浅析DNS技术与安全防护
《宁夏电力》2007年第5期浅析DNS技术与安全防护李莹岚(宁夏石嘴山供电局,石嘴山市753000)摘要:DNS(DomainNameSystem)是网络建设中首要解决的问题之一,是实现Interne
《宁夏电力》2007年第5
期
浅析DNS技术与安全防护
李莹岚
(宁夏石嘴山供电局,石嘴山市753000)摘要:DNS(DomainNameSystem)是网络建设中首要解决的问题之一,是实现Internet应用的基础,其作用是实现域名和IP地址之间的转换。本文介绍了DNS的基本概念、域名解析的工作原理,分析了DNS在安全方面的漏洞及防范措施。
关键词:DNS;域名解析;IP地址;安全
中图分类号:TP393文献标志码:B文章编号:1672-3643(2007)05-0057-03
AnalysisofDNStechnologyandsecurityprotection
LIYing-lan
(ShizuishanElectricPowerSupplyBureau,Shizuishan753000,China)
Abstract:IntroducesthebasicconceptionofDomainNameSystem(DNS)andworkprincipleofdomainnameanalyzer,analyzestheleaksofthesecurityandprotectivecountermeasuresforDNS.
Keywords:DNS(DomainNameSystem);domainnameanalyzer;IPaddress;security
1引言型、层次结构分布式数据库。如图1所示。
随着Internet/Intranet技术的发展和应用日益普及,越来
越多的企业都建立了自己的Intranet,并且通过各种不同的方
式接入Internet。Internet上计算机之间的TCP/IP通信是通过
IP地址来进行的,因此,Internet上的计算机都应有一个IP地
址作为其唯一标识。但IP地址是数字型名字,难于记忆和理
解。为了便于应用,TCP/IP提供了一种字符型的主机命名机
制,即域名系统(DNS,DomainNameSystem)。它将枯燥、没有
意义的数字映射成具有特定含义的的词或词的缩写,便于人们
记忆和理解。在网站架构过程中,DNS是首要解决的问题之一,
也是实现www、ftp、E-mail等多种Internet应用的基础。所以,
DNS技术的应用及安全性研究具有深远的意义。域是域名空间的一棵子树或一个分支,树的根就是根
域,根是没有名字的,用“.”表示。树中最靠近根域的节点,
2DNS的工作原理称为顶级域,每个顶级域下面又包含很多级、很多子域,主
机则位于树的叶子上。同一级中拥有同一个父节点的标示
2.1域名空间各不相同,主机名由从相应的叶子到这一路径的各个节点
DNS的命名结构称为域名空间。域名空间是一个呈树的标示组成。
收稿日期:2007-04-10
,女,・57・
,《宁夏电力》2007年第5
期
根域各服务器具有指向第一层域的初始指针,也就是顶层域,如.com,.net。顶层域名最初由Internet授权给一些组织,如interNIC来管理。NIC将第一级域的管理特权分派给指定管理机构,各管理机构再对其管辖的域名空间继续划分,并将各子部分管理特权授予子管理机构,如此下去,便形成了层次型域名。由于管理机构是逐级授权的,所以最终的域名都得到NIC承认,成为全球Internet的唯一名字。如域名www.ibm.com,其中www是主机名,ibm代表IBM公司,.com代表商业组织。由此通过域名代替IP地址,便于用户理解和记忆。
浅析DNS技术与安全防护
“www.szs.nx.sgcc.com.cn”主机的IP地址(④)“;.cn”域名服务器将“com.cn”的域名服务器的IP地址返回给本地域名服务器(⑤);本地域名服务器再向“com.cn”域名服务器发出“www.szs.nx.sgcc.com.cn”的主机IP地址是什么的请求(⑥)“;com.cn”域名服务器“www.szs.nx.sgcc.com.cn”的IP地址返回给本地域名服务器(⑦);本地域名服务器“www.域名服务器发送查询“www.szs.nx.sgcc.szs.nx.sgcc.com.cn”
