6.2DNS的安全性.ppt

* 第6章 Internet的基础设施安全 6.2 DNS的安全性 域名系统（DNS）是一种用于TCP/IP应用程序的分布式数据库，它提供主机名字和IP地址之间的转换信息。通常，网络用户通过UDP协议与DNS服务器进行通信，而服务器在特定的53端口监听，并返回用户所需的相关信息，这是“正向域名解析”的过程。“反向域名解析”也是一个查询DNS的过程。当客户向一台服务器请求服务时，服务器方一般会根据客户的IP反向解析出该IP对应的域名。  6.2.1 目前DNS存在的安全威胁 1. DNS的安全隐患 (1) 防火墙一般不会限制对DNS的访问； (2) DNS可以泄漏内部的网络拓扑结构； (3) DNS存在许多简单有效的远程缓冲溢出攻击； (4) 几乎所有的网站都需要DNS； (5) DNS的本身性能问题是关系到整个应用的关键。 2. DNS的安全威胁 (1) 拒绝服务攻击。 (2) 设置不当的DNS会泄漏过多的网络拓扑结构。 如果你的DNS服务器允许对任何人都进行区域传输的话， 那么你的整个网络架构中的主机名、主机IP列表、 路由器名、 路由器IP列表，甚至包括你的机器所在的位置等等都可以被轻易窃取。 (3) 利用被控制的DNS服务器入侵整个网络， 破坏整个网络的安全完整性。 当一个入侵者控制了DNS服务器后， 他就可以随意篡改DNS的记录信息，甚至使用这些被篡改的记录信息来达到进一步入侵整个网络的目的。例如，将现有的DNS记录中的主机信息修改成被攻击者自己控制的主机，这样所有到达原来目的地的数据包将被重定位到入侵者手中。在国外，这种攻击方法有一个很形象的名称，被称为DNS毒药，因为DNS带来的威胁会使得整个网络系统中毒，破坏完整性。 (4) 利用被控制的DNS服务器，绕过防火墙等其它安全设备的控制。现在一般的网站都设置有防火墙，但是由于DNS服务的特殊性，在UNIX机器上，DNS需要的端口是UDP 53和TCP 53， 它们都是需要使用root执行权限的。这样防火墙很难控制对这些端口的访问，入侵者可以利用DNS的诸多漏洞获取到DNS服务器的管理员权限。  如果内部网络的设置不合理，例如DNS服务器上的管理员密码和内部主机管理员密码一致，那么，DNS服务器和内部其它主机就处于同一个网段， DNS服务器也就处于防火墙的可信任区域内， 这就相当于给入侵者提供了一个打开系统大门的捷径。 6.2.2 Windows下DNS欺骗 局域网内的网络安全是一个值得大家关注的问题，往往容易发起各种欺骗攻击， 这是局域网自身的属性所决定的——网络共享。 这里所说的DNS欺骗是基于ARP欺骗之上的网络攻击，如果在广域网上，则比较麻烦。  1. DNS欺骗的原理 让我们换个思路，如果客户机在进行DNS查询时，能够允许它给出我们的应答信息，结果会怎样呢？这就是著名的DNS ID欺骗（DNS Spoofing）。 在DNS数据报头部的ID（标识）是用来匹配响应和请求数据报的。现在，让我们来看看域名解析的整个过程。客户端首先以特定的标识向DNS服务器发送域名查询数据报，在DNS服务器查询之后以相同的ID号给客户端发送域名响应数据报。这时客户端会将收到的DNS响应数据报的ID和自己发送的查询数据报ID相比较，如果匹配则表明接收到的正是自己等待的数据报，如果不匹配则丢弃之。 假如我们能够伪装DNS服务器提前向客户端发送响应数据报， 那么客户端的DNS缓存里域名所对应的IP就是我们自定义的IP了， 同时客户端也就被带到了我们希望的网站。条件只有一个， 那就是我们发送的ID匹配的DNS响应数据报在DNS服务器发送的响应数据报之前到达客户端。欺骗原理见图6.2所示。 图 6.2 DNS欺骗原理 2. DNS欺骗的实现 现在我们知道了DNS ID欺骗的实质了， 那么如何才能实现呢？这要分两种情况。 (1) 本地主机与DNS服务器，本地主机与客户端主机均不在同一个局域网内，方法有以下几种： 向客户端主机随机发送大量DNS响应数据报，命中率很低；向DNS服务器发起拒绝服务攻击， 太粗鲁； BIND漏洞， 使用范围比较窄。 (2) 本地主机至少与DNS服务器或客户端主机中的某一台处在同一个局域网内。我们可以通过ARP欺骗来实现可靠而稳定的DNS ID欺骗，下面我们将详细讨论这种情况。  首先我们进行DNS ID欺骗的基础是ARP欺骗，也就是在局域网内