DNS服务器安全防范体系的建立.docVIP

DNS系统(服务器)的工作原理及攻击防护方法论 国际著名网络安全专家Roland Dobbins曾说过，域名系统就像是“空气”，平时我们感觉不到它的存在，但是一旦出现问题，其影响可能是“致命”的。近年来的“163.net域名劫持”事件、“域名劫持”事件、“Google域名劫持”事件、“twitter域名劫持”事件、“百度域名劫持”事件以及“暴风影音断网门”都说明了域名系统安全性面临的巨大风险以及在安全性遭受到破坏时将会导致的巨大损失。那么，为什么长久以来DNS系统总是会遭受到类似域名劫持的攻击呢？本文尝试从技术角度对域名系统的安全性进行分析及建议。 本文第一部分简要介绍了域名系统（DNS）的概念和基本原理，第二部分分析了DNS系统易遭受的各种攻击。第三部分综述了目前已有的安全解决方案，第四部分进行了总结。 一、 概述 DNS系统 DNS是英文Domain Name System（域名系统）的缩写，它是一种可以将域名和IP地址相互映射的以层次结构分布的数据库系统，为互联网的运行提供关键性的基础服务。各种基于域名的Web访问，email系统、文件共享系统等都依靠DNS服务得以正常实现。DNS系统采用备份技术和缓存技术保证了数据库运行的可靠性和服务速率。 DNS服务原理 DNS系统采用递归查询请求的方式来响应用户的查询。 下面引用老师的课件插图来进行说明： 1） 用户向DNS 客户端发送DNS请求，客户端先查看本地缓存，如果缓存中有该域名，则直接返回给用户；客户端若没有域名的相关缓存，则向本地域名服务器提出解析请求。 2） 本地域名服务器在收到请求后，先查看缓存，若缓存中有相关记录，则应答客户端的请求；否则，本地域名服务器直接向根域名服务器提出请求。 3） 根域名服务器接到请求后，将包含有所需解释的域名的顶级域名服务器返回给本地域名服务器。 4） 本地域名服务器根据根域名服务器的返回结果，向顶级域名服务器发送请求。 5） 顶级域名服务器接到请求后，将包含所查询的域名的域名服务器返回给本地域名服务器。 6） 本地域名服务器根据返回结果连接包含域名的域名服务器，得到查询结果， 然后将查询结果缓存，并向客户端应答。 7） 客户端接到应答后，将查询结果缓存，然后向用户应答。 二、 安全威胁 DNS的安全威胁主要可分为几种：DNS欺骗、分布式拒绝服务攻击、DNS软件漏洞攻击、管理缺陷等。下面分别对这几类攻击进行介绍。 DNS欺骗 DNS的查询请求是基于UDP的，DNS客户端会接受首先到达的DNS应答包，而将后到达的DNS应答包当作是冗余包简单丢弃掉。客户端对DNS应答包的验证仅通过随机发送的查询ID和UDP端口号，除此之外没有任何的验证。这就给DNS欺骗提供了机会。 1、DNS ID欺骗 DNS ID欺骗中的攻击者必须跟用户处于同一个局域网内。 攻击流程： 1） Arp欺骗。欺骗者向用户发送伪造的arp应答报文，更新用户本地的arp缓存，使用户认为欺骗者为网关。这样，在用户向本地DNS服务器发送请求时，数据的流向就改为用户—欺骗者—网关—本地DNS服务器。欺骗者通过sniffer软件，嗅探到DNS请求包的ID和端口号。 2） 欺骗者利用得到的ID和端口号，优先向用户发送伪造DNS应答，用户在对ID和端口号进行核对后认为是正确的应答。此时用户访问的域名已经被替换为欺骗者伪造的IP。 3） 本地DNS服务器发送的真的DNS应答包因为晚于伪造包，用户收到后丢弃。至此，DNS ID欺骗攻击完成。 2、DNS缓存中毒 当攻击者与用户不是处于同一个局域网时，攻击者无法得到DNS请求报文的ID与端口号，“生日攻击”就是在这种情况下的对DNS缓存的一种攻击方式。 攻击流程如下： 1、 攻击者向DNS服务器发送一定数量的DNS请求包，请求的DNS选择该DNS服务器解析不了的，这样的情况下，DNS服务器会向上层DNS服务器发出相同数量的请求。 2、 攻击者快速向DNS服务器发送一定数量的伪造的DNS应答包，其中ID和端口号为随机的，当ID和端口号与正确的相碰撞时，缓存攻击成功。DNS服务器将错误的DNS解析项缓存，这样，所有DNS请求都将导向攻击者伪造的IP地址。 “生日悖论”的数学模型可以证明，一次成功的攻击所需发送伪造包的数量并不多，即是说“生日攻击”是易于发动，也易于成功的。 分布式拒绝服务攻击 攻击者通过控制的“僵尸网络”（