;“wwwszs.nx.sgcc.com.cn”com.cn”的IP地址的请求(⑧)“
域名服务器给本地域名服务器返回“www.szs.nx.sgcc.com.所对应的IP地址;最后本地域名服务器“www.szs.nx.cn”
的IP地址返回给客户机(⑩),至此,整个解析sgcc.com.cn”过程完成。
在大型的TCP/IP互联网中,除了从本地域名服务器开始解析外,还可以采用高速缓冲技术来提高域名解析的效率。在域名服务器开辟一个专用内存,存放最近解析过的域名及相应的IP地址。服务器收到域名请求后,若在本地数据库中未找到对应信息,则回去检查缓冲区,看是否最近解析过该域名,有则报告给解析器,没有再去向其他服务器发送解析请求。同样,高速缓冲机制也可以在主机上使用。当然,在使用时,要采取相应措施保证缓冲区中域名和IP地址的映射关系的有效性。
2.2域名解析
为了把一个域名映射为一个IP地址,应用程序调用一
(resolver)的库过程,参数为域名。解析器将种名叫解析器
UDP分组传送给本地DNS服务器上,本地DNS服务器查
找域名并将IP地址返回给解析器,解析器再把它返回给应用程序。
域名解析有两种方式:反复解析和递归解析。在反复解析方式中,如果服务器查不到相应的记录,会返回另一个可能知道结果的服务器发送查询请求。在递归解析方式中,要求域名服务器系统一次性完成全部名字-地址转换,即如果不能从该服务器本地得到解析,就由该DNS服务器向其他DNS服务器发出请求,直到得到查询结果或出现错误为止,相当于由收到递归请求的DNS服务器来完成反复解析中用户的工作。
域名解析是按照分层结构的特点自顶向下进行的。然而,如果每一个解析请求都从根服务器开始,那么到达根服务器的信息流量随互联网规模的增大而增大。在大型互联网中,根服务器有可能因负荷太重而超载。在实际中,大多数域名解析都是解析本地域名,可以在本地域名服务器中完成。因此,往往域名解析都先向本地域名服务器发出请求,这样可以提高域名解析的效率。解析过程如图2所示。
3DNS安全风险分析
DNS服务主要完成域名与IP地址间的转换及有关电
子邮件的路由信息。DNS使用超高速缓存将收到的有关映射信息存放在高速缓存中,以后有相同的请求就直接使用由于本地存在高速缓存中的信息,大大提高了解析的速度。
缓存,所以,一旦高速缓存的信息被修改,就会产生错误的解析结果,这是DNS潜在的安全问题之一,此外还有许多其它方面的安全隐患。
DNS的安全隐患有以下方面:
(1)缓冲区溢出漏洞允许远程控制计算机;(2)域名欺骗(DNSSpoofing);(3)利用区传输造成DNS信息泄密;(4)DoS(DenialofService)拒绝服务攻击;(5)无访问控制的递规查询;
(6)反向查询缓冲区超时(InverseQueryBufferOverrun)
版本所衍生的安全问题;(7)动态更新和递规查询。
(DNSSpoofing):主要有以下三种形式:DNS欺骗
“www.szs.客户机向本地域名服务器发送请求,请求回
主机的IP地址(①);本地域名服务器检查nx.sgcc.com.cn”
其数据库,发现数据库中没有域名为“www.szs.nx.sgcc.com.的主机,于是将此请求发送给根域名服务器(②);根域cn”
名服务器将“.cn”一级域名服务器的IP地址返回给本地域名);名务①攻击者在自己的主机上安装网络侦听器,劫持域名
查询请求,然后假冒DNS的响应,返回一个错误解析地址,使发出该域名查询请求的客户机得到一个错误的解析地址;
②攻击者通过污染DNS的缓冲区(DNSCachePoi-soning)将DNS高速缓存内的信息修改。由于DNS的解析
地址,当
・58・
,《宁夏电力》2007年第5期
本地的缓存内的信息被修改后,就会将一个被篡改后的IP地址发送给请求者,使请求者得到一个错误的解析地址。
浅析DNS技术与安全防护
进行区域复制,这样入侵者就无法利用区域复制获取区域中的所有数据了。
③攻击者侵入操作系统,获得管理员权限,直接修改DNS数据文件。
