DNSSEC技术原理及的应用的研究.docVIP

DNSSEC技术原理及的应用的研究 　　【摘要】　DNS作为互联网服务的重要基础设施，存在着严重的安全漏洞，近年来针对这些安全漏洞的网络攻击给DNS和互联网带来了巨大损失。基于此，本文讨论了DNS安全扩展协议问题。文中首先对DNS的安全漏洞进行了分析，然后详细介绍了DNSSEC，主要从技术原理、实施过程、验证方法等方面进行了探讨；最后，对当前全球DNSSEC部署情况及发展趋势进行了总结和预测。 　　【关键词】　DNSSEC系统；DNS系统；域名解析；域名安全 　　1 引言 　　随着互联网的飞速发展，域名系统DNS（Domain　Name　System）已成为互联网服务的重要基础设施，但它存在着严重的安全漏洞。特别是近年来，域名系统已成为公共互联网上恶意攻击的重要目标，此类攻击成功后引发的连锁后果也日益严重，给DNS和互联网带来了巨大损失。DNSSEC（DNS　Security　Extension，即DNS安全扩展），为DNS提供了安全扩展功能，支持对数据源及事务和请求的认证功能，从而在一定程度上遏制了针对域名系统的网络攻击。最近时期，国际上对DNSSEC的研究已成为一个热点问题，各个国家例如美国、俄罗斯、瑞典等，都在积极探索DNSSEC，并进行部署实施。我国国家域名“.CN”和“.中国”还未实施DNSSEC，且其他域名注册服务机构对DNSSEC的研究甚少。 　　本文在分析了DNS的主要安全漏洞后，详细介绍了DNSSEC的技术原理、实施过程和验证方法，并给出了DNSSEC全球部署状况及应用前景分析。 　　2 DNS主要安全问题 　　1983年，由牛津网络学院的Paul　Mockapetris和Jon　Postel启动了世界上第一台自动分发的域名服务系统DNS，这标志着DNS系统的诞生。正如互联网早期的许多协议一样，DNS协议在设计时并没有考虑到安全问题。所以，安全性在DNS中无法保证，事实证明DNS在其不断发展和应用过程中暴漏了许多安全漏洞，并出现了一些有针对性的DNS安全攻击。 　　其实早在1985年，贝尔实验室的一个人就发表了一篇文章指出DNS存在的安全漏洞，并给出了如何通过对DNS的攻击来控制一台主机操作的详细步骤，但当时处于对互联网安全的考虑，这篇文章在1995年后才被公开。2008年7月，美国IOActive网络安全公司著名的计算机安全研究专家Dan　Kaminsky公布了DNS系统的一个非常严重的漏洞，该漏洞会导致攻击者轻松地伪造像银行、Google、Gamil等任何一个网站，黑客利用该DNS漏洞可能在10秒之内发起一个“DNS　Cache　Posion”（DNS缓存中毒）攻击，利用被攻击的DNS服务器能够将用户引导到恶意网站，这就是著名的“Kaminsky事件”。随后，全球一些知名公司和信息安全专家也纷纷公布了大量的DNS缓存中毒攻击事件。分析总结，DNS的安全漏洞主要如下几类，在域名服务系统的各环节存在漏洞示意如图1所示。 　　（1）　DNS缓存污染（DNS　Cache　Poisoning）； 　　（2）　DNS放大攻击（DNS　Amplification　Attack）； 　　（3）　DNS客户洪泛攻击（Client　Flooding）； 　　（4）　DNS动态更新攻击（DNS　Dynamic　Update　Vulnerabilities）； 　　（5）　域名欺诈（Domain　name　Phishing）。 　　3 DNSSEC技术原理及实施 　　3.1 技术原理 　　3.3 实施验证 　　递归和权威域名服务器DNSSEC生效后，选择一个信任锚中有的区或者它下一级的域名，在递归服务器上用dig测试验证是否生效，例如： 　　dig　@218.241.108.18　example.cn　+dnssec或 　　dig　@218.241.108.18　test1.example.cn　+dnssec 　　如果配置正确，应该返回解析结果和相应的RRSIG记录，以及flag字段中应有AD字段标识位，标识DNSSEC相关的数字签名验证是成功。 　　4 DNSSEC应用状况 　　自2010年以来，全球域名DNSSEC的实施工作逐步加快，域名根服务器和各通用顶级域纷纷实施DNSSEC。但考虑到域名系统在互联网基础资源中的重要地位，大规模的DNSSEC部署仍然非常谨慎，整个域名服务体系全部实施DNSSEC在近期还不可能完成。 　　根实施DNSSEC是ICANN联合Verisign，并在美国商务部支持下历时8个月时间，于2011年7月15日正式公布DNSSEC信任描点，完成部署工作；截止2012年10月份，全球顶级域名共有316个，其中实施DNSSEC的有104个。从图4可以看出来，