DNS 欺骗原理及其防御的方案.docVIP

DNS 欺骗原理及其防御的方案 　　【摘 要】针对DNS欺骗表现出的危害性大、隐蔽性强的特点，通过对DNS ID欺骗攻击及DNS缓存中毒攻击的原理进行剖析，应用概率学理论证明了“生日攻击”的危害，分别给出相应的防御方案。对于不同类型的用户可以根据自身的条件和对信息安全要求级别的高低，采用适合自己的应对方案。 　　【关键词】DNS 欺骗；ARP欺骗；DNS ID欺骗；DNS缓存中毒；生日攻击 　　0.概述 　　域名系统（Domain Name System，DNS）是一个可以将域名和IP地址相互映射的分布式数据库。目前，针对DNS协议存在的问题，很多专家给出了解决办法。IETF 提出的域名系统的安全协议（Domain NameSystem Security，DNSSEC）旨在解决DNS的安全问题， 但由于需要占用更多的系统开销和网络资源，还要对相应的数据库和系统管理软件进行升级， 并且新的软件尚处于测试阶段，离DNSSEC普及性地应用还有一定的距离。现在，主要的应对办法是升级DNS软件和加强服务器的安全配置，除此之外，尚未发现较有效的防范措施。 　　以侦听为基础的DNS欺骗（DNS spoofing）和DNS缓存中毒（DNS cache poisoning）对目标主机都具有欺骗性质， 本文把这2种攻击方式都列入DNS欺骗攻击并加以讨论。为了予以区分，把前者称之为 DNS ID欺骗（DNS ID spoofing），并且尝试分别给出2类攻击的应对方案。针对DNS 协议的攻击还有很多，诸如“洪水”攻击和服务器攻陷等其他攻击手段不在本文研究范围之内。 　　1.DNS服务原理 　　DNS服务的工作原理：如果某用户需要对域名 进行解析，以得到其相应的IP地址；而且假定本地DNS服务器不是目标域名授权DNS服务器和其缓存中没有相应的记录。 　　2.DNS ID欺骗攻击及其防御方案 　　2.1 DNS ID欺骗攻击原理 　　DNS ID欺骗以监听ID和端口号为基础，如果是在交换机搭建的网络环境下，欺骗者首先要向攻击目标实施ARP欺骗。以下是一个 DNS ID欺骗（DNS ID spoofing）的实例。假设用户、欺骗者和DNS服务器同在一个局域网内。 　　攻击流程如下： 　　①欺骗者通过向攻击目标以一定的频率发送伪造ARP应答包改写目标机的ARP cache中的内容，并通过IP续传使数据流过欺骗者的主机再流向目的地；欺骗者配合 Sniffer 软件监听DNS请求包，取得 ID和端口号。 　　②欺骗者取得ID和端口号后，立即向攻击目标发送相应的伪造 DNS应答包，用户收到后确认ID和端口号无误，以为收到正确的 DNS应答包； 而其实际的地址很可能被导向攻击者想让用户访问的恶意网站， 用户的信息安全受到威胁。 　　③用户再次收到DNS服务器发来的DNS应答包，由于晚于伪造的DNS应答包，因此被用户抛弃；用户的访问被导向攻击者设计的地址，一次完整的 DNS ID欺骗完成。 　　2.2防御方法 　　根据此种攻击的特点，有以下的应对方案可以考虑： 　　（1）对少数信息安全级别要求高的网站避免使用DNS。因为 DNS 欺骗中相当一部分的目的是窃取用户的私密信息， 而对于大部分用户而言，其访问网站中的大多数都不涉及此类信息， 所以在访问涉及个人私密信息的网站时（比如通过网上银行进行交易），可以直接通过 IP地址访问，这样就可以绕开DNS服务，DNS欺骗自然无从谈起，其危害性就大大降低了。因为涉及敏感信息的网站只占很少的一部分，对于绝大多数用户而言， 这种方法几乎不会对其使用产生什么影响；又由于大部分用户受自身条件所限，不足以对所处的网络环境产生什么影响，并且对信息安全要求不是太高，因此该方法不失为一种简单有效的方法， 而且对于所有涉及DNS的攻击均有效。 　　（2）防范ARP攻击。因为此类攻击需要以ARP欺骗为基础，所以较为直接的方法是谨防受到ARP欺骗攻击。避免了ARP攻击的可能，自然就无法进行DNS ID欺骗。 　　3.DNS缓存中毒攻击及其防御方案 　　3.1 DNS缓存中毒原理 　　在不得到ID和端口号的情况下不可能完成DNS欺骗攻击。原理是，如果在已知端口号的前提下，通过发送大量的DNS应答包来猜测攻击目标的DNS 请求包的ID号，如果所发送的伪造应答包中存在和请求包的 ID一致的情况， 也就是产生了所谓的“碰撞”，则欺骗成功。16位的ID号取值范围为0～65535，共有65536种可能性，想要使其攻击的成功率可以达到 50%，至少需要发送32768个完全不同ID号的应答包。如果不知道端口号，ID和端口号的组合空间比原来扩大了6万多倍，相应的攻击成功率也就极大地降低了。不幸的是，有很多的 DNS服务器的