淺析DNS安全相關(guān)技術(shù)問題

趙逸瓊

[摘要]DNs安全技術(shù)問題值得深入研究，從DNS體系結(jié)構(gòu)自身存在的安全問題，BIND軟件的漏洞，到DNS服務(wù)器存在的攻擊等安全問題的分析}}l發(fā)，發(fā)]~DNS系統(tǒng)的主要受攻擊手段，總結(jié)出DNS系統(tǒng)的薄弱環(huán)節(jié)以及如何保護(hù)這些弱點(diǎn)。

[關(guān)鍵詞]DNs安全DNS服務(wù)器攻擊軟件漏洞

中圖分類號(hào)：TP3文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：'671—7597(2009)1020084--01

由于DNS系統(tǒng)是作為一個(gè)開放系統(tǒng)設(shè)計(jì)的，存在未授權(quán)信息的泄漏，網(wǎng)絡(luò)攻擊等安全問題，使得其保密性無法保證，同時(shí)缺乏有效的接入控制。網(wǎng)絡(luò)黑客針對(duì)這一安全漏洞，通過攻擊DNS，從而造成整個(gè)或部分網(wǎng)絡(luò)的癱瘓。本文將從各方面來分析DNS系統(tǒng)自身存在的安全漏洞以及DNS服務(wù)器存在的安全攻擊。

一、DNS結(jié)構(gòu)的單點(diǎn)故障

DNS采用層次化的樹狀結(jié)構(gòu)，由樹葉走向樹根就可以形成一個(gè)全資格域名(FQDN)，每個(gè)個(gè)FODN都是唯一的。在樹中，給出主機(jī)名由根到計(jì)卜的查詢，可找到屬于這臺(tái)主機(jī)的IP地址。對(duì)于反向映射也有類似的樹存在，在樹中查詢IP地址可找到對(duì)應(yīng)這個(gè)IP地址的主機(jī)名或者FQDN。DNS網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1所示。DNS服務(wù)器s2為網(wǎng)絡(luò)結(jié)點(diǎn)A，B，c，D，E提供域名解析服務(wù)-由于大部分的網(wǎng)絡(luò)應(yīng)用通過域名訪問Internet，所以如果s2不能正常工作，則其所轄的所有節(jié)點(diǎn)都無法通過域名連接到網(wǎng)絡(luò)，s2成為該子網(wǎng)的瓶頸，存在單點(diǎn)故障風(fēng)險(xiǎn)的問題。

二、DNS軟件漏洞

BIND(Berkeley Internet Name Domain)是我們所熟知的域名軟件，具有廣泛的使用基礎(chǔ)，Internet上的絕大多數(shù)DNS服務(wù)器都是基于這個(gè)軟件的。BIND提供高效服務(wù)的同時(shí)也存在著眾多的安全性漏洞。Cert2002年度報(bào)告中指出，DNS-BIND的安全漏洞成為當(dāng)年最具威脅的漏洞。

構(gòu)成嚴(yán)重威脅的漏洞主要有兩種。一種是緩沖區(qū)溢出漏洞，嚴(yán)重的可以使攻擊者在DNS服務(wù)器上執(zhí)行任意指令，如BIND SIG Cached RR DoS在BIND4和BIND8中存在一個(gè)遠(yuǎn)程緩沖溢出缺陷，該缺陷使得攻擊者可以在DNS服務(wù)器上運(yùn)行任意指令。另一種是拒絕服務(wù)(DOS)漏洞，受攻擊后DNS服務(wù)器不能提供正常服務(wù)，使得其所轄的子網(wǎng)無法正常工作，如BINDOPT DoS遞歸方式的BIND8服務(wù)程序會(huì)在assertion失敗時(shí)突然中斷服務(wù)。DNS拒絕服務(wù)漏洞的另一個(gè)例子是BIND SIG Expire Time DoS遞歸方式的BIND8服務(wù)程序會(huì)因?yàn)槭褂靡粋€(gè)無效空指針而突然中斷服務(wù)。

三、DNS服務(wù)器存在的攻擊

(一)域名劫持

域名劫持通常是指通過采用黑客手段控制了域名管理密碼和域名管理郵箱，然后將該域名的NS紀(jì)錄指向到黑客可以控制的DNS服務(wù)器，然后通過在該DNS服務(wù)器上添加相應(yīng)域名紀(jì)錄，從而使網(wǎng)民訪問該域名時(shí)，進(jìn)入了黑客所指向的內(nèi)容。值得注意的是：域名被劫持后，不僅網(wǎng)站內(nèi)容會(huì)被改變，甚至可以導(dǎo)致域名所有權(quán)也旁落他人。如果是國(guó)內(nèi)的cN域名被劫持，還可以通過和注冊(cè)服務(wù)商或注冊(cè)管理機(jī)構(gòu)聯(lián)系，較快地拿回控制權(quán)。如果是國(guó)際域名被劫持，恰巧又是通過國(guó)際注冊(cè)商注冊(cè)，那么其復(fù)雜的解決流程，再加上非本地化的服務(wù)，會(huì)使得奪回域名變得異常復(fù)雜。