针对域名服务器的拒绝服务(DoS)攻击:
这种攻击主要有二种,一种是利用DNS软件本身的漏洞进行攻击;另一种是用户端泛滥,攻击者仿造源地址,产生一个查询请求,使域名服务器忙于应付大量的无效回应,而无法处理正常的用户请求。
利用区传输造成DNS信息泄密:
名字服务器通常含有域名空间中某一部分的完整信息,这一部分称为区;区的内容是从文件或其它名字服务器中加载过来的,在加载的过程中,黑客可以劫获传输的内容,造成整个区域的信息泄露,同时在加载的过程中,也会增加服务器的负载。一旦DNS系统被攻击成功,入侵者就会删除日志文件,销毁自己可能暴露的蛛丝马迹,然后在
4.2保护DNS的方法
(1)采用最新版本的DNS服务器软件,但随着新漏洞
和新版本的出现,要注意升级或安装相应的补丁程序。
(2)使用交叉检验,即服务器通过反向查询已得到IP地址所对应的主机名后,再用该主机名查询DNS系统对应于该主机名的IP地址。两者一致,判定用户合法。
(3)配置防火墙,将内、外DNS服务器隔离。内部
DNS服务器只提供内部网名字解析,外部DNS服务器负责
外部用户的查询,并处理内网服务器提交的请求。这样还可以简化安全管理。
(4)可通过访问控制列表限制用户对DNS服务器的访问。(5)限制区域传送,以防入侵者通过正常的查询命令获得丰富的内部信息。
DNS系统中安装程序,通过运行它获得管理员权限,同时
开始向外进行扫描,在几分钟内就可发现大量的存在相同漏洞的服务器,并可对之重复上述攻击,如此反复,后果不堪设想。
5结束语
从更安全、更可靠的角度来配置和使用DNS服务,是
面对日益复杂和不安全的网络应用的有效方法之一。DNS不仅仅影响安全,它还影响到mail服务,www服务等等其他重要内容。可以说除了网络层以下的物理连通之外,DNS是所有网络应用层中最重要的服务内容。确保DNS的正常运转和安全可靠,是怎样强调都不为过的。事实上,没有一种安全策略是100%安全的,网络攻击手段的不断发展和变化,要求服务器管理员强化安全意识,在实际工作中不断地总结和积累经验,逐步提高DNS服务器的安全性和可靠性。无论是在Intranet,还是在整个Internet,采用新的技术,防范潜在的攻击,是我们始终面对的问题。
4DNS安全策略
由以上分析可知,DNS服务器一旦被控制,有可能造成信息泄漏、关键资源被侵入、拒绝服务等严重后果,必须采取措施,保证DNS的安全性。对于系统本身的设计和软件的漏洞,大部分用户无法直接参与,所以,对DNS的保护关键是要进行安全的DNS配置。
4.1保护DNS的指导方针
(1)将内部用户与外部用户使用DNS可以访问的信息相
互隔开。确保可从外部访问的DNS服务器只包含与公共服务有关的信息,例如Web服务器和电子邮件服务器的地址。
(2)在内部DNS服务器上可允许动态更新,但不要允许外部DNS服务器的动态更新。
(3)只允许经授权的计算机更新各自的DNS注册信息,将内部DNS服务器配置为只允许安全更新。
(4)限制只能从主DNS服务器向辅助的DNS服务器(上接第38页)
参考文献:
[1][2][3][4]
[M].北京:电子工业出版社,2002.HuntC.TCP/IP网络管理
吴功宜.计算机网络[M].北京:清华大学出版社,2003.罗杰云,贺敏伟.DNS协议的安全浅析,2004.
王达.网管员必读-网络基础.北京:电子工业出版社,2004.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
回路中采用了主变三侧开关TWJ串联的方式,这大大减少了装置误动作的可能性,但是当主变中低压侧开关偷跳,造成母线失压时,装置又显得无能为力。安全性和可信赖性是相互矛盾的,如何合理地找到一个平衡点,必须结合实际,对电网的运行方式和变电所的特点进行分析,才能找到最佳方案。
完善主变备自投及过载切负荷装置回路和逻辑方案,使之达到最优的配合,对提高变电所供电可靠性具有非常重要的现实意义。随着新技术的不断发展和应用,各种自动装置在应用中会不断遇到一些问题,这就需要我们不断发现问题、分析问题、解决问题,只有这样才能使电网的二次,3结束语
・59・