DNS安全威胁与防护

术. 技术DNS 安全威胁与防护李海明，苏开宇(中国计量学院 现代教育技术中心，浙江 杭州 310018)DNS 服务是Internet 的基本支撑，其安全问题具有举足轻重的地位。在分析DNS 的工作

术. 技术

DNS 安全威胁与防护

李海明，苏开宇

(中国计量学院 现代教育技术中心，浙江 杭州 310018)

DNS 服务是Internet 的基本支撑，其安全问题具有举足轻重的地位。在分析DNS 的工作机理及其面临的安全威胁的基础上，摘 要：

提出了相应的DNS 安全防护体系和安全防护策略，并以某高校的域名服务系统为例，深入讨论了DNS 安全防护的实施方案。DNS; 安全威胁; 防护体系; 防护策略关键词：

DNS Safe Threat and Protection

LI Hai-ming,SU Kai-yu

(Modern Education Technology Center, China Jiliang University,Hangzhou,Zhejiang 310018,China)

Abstract : The DNS service is the Internet basic support. Its security problem has the critical influence on a large number of Internet applications. On the foundation of analyzing the DNS work mechanism and its safe threats, a DNS safe protection system is proposed and the safe protection strategy is presented. Finally taking example for one university’s DNS, the implementation scheme for DNS safe protection is discussed thoroughly.

Key words: DNS; safe threat; protection infrastructure; protection policy

1 引言

DNS(Domain Name System, 域名系统) 是多层次的分布式数据库系统， 基本功能是负责提供域名和I P 地址之间的映射。作为当前全球最大最复杂的分布式层次数据库系统，由于其开放、庞大、复杂的特性以及设计之初对于安全性的考虑不足，再加上人为攻击和破坏，DN S 系统面临非常严重的安全威胁。二十一世纪初以来，随着信息高速公路的发展和普及，严重的DNS 安全事件时有发生。据不完全统计，就2009年5月到2010年8月短短16个月时间内发生了21起严重的D N S 安全事件，影响广泛[1, 2]。因此，如何解决DNS 安全问题并寻求相关解决方案是当今DNS 亟待解决的问题。

了每一台服务器的数据量，使得管理数据更加容易。图1描述了D N S 层次结构，它类似文件系统的目在最顶端的是一个“ROOT”，其下分录树结构[3]：

为好几个基本类别名称，如：com、org、edu等；再下面是组织名称，如：ibm、microsoft、intel等；继而是主机名称，如：www、mail、ftp等。因为当初Internet 是从美国发展起的，所以当时并没有国域名称，但随着后来Internet 的蓬勃发展，D N S 也加进了诸如u k、tw、hk、cn 等国域或地区域名称。

完整的域名是一个由“.”分隔的字符串，其中每个部分都代表一个域或主机名。例如w w w. baidu.com、www.sina.com.cn和www.cjlu. e d u. c n 这些都完整的域名，他们虽然不是同一台

2 DNS层次结构与工作机理

DNS 是一个分布式数据库，它利用树形目录结构将主机名称的管理权分配给各级的DNS 服务器，这使得管理和修改工作可以在各层本地完成，减少

浙江省教育规划研究基金项目(SCG247) 基金项目：011. 04

机器，却有相同的主机名w w w，而在互联网中名字相同的主机非常多，要准确地定位某台主机，首先需要确定他们所属的域。这样就算有很多名字为www 的主机，只要在不同的域当中，DNS也能准

确地找到它。

图1 DNS的层次结构

图2描述了D N S 的工作机理和域名w w w. cjlu.edu.cn 的解析过程[4]。当客户机提出查询请求时，首先在本地计算机的缓存中查找。如果在本地无法获得查询信息，则将查询请求发给本地D N S 服务器。如果本地D N S 服务器是域名所在区域的权威服务器或者曾经在特定的时间段内处理过该域名的资源请求, 那么它就会从自己的区域或者缓存中检索到该域名相应的资源记录，并返回给客户机，否则它就将查询转发给根名字服务器。由根域名服务器向下级域名服务器转发，直到某个域名服务器搜索到相应的资源记录，这类查询一般称为递归查询。最后由本地D N S 服务器将递归查询结果返回