(二)域名欺騙(緩存投毒)

域名欺騙的方式有多種多樣，但其攻擊現(xiàn)象就是利用控制DNS緩存服務(wù)器，把原本準(zhǔn)備訪問某網(wǎng)站的用戶在不知不覺中帶到黑客指向的其他網(wǎng)站上，其實(shí)現(xiàn)方式可以通過利用網(wǎng)民ISP端的DNS緩存服務(wù)器的漏洞進(jìn)行攻擊或控制，從而改變?cè)揑SP內(nèi)的用戶訪問域名的響應(yīng)結(jié)果?；蛘吆诳屯ㄟ^利用用戶權(quán)威域名服務(wù)器上的漏洞，如當(dāng)用戶權(quán)威域名服務(wù)器同時(shí)可以被當(dāng)作緩存服務(wù)器使用，黑客可以實(shí)現(xiàn)緩存投毒，將錯(cuò)誤的域名紀(jì)錄存入緩存中。從而使所有使用該緩存服務(wù)器的用戶得到錯(cuò)誤的DNS解析結(jié)果。

(三)DOOS(分布式拒絕服務(wù))攻擊

針對(duì)DNS服務(wù)器的拒絕服務(wù)攻擊有兩種，一種攻擊針對(duì)DNS服務(wù)器軟件本身，通常利用BIND軟件程序中的漏洞，導(dǎo)致DNS服務(wù)器崩潰或拒絕服務(wù)；另一種攻擊的目標(biāo)不是DNS服務(wù)器，而是利用DNS服務(wù)器作為中間的“攻擊放大器”，去攻擊其它互聯(lián)網(wǎng)上的主機(jī)，導(dǎo)致被攻擊主機(jī)拒絕服務(wù)，這種攻擊的原理為：黑客向多個(gè)DNS服務(wù)器發(fā)送大量的查詢請(qǐng)求，這些查詢請(qǐng)求數(shù)據(jù)包中的源IP地址為被攻擊主機(jī)的IP地址，DNS服務(wù)器將大量的查詢結(jié)果發(fā)送給被攻擊主機(jī)，使被攻擊主機(jī)所在的網(wǎng)絡(luò)擁塞或不再對(duì)外提供服務(wù)。這種服務(wù)會(huì)導(dǎo)致域名的正常訪問無法進(jìn)行。即該域名下的ww服務(wù)和郵件服務(wù)都將無法正常進(jìn)行。

四、DNS擴(kuò)展應(yīng)用面臨的威脅

DNS所面臨的諸多攻擊，不僅給基本的域名解析服務(wù)帶來風(fēng)險(xiǎn)，同時(shí)也使眾多基于DNS的應(yīng)用面臨威脅。

DNS負(fù)載均衡，即把DNS服務(wù)器作為網(wǎng)絡(luò)負(fù)載分配的關(guān)鍵設(shè)備，利用DNSround-robin算法把對(duì)該服務(wù)器集群域的服務(wù)請(qǐng)求，輪流解析到不同的IP地址，以分配到服務(wù)器集群中的不同的服務(wù)器上。當(dāng)DNS自身面臨DDoS(distributed deny 0f servl‘ce，分布式拒絕服務(wù))攻擊的威脅，其也就無法實(shí)現(xiàn)負(fù)載均衡的作用。

基于DNS的ENUM(RFC2916一E，164 number and DNS)技術(shù)伴隨著三網(wǎng)合一的發(fā)展趨勢(shì)和VolP應(yīng)用的普及，日趨重要。ENUM信息中包含更多的用戶信息，對(duì)授權(quán)訪問的需求更加突出，DNS所面臨的緩沖區(qū)中毒和區(qū)域信息泄漏問題，都給基于DNS的ENUW技術(shù)的發(fā)展帶來威脅。

五、結(jié)語

本文從DNS體系結(jié)構(gòu)自身存在的安全問題，BIND軟件的漏洞，到DNS服務(wù)器存在的攻擊等安全問題的分析出發(fā)，發(fā)現(xiàn)DNS系統(tǒng)的主要受攻擊手段，總結(jié)出DNS系統(tǒng)的薄弱環(huán)節(jié)以及如何保護(hù)這些弱點(diǎn)：對(duì)于DNS系統(tǒng)，需要保護(hù)數(shù)據(jù)包的完整性和數(shù)據(jù)源的合法性。