《TCP∕IP体系的协议安全》.pptVIP

5.5.2 DNS的安全问题 1．缓存中毒 DNS缓存中毒利用了DNS缓存机制，在DNS服务器的缓存中存入大量错误的数据记录主动供用户查询。由于缓存中大量错误的记录是攻击者伪造的，而伪造者可能会根据不同的意图伪造不同的记录，例如将查询指向某一个特定的服务器，使所有通过该DNS查询的用户都访问某一个网站的主页；或将所有的邮件指向某一台邮件服务器，拦截利用该DNS进行解析的邮件，等等。 由于DNS服务器之间会进行记录的同步复制，所以在TTL内，缓存中毒的DNS服务器有可能将错误的记录发送给其他的DNS服务器，导致更多的DNS服务器中毒。正如DNS的发明者Paul Mockapetris所说：中毒的缓存就像是“使人们走错方向的假冒路牌”。 2． 拒绝服务攻击 DNS服务器在互联网中的关键作用使它很容易成为攻击者进行攻击的目标，加上DNS服务器对大量的攻击没有相应的防御能力，所以攻击过程很容易实现，且造成的后果非常严重。现在使用的DNS采用了树型结构，一旦DNS服务器不能提供服务，其所辖的子域都将无法解析客户端的域名查询请求。 3． 域名劫持 域名劫持通常是指通过采用非法手段获得某一个域名管理员的账户和密码，或者域名管理邮箱，然后将该域名的IP地址指向其他的主机（该主机的IP地址有可能不存在）。域名被劫持后，不仅有关该域名的记录会被改变，甚至该域名的所有权可能会落到其他人的手里。 5.5.3 DNS安全扩展（DNSSEC） 1． DNSSEC的基本原理 域名系统安全扩展（DNSSEC）是在原有的域名系统（DNS）上通过公钥技术，对DNS中的信息进行数字签名，从而提供DNS的安全认证和信息完整性检验。具体原理为： 发送方：首先使用Hash函数对要发送的DNS信息进行计算，得到固定长度的“信息摘要”；然后对“信息摘要”用私钥进行加密，此过程实现了对“信息摘要”的数字签名；最后将要发送的DNS信息、该DNS信息的“信息摘要”以及该“信息摘要”的数字签名，一起发送出来。 接收方：首先采用公钥系统中的对应公钥对接收到的“信息摘要”的数字签名进行解密，得到解密后的“信息摘要”；接着用与发送方相同的Hash函数对接收到的DNS信息进行运算，得到运算后的“信息摘要”；最后，对解密后的 “信息摘要”和运算后的“信息摘要”进行比较，如果两者的值相同，就可以确认接收到的DNS信息是完整的，即是由正确的DNS服务器得到的响应。 2． DNSSEC的工作机制 如图5-34所示的是一个DNSSEC系统的查询和应答过程。其中，系统中的所有客户端和服务器都支持DNSSEC，区域的权威名字服务器为，区域的权威名字服务器为。 图5-34 DNSSEC系统的查询和应答过程 3． DNSSEC的应用现状 DNSSEC作为对目前DNS的安全扩展，可有效地防范DNS存在的各种攻击，保证客户端收到的DNS记录的真实性和完整性。此外，DNSSEC与原有的DNS具有向下的兼容性，在实现上具有可行性。但是，由于Internet的特殊性，就像从IPv4到IPv6的迁移一样，从DNS到DNSSEC的转换不可能在短期内完成，需要一个渐进的过程。可以先有针对性地建立一些安全区域，如.cn、.net等，然后再向其他区域扩展。当整个Internet部署了DNSSEC后，所有的信任将集中到根域下。 目前在推广DNSSEC上存在许多问题或困难：一是由于整个Internet上的DNS记录非常庞大，如果要部署适用于整个Internet的DNSSEC，需要投入大量时间和设备投入，同时还要得到所有区域服务器提供商的支持；二是DNSSEC只是提供了对DNS记录真实性的验证，只是有限的程度上为用户通信的安全提供了保证；三是DNSSEC在DNS请求和应答中添加了数字签名，一方面增加了通信的流量和复杂性，另一方面安全性主要依赖于公钥技术的安全性，所以对于DNSSEC系统来说是否会存在新的安全问题也是一个未知数。 5.5.4 实验操作—DNS系统的安全设置 1． 选择安全性较高的DNS服务器软件 Internet上大量的DNS服务器软件使用的是基于UNIX/Linux的BIND软件，目前最新版本为BIND 9.x。最新版本的BIND软件支持许多安全特性，如支持DNSSEC，解决了早期版本中存在的一些安全漏洞等。对于在Internet上的DNS服务器建议采用BIND软件，并将其升级为最新版本。 对于Windows NT服务器来