保護(hù)DNS的安全

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

2009年5月19日19點(diǎn)左右，江蘇、安徽、廣西、海南、甘肅、浙江等6省網(wǎng)絡(luò)用戶訪問(wèn)網(wǎng)站速度突然變慢甚至無(wú)法訪問(wèn)。5月20日，廣東省也出現(xiàn)類(lèi)似情況。連續(xù)兩天國(guó)內(nèi)出現(xiàn)大面積斷網(wǎng)事件，引起有關(guān)部門(mén)的高度重視。經(jīng)查，事故的原因是一臺(tái)承擔(dān)域名解析任務(wù)的DNS服務(wù)器受到了攻擊。這起事件再次提醒我們域名系統(tǒng)的脆弱性。

6省斷網(wǎng)源于DNS

據(jù)媒體報(bào)道，5月19日～20日的網(wǎng)絡(luò)癱瘓起因是網(wǎng)絡(luò)私服之間的競(jìng)爭(zhēng)。為了威懾同行，一個(gè)私服的擁有者向?yàn)椴簧偎椒峁┯蛎馕龅腄NSPod服務(wù)器發(fā)起了攻擊，其目的是讓這臺(tái)服務(wù)器癱瘓，從而使得用戶將無(wú)法找到與之有競(jìng)爭(zhēng)關(guān)系的私服。

位于常州電信某機(jī)房的這臺(tái)DNS服務(wù)器采用的是國(guó)內(nèi)一款免費(fèi)DNS(域名系統(tǒng))產(chǎn)品DNSPod，它同時(shí)為電信、網(wǎng)通、教育網(wǎng)服務(wù)器的網(wǎng)站提供域名解析，讓電信用戶訪問(wèn)電信的服務(wù)器，網(wǎng)通的用戶訪問(wèn)網(wǎng)通的服務(wù)器，達(dá)到互聯(lián)互通的效果。暴風(fēng)影音也是DNSPod服務(wù)對(duì)象之一。由于域名服務(wù)商DNSPod的DNS服務(wù)器遭遇惡意攻擊最終癱瘓，使得其服務(wù)對(duì)象暴風(fēng)影音等網(wǎng)站用戶提交的訪問(wèn)無(wú)法找到正確服務(wù)器，訪問(wèn)申請(qǐng)大量積累導(dǎo)致電信網(wǎng)絡(luò)無(wú)法處理，最終引發(fā)網(wǎng)絡(luò)癱瘓。

之所以這臺(tái)DNS服務(wù)器受到攻擊就會(huì)“鬧出如此大的動(dòng)靜”，是由DNS在互聯(lián)網(wǎng)體系中的重要地位所決定的。DNS是為Internet上的主機(jī)分配域名地址（如泛普軟件www.ccw.com.cn）和IP（如119.254.2.*）地址的系統(tǒng)。它的作用，簡(jiǎn)單地說(shuō)，就是當(dāng)我們?cè)跒g覽器中輸入域名地址時(shí)，該系統(tǒng)會(huì)自動(dòng)把域名地址轉(zhuǎn)為IP地址。只要是有一定網(wǎng)絡(luò)規(guī)模的組織以及Internet的服務(wù)提供商都要部署DNS，正是由于DNS在Internet網(wǎng)絡(luò)中的這種地位，不法用戶或者黑客只要攻擊DNS服務(wù)器使其無(wú)法正常工作，就可讓大量用戶無(wú)法正常使用網(wǎng)絡(luò)，就如5月份的6省斷網(wǎng)事件一樣。

脆弱的系統(tǒng)難抵網(wǎng)絡(luò)威脅

DNS最早是由保羅·莫卡派喬斯（Paul Mockapetris）于1983年發(fā)明的，由于受當(dāng)時(shí)條件限制，其系統(tǒng)設(shè)計(jì)存在很多缺陷:

1. 單點(diǎn)故障。DNS采用層次化的樹(shù)形結(jié)構(gòu)，由樹(shù)葉走向樹(shù)根就可以形成—個(gè)全域名（Fully Qualified Domain Name，F(xiàn)QDN），DNS服務(wù)器作為該FQDN唯一對(duì)外的域名數(shù)據(jù)庫(kù)和對(duì)內(nèi)部提供遞歸域名查詢的系統(tǒng)，其安全和穩(wěn)定就存在單點(diǎn)故障風(fēng)險(xiǎn)。

2. 無(wú)認(rèn)證機(jī)制。DNS沒(méi)有提供認(rèn)證機(jī)制，查詢者在收到應(yīng)答時(shí)無(wú)法確認(rèn)應(yīng)答信息的真假，黑客可以將一個(gè)虛假的IP地址作為應(yīng)答信息返回給請(qǐng)求者，從而引發(fā)DNS欺騙。

