浅析DNS攻击与防范.docVIP

浅析DNS攻击与防范 　　摘 要：DNS是Internet的基本支撑，其安全性对整个Internet的运行起着举足轻重的作用。随着互联网应用的不断深化，DNS已成为网络攻击的热点目标。本文从DNS的工作原理出发，解析了DNS面临的安全威胁与受到的常见攻击，并提出了相应的防范方法。 　　关键词：DNS；网络攻击；防范技术 　　1 引言 　　DNS（Domain Name System）域名系统，提供了Internet的底层基础服务，它实现了将网络域名映射为网络IP地址，因此其安全性对整个Internet的安全性起着十分重要的作用。DNS作为当今全球最大、最复杂的分布式层次数据库系统，由于其开放、庞大、复杂的特性以及设计之初对于安全性的考虑不足，再加上人为的攻击和破坏，DNS已面临非常严重的安全威胁。 　　2 DNS的工作原理 　　DNS是为了实现域名和IP地址之间的转换，它的工作原理就是在域名与IP地址两者之间进行相互的映射，起到相当于翻译的作用。DNS可分为Server和Client两部分，当Client向Server发出域名的解析请求时，本地的Server先查询自己的数据库是否存在需要的内容，如果有则发送应答数据包并给出相应的结果，否则它将向上一层Server进行查询。如此不断查询，直至找到相应的结果或将查询失败的信息反馈给Client。DNS具体的工作流程如下： 　　（1）Client首先向本地的Server发出查询请求，如要查询解析域名为的IP地址； 　　（2）本地Server如没有对应的记录，转而向根Server寻求帮助； 　　（3）根Server返回com域的Server地址； 　　（4）本地Server向com域的Server发出域名解析请求； 　　（5）com域的Server返回域的Server地址； 　　（6）本地Server继续向域的Server发出域名解析请求； 　　（7）域的Server向本地Server返回域名为的IP地址查询结果； 　　（8）本地Server向Client成功返回域名的解析结果，并且更新本地Server的缓存记录。 　　从上述DNS的工作流程中我们可以看到DNS的服务机制具有以下的漏洞和不足： 　　（1）DNS容易成为暴露用户行为的工具； 　　（2）Internet的DNS体系无法承受加密带来的开销和技术升级的成本； 　　（3）迭代查询，对根域与顶级域服务器的依赖非常严重； 　　（4）DNS主要使用无连接的UDP协议明文传送，很容易被伪造投毒； 　　（5）明文传输的DNS不具备任何保密性； 　　（6）DNS服务器具有软件漏洞。 　　3 常见的DNS攻击 　　由于DNS已成为了网络攻击的热门目标，因此也成为了互联网网络安全的一个十分重大的隐患。网络攻击者们通过攻击DNS达到了利用最少的成本，获得最大的效益，利用最少的资源，发起最有破坏力的攻击的目标，而且其攻击也可以轻而易举地绕过严密的安全监控和防护。如在2010年1月，网络攻击者们修改了百度的域名指向，以致百度网站出现无法访问的情况；2011年3月，网络攻击者们利用Bind 9软件出现的漏洞，使得部分DNS服务无法正常解析.com的域名。比较常见的DNS攻击有缓存投毒、DNS欺骗和DDoS攻击等，具体分析如下： 　　3.1 缓存投毒 　　缓存投毒是通过控制DNS的缓存服务器，把用户从原本需要访问的网站带到其它的网站，从而实现黑客的目的。缓存投毒实现的方式主要有两种： 　　3.1.1 攻击或控制用户ISP端的DNS缓存服务器的漏洞，将该ISP内的用户访问域名的响应结果改变； 　　3.1.2 利用权威域名服务器上的漏洞，在用户权威域名服务器同时被当作缓存服务器使用时，就可以实施缓存投毒，将错误的域名纪录存入服务器的缓存当中，使所有使用该服务器的用户得到的都是错误的DNS解析结果。从网络拓扑的角度来看，缓存投毒针对的DNS服务器是最接近用户的服务器，因此对这些服务器的攻击将会直接影响到连接这些服务器的所有用户。 　　3.2 DNS欺骗 　　DNS 欺骗是局域网常见的一种DNS攻击方式，是冒充域名服务器进行的一种欺骗行为。网络攻击者在DNS服务器响应之前先将虚假的响应结果交给用户，从而通过欺骗的手段使用户去访问恶意的网站。假设当用户提交给DNS服务器的域名解析请求报文数据包被截获，然后按网络攻击者的意图将一个虚假的IP地址作为应答信息返回给用户，用户就会把这个虚假的IP地址作为他所要的IP地址而进行访问，这样他就会被不知不觉地被欺骗到了网络攻击者想要其访问的那个网站，从而实现了DNS欺骗。 　　3.3 DDoS攻击 　　DDoS攻击主要有两种实现方式： 　　3.3.1 针对DNS