客户机，完成一个域名解析过程。

图2 DNS工作机理和域名www.cjlu.edu.cn 的解析过程

3 DNS面临的安全威胁

3.1 DDoS攻击

DDoS(Distributed Denial of Service)攻击[5, 6]

通过僵尸网络利用各种服务请求耗尽被攻击网络的系统资源，造成被攻击网络无法处理合法用户的请求。而针对D N S 的D D o S 攻击又可按攻击发起者和攻击特征进行分类。

学术. 技术

1) 按攻击发起者分类

僵尸网络：控制大批僵尸网络利用真实D N S 协议栈发起大量域名查询请求。

模拟工具：利用工具软件伪造源I P 发送海量DNS 查询。

2) 按攻击特征分类

Flood 攻击：发送海量DNS 查询报文导致网络带宽耗尽而无法传送正常DNS 查询请求。

资源消耗攻击：发送大量非法域名查询报文引起D N S 服务器持续进行迭代查询，从而达到较少的攻击流量消耗大量服务器资源的目的。

3.2 DNS欺骗

DNS 欺骗[7, 8]是最常见的DNS 安全问题之一。当一个D N S 服务器由于自身的设计缺陷，接收了一个错误信息，那么，就将做出错误的域名解析，从而引起众多安全问题，例如将用户引导到错误的互联网站点，甚至是一个钓鱼网站；又或者发送一个电子邮件到一个未经授权的邮件服务器。攻击者通常通过三种方法进行DNS 欺骗：

(1)缓存污染：攻击者采用特殊的D N S 请求，将虚假信息放入DNS 的缓存中。

(2)DNS信息劫持：攻击者监听DNS 会话，猜测D N S 服务器响应I D，抢先将虚假的响应提交给客户端。

(3)DNS重定向：将DNS 名称查询重定向到恶意DNS 服务器

3.3 系统漏洞

BIND(Berkeley Internet Name Domain) 是最常用的D N S 服务软件，具有广泛的使用基础，Internet 上的绝大多数DNS 服务器都是基于这个软件的。BI N D 提供高效服务的同时也存在着众多的安全性漏洞，CNCERT/CC在2009年安全报告

[9]

中指出：2009年7月底被披露的“Bi n d9”高危

漏洞，影响波及全球数万台域名解析服务器，我国

2011. 0

术. 技术

有数千台政府和重要信息系统部门、基础电信运营企业以及域名注册管理和服务机构的域名解析服务器受到影响。

除此之外，DN S 服务器的自身安全性也是非常重要。目前主流的操作系统如Windows、UNIX、Linux 均存在不同程度的系统漏洞和安全风险，而补丁的管理也是安全管理工作中非常重要和困难的一个组成部分，因此针对操作系统的漏洞防护也是DNS 安全防护工作中的重点。

4 DNS防护体系与防护策略

DNS 域名系统面临着来自内部和外部的各类风险，构建DNS 外部安全防护体系来防范外部风险， 同时制定DNS 内部安全防护策略来预防内部风险，以提高DNS 安全系数，降低DNS 故障水平，就显得尤为重要。

4.1 DNS外部安全防护体系

考虑到DNS 是一个分级系统，主要由政府机构、非政府组织、企事业单位等各级域及其授权域名服务器组成的。本文将以某高校的域名服务器为例，构建某高校D N S 安全防护体系。图3描述了某高校的网络拓扑结构和D N S 外部安全防护体系，它将边界路由器、防火墙的策略路由和端口管理、F5链路负载均衡器的链路控制和负载均衡策略、IP S 入侵防御系统的攻击防护和漏洞修复策略结合在一起，构成三位一体的校园DNS

