Linux应用使用TSIG和DNSSEC加固域名服务器.doc

Linux应用使用TSIG和DNSSEC加固域名服务器 一、DNS服务器的重要性 DNS是因特网建设的基础，几乎所有的网络应用，都必须依赖DNS系统做网址查询的指引动作。如果DNS系统运作不正常，即使Web服务器都完好如 初，防火墙系统都善尽其职，相关的后端应用服务器以及数据库系统运作正常，因为无法在期限时间内查得到网址，将会导致电子邮件无法传递，想要使用网域名称 去连接某个网页，也会因查不出网络地址，以致联机失败。2001年1月24日，美国微软公司所管理的相关网络系统，遭受网络黑客的拒绝服务攻击后导致全球 各地的用户接近24小时的时间无法连上该公司相关的网站，造成该公司相当严重的商业损失。根据以往的经验之中，网络攻击的对象多数主要集中在控制网络路由 的设备(路由器，防火墙等)和各类应用服务器(Web、邮件等)。因此，目前多数的网络系统安全保护，通常都集中在路由设备和应用服务器本身。然而，这一 次的微软公司被攻击事件，与以往其它网站攻击事件的最大不同，就在于这一次被攻击的对象是DNS服务器而不是WEB服务器本身。这次的事件宣告另一种新型 的网络攻击类别，往后将可能成为常态。 互联网上DNS服务器的事实标准就是ISC（/ ）公司的Berkeley Internert Name Domain(BIND)，它具有广泛的使用基础，互联网上的绝大多数DNS服务器都是基于这个软件的。Netcraft在域名服务器上的统计 (/ )显示 2003年第二季度进行的一个调查发现，在互联网上运行着的DNS服务器中，ISC的BIND占据了95%的市场份额。互联网是由很多不可见的基础构件组 成。这其中就包含了DNS，它给用户提供了易于记忆的机器名称(比如)，并且将它们翻译成数字地址的形式。对于那些用于公共服务的机器一 般还提供“反向查询”的功能，这种功能可以把数字转换成名字。由于历史的原因，这种功能使用的是被隐藏的“”域。对in- addr域的调查，可以让我们更加了解整个Internet是如何运作的。Bill Manning对in-addr域的调查发现，有95%的域名服务器(2的2000次方个服务器中)使用的是各种版本的“bind”。这其中包括了所有的 DNS根服务器，而这些根服务器对整个服务器的正常运转起着至关重要的作用。如何能加强确保 DNS 系统的运作正常， 或者当DNS系统在遭受网络攻击时候， 能够让管理者及早发现是日益重要的系统安全的课题。首先我们要了解DNS服务面临的安全问题。 二、DNS服务面临的安全问题： DNS服务面临的安全问题主要包括：DNS欺骗（DNS Spoffing）、拒绝服务（Denial of service，DoS）攻击、分布式拒绝服务攻击和缓冲区漏洞溢出攻击（Buffer Overflow）。 1、DNS欺骗 DNS欺骗即域名信息欺骗是最常见的DNS安全问题。当一个DNS服务器掉入陷阱，使用了来自一个恶意DNS服务器的错误信息，那么该DNS服务器 就被欺骗了。DNS欺骗会使那些易受攻击的DNS服务器产生许多安全问题，例如：将用户引导到错误的互联网站点，或者发送一个电子邮件到一个未经授权的邮 件服务器。网络攻击者通常通过三种方法进行DNS欺骗。图1是一个典型的DNS欺骗的示意图。 图1 典型DNS欺骗过程 （1）缓存感染 黑客会熟练的使用DNS请求，将数据放入一个没有设防的DNS服务器的缓存当中。这些缓存信息会在客户进行DNS访问时返回给客户，从而将客户引导到入侵者所设置的运行木马的Web服务器或邮件服务器上，然后黑客从这些服务器上获取用户信息。 （2）DNS信息劫持 入侵者通过监听客户端和DNS服务器的对话，通过猜测服务器响应给客户端的DNS查询ID。每个DNS报文包括一个相关联的16位ID号，DNS服务器根据这个ID号获取请求源位置。黑客在DNS服务器之前将虚假的响应交给用户，从而欺骗客户端去访问恶意的网站。 （3）DNS复位定向 攻击者能够将DNS名称查询复位向到恶意DNS服务器。这样攻击者可以获得DNS服务器的写权限。 2、拒绝服务攻击 黑客主要利用一些DNS软件的漏洞，如在BIND 9版本（版本9.2.0以前的 9系列）如果有人向运行BIND的设备发送特定的DNS数据包请求，BIND就会自动关闭。攻击者只能使BIND关闭，而无法在服务器上执行任意命令。如 果得不到DNS服务，那么就会产生一场灾难：由于网址不能解析为IP地址，用户将无方访问互联网。这样，DNS产生的问题就好像是互联网本身所产生的问 题，这将导致大量的混乱。 3、分布式拒绝服务攻击 DDOS 攻击通过使用攻击者控制的几十台或几百台计算机攻击一台主机，使得服务拒绝攻击更难以防范：使服务拒绝攻击更难以通过阻塞单一攻击源主机的数据流，来防范服务拒绝攻击。