進行有效驗證。

當(dāng)發(fā)現(xiàn)DNS服務(wù)可能出現(xiàn)問題時，應(yīng)對DNS服務(wù)器進行有效驗證。對連接情況進行驗證的最簡單方法就是登錄到DNS服務(wù)器上，在Windows系統(tǒng)中使用nslookup命令進行驗證，在Linux系統(tǒng)中使用dig命令進行驗證。以www.baidu.com域名為例，來驗證DNS服務(wù)是否正常。

Windows操作系統(tǒng)中，在運行中輸入cmd，在彈出的對話框中輸入：nslookup www.baidu.com,可 以看到域名和相應(yīng)的IP地址，但這是非權(quán)威應(yīng)答，不一定正確，正常應(yīng)該輸入：nslookup www.baidu.com ns3.360safe.com，這個命令的意義是使用ns3.360safe.com這個DNS服務(wù)器來解析www.baidu.com網(wǎng)站的IP地址,再利用www.ip138.com等域名查詢網(wǎng)站查找其IP地址和域名是否一致，三個結(jié)果進行比較就可以對DNS服務(wù)器進行驗證。Linux操作系統(tǒng)中，使用Dig命令：dig www.baidu.com +trace，使用trace是強制從根DNS查找，一級一級地向上遞歸查找，而不是從當(dāng)前DNS服務(wù)器上進行獲取，可以對DNS服務(wù)器進行有效驗證。

4.手動更換DNS服務(wù)器。

一般不提倡使用ISP提供的DNS服務(wù)器，可以手動設(shè)置計算機DNS服務(wù)器IP地址，以更換DNS服務(wù)器。

5.清除DNS緩存和重啟DNS服務(wù)。

清除DNS緩存，對DNS配置進行更新，在Windows操作系統(tǒng)中，在運行中輸入cmd，在彈出的對話框中輸入：ipconfig/flushdns，就可以清除DNS緩存。