安全防护体系。

图3 某高校的网络拓扑结构和DNS 外部安全防护体系011. 04

其中：

(1)边界路由器与专用防火墙一起提供了对外界网络的基本的安全保护，或者从缺乏网络控制的区域进入到专用网络区域的主要接入点。它们提供I P 地址过滤和数据包过滤的基本规则，也提供Internet 与内部局域网之间的路由策略。

(2)F5链路负载均衡器本身提供智能D N S 功能，它将内部服务器集群化或虚拟化成针对不同ISP 的虚拟服务器(Virtual Server)，并在外部网络用户访问内部服务器时提供链路控制和负载均衡策略。

防火墙同时作为备份链路以应对F5单点故障的情形(防火墙配置类似于F5配置，在F5链路负载均衡器出现故障情况下，自动启用防火墙中的虚拟服务器配置)。

(3)I P S 入侵防御系统被配置在包括D N S 在内的服务器区域与用户网络之间，它一方面通过流量异常检测和连接限制等技术实现了D D o S 攻击防御。一方面利用智能的DNS DDoS 攻击识别技术，通过实时分析DNS 解析失败率、DNS响应报文与请求报文的比例关系等方法，准确识别各种针对D N S 的D D o S 攻击，避免产生漏报和误报，并且通过专业的线性DNS 攻击防御技术和离散DNS 攻击防御技术有效的防御了DNS DDoS 攻击。另外它还具备专业的漏洞库，通过分析攻击产生原理，来识别攻击和系统潜在漏洞，为DNS 服务提供“虚拟系统补丁”的功能，即使D N S 服务器未能及时更新补丁程序，依然能有效地阻挡所有企图利用特定漏洞进行的攻击。

4.2 DNS内部安全防护策略

DNS 协议或者软件设计与配置上的漏洞常常被非法用户或者黑客利用，他们通过网络向D N S 发起的攻击或欺骗以达到非法目的。加强D N S 内部的安全防护策略可以最大程度地降低D N S 安全风

险。

I n t e r n e t 上最广泛使用的D N S 服务器软件是B I N D，它是一款开源免费软件。目前最新的正式版本是BIND9.8.0。BIND 不断增加新的安全功能，填补以前的安全漏洞。因此使用BIND 的最新版本可以大大提高D N S 的安全性。但是随着新漏洞的发现，最新版本也将成为不安全的旧版本。本文将以B I N D 为例，提出一些重要的D N S 内部安全防护策略[10-12]。

(1)限制名字服务器递归查询功能。这样只会回答自己授权域的查询请求，而不会缓存任何外部的数据。

(2)限制区传送。在BIND 配置文件中通过设置来限制允许区传送的主机，从一定程度上能减轻信息泄漏。

(3)分离DNS。BIND可以通过视图(view)技术把D N S 系统划分为内部和外部两部分，外部视图起着负责对外解析工作，内部视图则负责对内解析。

(4)隐藏D N S 的版本信息。因为通常软件的漏洞和风险信息是和特定版本相关的。

(5)删除D N S 服务器上不必要的服务，避免非法用户通过其他服务的漏洞侵入DNS 系统。

(6)合理配置D N S 的查询方式，流量很大的D N S 服务器可以禁止客户机使用递归查询以减轻流量。

(7)应用DNSSec 技术。DNSSec主要依靠公钥技术对于包含在D N S 中的信息创建密码签名，从而为DNS 数据提供来源验证。

5 结束语

D N S 安全是当前网络安全领域的一个重要课题，是关系到国家利益的重大问题。本文在分析D N S 安全漏洞及所面临的安全威胁基础上，提出

学术. 技术

了一种外部安全防护体系和内部安全防护策略相结合的D N S 安全防范方法，并以某高校的域名服务系统为例，深入讨论了D N S 安全防护问题。随着DNSSec 技术的不断完善，以及DNSSec 技术与其他网络防护技术的融合，更安全可靠和更加广泛的DNS 服务将被应用到Internet 中去。

参考文献：