堵住域名和邮件的漏洞.docx

域名系统(DNS)是Internet上其他服务的基础，E——mail是Internet上最重要的服务。但是DNS和E——mail系统也是Internet上安全漏洞最多的地方，而问题在哪里?在我们每天都要使用DNS和E——mail时，怎么样才能放心？ 域名系统 DNS是Internet上其它服务的基础。它处理DNS客户机的请求：把名字翻译成IP地址；把IP地址翻译成名字；并提供特定主机的其它已公布信息（如MX记录）。下面介绍DNS使用中业已知晓的两个安全 问题，并给出相应的域名查询解决方法。 名字欺骗 为使用的方便如允许用户执行远程系统命令，系统管理员往往在某些主机之间建立相互信任的关系， 当主机间的信任是借助名字并通过DNS来认证时，就会导致名字欺骗的出现，如图所示。 当主机B访问主机A(同时也作为DNS服务器）如执行rlogin时，A接收到这个连接并获得发起本次连接主机B的IP地址。为验证本次连接的合法性，主机A就向本地DNS服务器逆向查询对应于这个IP地址的主机名字。当返回的查询结果——主机名B为本机所信任的主机时，就允许来自B的远程命令rlogin。 下面我们再来看看主机D是如何利用验证漏洞来欺骗主机A的。当主机D也执行rlogin时，主机A同样要验证本次连接的合法性。如果A不能根据D的IP在本地DNS服务器中查询到对应的主机名时，就会向其它DNS服务器发出请求，最后终会找到DNS服务器C。如果入侵者修改DNS服务器C中对应于自己IP 地址的主机名为主机B时，主机A就会获得对应于D的IP地址的主机名是B的逆向查询结果，因此主机A 认可本次连接。于是欺骗A成功。 从上面的讨论可知，当欺骗发生时，在A的域名数据库中关于名字B有三个IP地址条目，其中B→B_IP 条目位于A所维护的正向DNS树上，B_IP→B条目位于A所维护的逆向DNS树上，D_IP→B条目位于Cache 中，即主机名与IP地址之间的关系不是一一对应的。若主机A在验证过程中再多走一步，即再用主机 名B正向查询对应的IP地址(双向查询)，就会发现同时有D的IP和B的IP对应着名字B。这样主机A就可 以识别主机D的欺骗企图，然而双向查询并不总有效，例如对于多宿主机。 隐藏信息 与DNS有关的第二个安全问题是它会泄露那些你不想透露的信息。例如一些组织的系统管理员会依本 组织的功能单元来命名内部主机名和其它信息，或依本组织的体系结构来规划本组织域名下的名字空间，也可能因为内部某个秘密项目的方便开展而为一些主机设置别名。这些信息一旦被入侵者获取，那么组织内那些重要的主机就会一览无疑地呈现在入侵者面前。 入侵者获取被入侵者的DNS信息的方法有很多。最通常的一种方法是连接被入侵者站点的DNS服务器 并请求区传输（ZoneTransfer），好像它们是被入侵者站点的DNS服务器的辅助服务器。 防范这种入侵的方法有两种。一种是利用DNS软件（注：BIND4.9.3以上的版本）自带的两个安全特性：限制名字数据库中的数据只被特定的主机查询；只允许真正的Secondary主机从Primary主机上提取Zone数据（库）。这种方法具有实现的方便性和高效性，但还不够完善。因为DNS数据库仍然暴 露在入侵者的范围之内，仍有可能被入侵者用匪夷所思的方法窃取。在我们看来，第二种方法相比第一种方法更安全，当然成本会更高，使用的技术也更复杂。 第二种方法以防火墙/NAT为基础，并运用私有地址和注册地址的概念。现以一个园区网为例加以描述。首先我们把园区网的IP地址空间划分为两大部分：私有地址部分和注册地址部分（作为整个Internet地址空间的一部分）。与此对应，园区网的名字空间也分为两大部分：对外可见的（外部） 名字域（作为整个Internet名字空间的一部分）和对外不可见的（内部）名字域。两者域名相同， 但域名数据库的大小不同。为对外隐藏信息，所以外部DNS数据库相对小，而内部DNS数据库相对大。 相应地，完成域名到IP地址转换的DNS服务器也存在两套，即内部DNS服务器和外部DNS服务器。鉴于划分地址空间的原则——所有园区网内的主机使用私有地址；对Internet服务的主机用NAT完成注册地址到其私有地址的静态映射；访问Internet的主机用NAT完成其私有地址到注册地址的动态映射。因此内部DNS服务器组仅对园区网内的主机服务，外部DNS服务器组对Internet主机服务。内部DNS 服务器提供园区网（内部）名字域到私有IP地址的解析，只能由园区网内的主机使用，对Internet 主机不可见，即不在上级DNS服务器登记，而对园区网（内部）名字域外的Internet域名解析的任务直接提交外部DNS服务器完成。这时，须在内部DNS服务器的启动文件中设置