保護DNS的安全

申請免費試用、咨詢電話：400-8352-114

2009年5月19日19點左右，江蘇、安徽、廣西、海南、甘肅、浙江等6省網(wǎng)絡(luò)用戶訪問網(wǎng)站速度突然變慢甚至無法訪問。5月20日，廣東省也出現(xiàn)類似情況。連續(xù)兩天國內(nèi)出現(xiàn)大面積斷網(wǎng)事件，引起有關(guān)部門的高度重視。經(jīng)查，事故的原因是一臺承擔域名解析任務(wù)的DNS服務(wù)器受到了攻擊。這起事件再次提醒我們域名系統(tǒng)的脆弱性。

6省斷網(wǎng)源于DNS

據(jù)媒體報道，5月19日～20日的網(wǎng)絡(luò)癱瘓起因是網(wǎng)絡(luò)私服之間的競爭。為了威懾同行，一個私服的擁有者向為不少私服提供域名解析的DNSPod服務(wù)器發(fā)起了攻擊，其目的是讓這臺服務(wù)器癱瘓，從而使得用戶將無法找到與之有競爭關(guān)系的私服。

位于常州電信某機房的這臺DNS服務(wù)器采用的是國內(nèi)一款免費DNS(域名系統(tǒng))產(chǎn)品DNSPod，它同時為電信、網(wǎng)通、教育網(wǎng)服務(wù)器的網(wǎng)站提供域名解析，讓電信用戶訪問電信的服務(wù)器，網(wǎng)通的用戶訪問網(wǎng)通的服務(wù)器，達到互聯(lián)互通的效果。暴風影音也是DNSPod服務(wù)對象之一。由于域名服務(wù)商DNSPod的DNS服務(wù)器遭遇惡意攻擊最終癱瘓，使得其服務(wù)對象暴風影音等網(wǎng)站用戶提交的訪問無法找到正確服務(wù)器，訪問申請大量積累導致電信網(wǎng)絡(luò)無法處理，最終引發(fā)網(wǎng)絡(luò)癱瘓。

之所以這臺DNS服務(wù)器受到攻擊就會“鬧出如此大的動靜”，是由DNS在互聯(lián)網(wǎng)體系中的重要地位所決定的。DNS是為Internet上的主機分配域名地址（如泛普軟件www.ccw.com.cn）和IP（如119.254.2.*）地址的系統(tǒng)。它的作用，簡單地說，就是當我們在瀏覽器中輸入域名地址時，該系統(tǒng)會自動把域名地址轉(zhuǎn)為IP地址。只要是有一定網(wǎng)絡(luò)規(guī)模的組織以及Internet的服務(wù)提供商都要部署DNS，正是由于DNS在Internet網(wǎng)絡(luò)中的這種地位，不法用戶或者黑客只要攻擊DNS服務(wù)器使其無法正常工作，就可讓大量用戶無法正常使用網(wǎng)絡(luò)，就如5月份的6省斷網(wǎng)事件一樣。

脆弱的系統(tǒng)難抵網(wǎng)絡(luò)威脅

DNS最早是由保羅·莫卡派喬斯（Paul Mockapetris）于1983年發(fā)明的，由于受當時條件限制，其系統(tǒng)設(shè)計存在很多缺陷:

1. 單點故障。DNS采用層次化的樹形結(jié)構(gòu)，由樹葉走向樹根就可以形成—個全域名（Fully Qualified Domain Name，F(xiàn)QDN），DNS服務(wù)器作為該FQDN唯一對外的域名數(shù)據(jù)庫和對內(nèi)部提供遞歸域名查詢的系統(tǒng)，其安全和穩(wěn)定就存在單點故障風險。

2. 無認證機制。DNS沒有提供認證機制，查詢者在收到應(yīng)答時無法確認應(yīng)答信息的真假，黑客可以將一個虛假的IP地址作為應(yīng)答信息返回給請求者，從而引發(fā)DNS欺騙。