3. DNS本身的漏洞。DNS是域名軟件，它在提供高效服務(wù)的同時(shí)也存在許多安全性漏洞?，F(xiàn)已證明在DNS版本4和8上存在缺陷，攻擊者利用這些缺陷能成功地進(jìn)行DNS欺騙攻擊。

而另一方面，DNS又面臨著來(lái)自網(wǎng)絡(luò)的各種威脅，黑客利用DNS協(xié)議或者軟件設(shè)計(jì)的漏洞，通過(guò)網(wǎng)絡(luò)向DNS發(fā)起攻擊以達(dá)到非法目的。攻擊主要包括如下幾種:

1. 內(nèi)部攻擊。攻擊者在非法或合法地控制一臺(tái)DNS服務(wù)器后，可以直接操作域名數(shù)據(jù)庫(kù)，修改指定域名所對(duì)應(yīng)的IP，當(dāng)客戶發(fā)出對(duì)指定域名的查詢請(qǐng)求后，將得到偽造的IP地址。

2. 序列號(hào)攻擊。DNS協(xié)議格式中定義了用來(lái)匹配請(qǐng)求數(shù)據(jù)包和響應(yīng)數(shù)據(jù)報(bào)序列ID，欺騙者利用序列號(hào)偽裝成DNS服務(wù)器向客戶端發(fā)送DNS響應(yīng)數(shù)據(jù)包，在DNS服務(wù)器發(fā)送的真實(shí)DNS響應(yīng)數(shù)據(jù)報(bào)之前到達(dá)客戶端，從而將客戶端帶到攻擊者所希望的網(wǎng)站，進(jìn)行DNS欺騙。

3. 信息插入攻擊。攻擊者可以在DNS應(yīng)答報(bào)文中隨意添加某些信息，指示權(quán)威域名服務(wù)器的域名及IP，如果在被影響的域名服務(wù)器上查詢?cè)撚虻恼?qǐng)求都會(huì)被轉(zhuǎn)向攻擊者所指定的域名服務(wù)器上去，從而威脅到網(wǎng)絡(luò)數(shù)據(jù)的完整性。

4. 緩存中毒。DNS使用超高速緩存，當(dāng)一個(gè)名字服務(wù)器收到有關(guān)域名和IP的映射信息時(shí)，它會(huì)將該信息存放在高速緩存中。這種映射表是動(dòng)態(tài)更新的，但刷新有一個(gè)周期，假冒者如果在下次更新之前成功修改了這個(gè)映射表，就可以進(jìn)行DNS欺騙。

5. 信息泄漏。DNS的缺省設(shè)置允許任何人進(jìn)行區(qū)傳送(區(qū)傳送一般用于主服務(wù)器和輔服務(wù)器之間的數(shù)據(jù)同步)，而區(qū)傳送可能會(huì)造成信息泄漏。

6. 不安全的動(dòng)態(tài)更新。隨著動(dòng)態(tài)主機(jī)配置協(xié)議（DHCP）的出現(xiàn)，客戶計(jì)算機(jī)由DHCP服務(wù)器動(dòng)態(tài)分配IP地址，使原來(lái)手工更新其A（Address）記錄和PTR（反向解析）記錄變得很難管理，為此提出了DNS的動(dòng)態(tài)更新，即DNS客戶端在IP地址或名稱出現(xiàn)更改的任何時(shí)候都可利用DNS服務(wù)器來(lái)注冊(cè)和動(dòng)態(tài)更新其資源記錄。但黑客可以利用IP欺騙偽裝成DNS服務(wù)器信任的主機(jī)對(duì)區(qū)數(shù)據(jù)進(jìn)行添加、刪除和替換。

如何保護(hù)好自己的DNS

為了保護(hù)好企業(yè)自己的DNS系統(tǒng)，這里提出如下建議:

1. 配置輔助域名服務(wù)器進(jìn)行冗余備份。輔助服務(wù)器可從主服務(wù)器中復(fù)制一整套域信息。

2. 配置高速緩存服務(wù)器緩解DNS訪問(wèn)壓力。高速緩存服務(wù)器可運(yùn)行域名服務(wù)器軟件，但是沒(méi)有域名數(shù)據(jù)庫(kù)軟件。它從某個(gè)遠(yuǎn)程服務(wù)器取得每次域名服務(wù)器查詢的結(jié)果，將它放在高速緩存中，以后查詢相同的信息時(shí)就可以直接回答。

3. 配置DNS負(fù)載均衡。DNS負(fù)載均衡技術(shù)是在DNS服務(wù)器中為同一個(gè)主機(jī)名配置多個(gè)IP地址，在應(yīng)答DNS查詢時(shí)，將以DNS文件中主機(jī)記錄的IP地址按順序返回不同的解析結(jié)果，從而將客戶端的訪問(wèn)引導(dǎo)到不同的機(jī)器上去，達(dá)到負(fù)載均衡的目的。

4. 使用工具進(jìn)行DNS配置文件檢查。有一些工具可以檢查DNS配置文件，如開(kāi)源軟件Dlint，可以檢查配置文件是否存在拼寫(xiě)錯(cuò)誤，檢查配置文件中是否有A（Address）記錄的主機(jī)名稱都有配套的PTR（反向解析）記錄等。