DNS欺骗攻击及其防护的研究.docVIP

DNS欺骗攻击及其防护的研究 　　摘 要：DNS是计算机用户访问网站使用的域名地址解析系统。DNS欺骗则是攻击者常见的攻击手段。从DNS的服务工作过程入手，分析了DNS的欺骗原理，探讨了防止DNS欺骗攻击的技术方法。 　　? 　　关键词：DNS；欺骗攻击；防护研究? 　　中图分类号：TP309 文献标识码：A 文章编号：1672-7800（2012）003-0138-03?? 　　? 　　作者简介：王伟(1978-)，男，山西新绛人，硕士，西安财经学院信息与教育技术中心工程师，研究方向为计算机信息系统、网络管理与安全。 　　 　　 　　0 引言? 　　域名系统(Domain Name System,DNS)是一个将Domain Name和IP Address进行互相映射的Distributed Database。DNS是网络应用的基础设施，它的安全性对于互联网的安全有着举足轻重的影响。但是由于DNS Protocol在自身设计方面存在缺陷，安全保护和认证机制不健全，造成DNS自身存在较多安全隐患，导致其很容易遭受攻击。很多专家就DNS Protocol的安全缺陷提出了很多技术解决方案。例如IETF提出的域名系统安全协议(Domain Name System Security,DNSSEC)，其目标就在于解决这些安全隐患。这个Protocol增加了安全认证项目，增强了Protocol自身的安全功能。但是新增加的安全机制需要占用更多的系统和网络资源，同时要升级Database和System Manggament Software,这些基于DNSSEC协议的软件还不成熟，距离普及应用还有较长时间。目前，常见的措施是定期升级DNS软件和加强相关的安全配置，禁用不安全的端口等。本文对以侦听为基础的DNS ID欺骗(DNS ID spoofing)进行了探讨，并提出了相关的防护解决方案。? 　　1 DNS SERVER的服务工作过程? 　　DNS是一种实现Domain Name和IP Address之间转换的系统，它的工作原理就是在两者间进行相互映射，相当于起到翻译作用，所以称为域名解析系统。DNS System分为Server和Client两部分，Server的通用Port是53。当Client向Server发出解析请求时，Local DNS Server第一步查询自身的Database是否存在需要的内容，如果有则发送应答数据包并给出相应的结果；否则它将向上一层DNS Server查询。如此不断查询，最终直至找到相应的结果或者将查询失败的信息反馈给客户机。如果Local DNS Server查到信息,则先将其保存在本机的高速缓存中，然后再向客户发出应答。日常我们上网是通过Browser方式来申请从Domain Name到IP Address的解析，即Client向DNS Server提交域名翻译申请，希望得到对应的IP Address。这里以笔者所在院校为例,说明DNS的工作原理。? 　　例如Client的Address为6，学校DNS Server为0，从此客户机来访问西安财经学院网站。在地址栏键入学校网站的www.xaufe.省略，通过DNS Server查找其对应的IP Address。这个申请从6的一个随机PORT发送出去，由0的53绑定端口接收到此申请并进行翻译，首先在0的高速缓存中查找www.xaufe.省略的IP Address，若存在对应的映射关系,就直接将IP Address发送给客户机，若缓存中没有，则0会向上层DNS SERVER查询，最后将查询到的结果先发送到0，最后由0将西安财经学院的IP Address（2）返回给Client 6。这样6就可以和西安财经学院站点建立连接并访问了，其具体过程如图1所示。? 　　 　　图1 客户端Browser向DNS查询Web服务器的IP地址? 　　2 DNS欺骗攻击原理? 　　2.1 欺骗原理? 　　Client的DNS查询请求和DNS Server的应答数据包是依靠DNS报文的ID标识来相互对应的。在进行域名解析时，Client首先用特定的ID号向DNS Server发送域名解析数据包，这个ID是随机产生的。DNS Server找到结果后使用此ID给Client发送应答数据包。Client接收到应答包后，将接收到的ID与请求包的ID对比，如果相同则说明接收到的数据包是自己所需要的，如果不同就丢弃此应答包。根据攻击者的查询和应答原理，可使用不同方法实现攻击，如：? 　　（1)因为DNS Message仅使用一个简单的认证码来实施真实性验证，认证码是由Client程序产生并由DNS Server返回结果的，客户机只是使用这个认证码来辨别应