3. DNS本身的漏洞。DNS是域名軟件，它在提供高效服務(wù)的同時也存在許多安全性漏洞?，F(xiàn)已證明在DNS版本4和8上存在缺陷，攻擊者利用這些缺陷能成功地進行DNS欺騙攻擊。

而另一方面，DNS又面臨著來自網(wǎng)絡(luò)的各種威脅，黑客利用DNS協(xié)議或者軟件設(shè)計的漏洞，通過網(wǎng)絡(luò)向DNS發(fā)起攻擊以達到非法目的。攻擊主要包括如下幾種:

1. 內(nèi)部攻擊。攻擊者在非法或合法地控制一臺DNS服務(wù)器后，可以直接操作域名數(shù)據(jù)庫，修改指定域名所對應(yīng)的IP，當客戶發(fā)出對指定域名的查詢請求后，將得到偽造的IP地址。

2. 序列號攻擊。DNS協(xié)議格式中定義了用來匹配請求數(shù)據(jù)包和響應(yīng)數(shù)據(jù)報序列ID，欺騙者利用序列號偽裝成DNS服務(wù)器向客戶端發(fā)送DNS響應(yīng)數(shù)據(jù)包，在DNS服務(wù)器發(fā)送的真實DNS響應(yīng)數(shù)據(jù)報之前到達客戶端，從而將客戶端帶到攻擊者所希望的網(wǎng)站，進行DNS欺騙。

3. 信息插入攻擊。攻擊者可以在DNS應(yīng)答報文中隨意添加某些信息，指示權(quán)威域名服務(wù)器的域名及IP，如果在被影響的域名服務(wù)器上查詢該域的請求都會被轉(zhuǎn)向攻擊者所指定的域名服務(wù)器上去，從而威脅到網(wǎng)絡(luò)數(shù)據(jù)的完整性。

4. 緩存中毒。DNS使用超高速緩存，當一個名字服務(wù)器收到有關(guān)域名和IP的映射信息時，它會將該信息存放在高速緩存中。這種映射表是動態(tài)更新的，但刷新有一個周期，假冒者如果在下次更新之前成功修改了這個映射表，就可以進行DNS欺騙。

5. 信息泄漏。DNS的缺省設(shè)置允許任何人進行區(qū)傳送(區(qū)傳送一般用于主服務(wù)器和輔服務(wù)器之間的數(shù)據(jù)同步)，而區(qū)傳送可能會造成信息泄漏。

6. 不安全的動態(tài)更新。隨著動態(tài)主機配置協(xié)議（DHCP）的出現(xiàn)，客戶計算機由DHCP服務(wù)器動態(tài)分配IP地址，使原來手工更新其A（Address）記錄和PTR（反向解析）記錄變得很難管理，為此提出了DNS的動態(tài)更新，即DNS客戶端在IP地址或名稱出現(xiàn)更改的任何時候都可利用DNS服務(wù)器來注冊和動態(tài)更新其資源記錄。但黑客可以利用IP欺騙偽裝成DNS服務(wù)器信任的主機對區(qū)數(shù)據(jù)進行添加、刪除和替換。

如何保護好自己的DNS

為了保護好企業(yè)自己的DNS系統(tǒng)，這里提出如下建議:

1. 配置輔助域名服務(wù)器進行冗余備份。輔助服務(wù)器可從主服務(wù)器中復(fù)制一整套域信息。

2. 配置高速緩存服務(wù)器緩解DNS訪問壓力。高速緩存服務(wù)器可運行域名服務(wù)器軟件，但是沒有域名數(shù)據(jù)庫軟件。它從某個遠程服務(wù)器取得每次域名服務(wù)器查詢的結(jié)果，將它放在高速緩存中，以后查詢相同的信息時就可以直接回答。

3. 配置DNS負載均衡。DNS負載均衡技術(shù)是在DNS服務(wù)器中為同一個主機名配置多個IP地址，在應(yīng)答DNS查詢時，將以DNS文件中主機記錄的IP地址按順序返回不同的解析結(jié)果，從而將客戶端的訪問引導到不同的機器上去，達到負載均衡的目的。

4. 使用工具進行DNS配置文件檢查。有一些工具可以檢查DNS配置文件，如開源軟件Dlint，可以檢查配置文件是否存在拼寫錯誤，檢查配置文件中是否有A（Address）記錄的主機名稱都有配套的PTR（反向解析）記錄等。