DNS安全研究

摘要:作為互聯網關鍵基礎設施的域名系統(DNS)其安全性正面臨嚴峻考驗。協議設計脆弱性導致數據信息真實性和完整性得不到保證，該文對域名系統進行分析，并討論了解決辦法。

關鍵詞:互聯網;DNS;服務器

DNS Security Research

PENG Zi-lin

(Hunan Normal University， Changsha 410081， China)

Abstract: Domain name system(DNS)， as the critical Internet infrastructure， its security is facing great challenge. Protocol design vulnerability provides no assurance for data authentication and integrity. In this paper， the domain name system analysis and discussion of the solution.

Key words: Internet; DNS; server

DNS(域名系統，Domain Name System)，主要用于表示服務器和其所提供的網絡服務，域名是一個命名標識，又是一個命名系統。他主要的功能是將IP地址轉換為規定的字符串，或者將規定的字符串轉換為IP地址。在Internet上域名與IP地址之間是一對一(或者多對一)的，域名雖然便于人們記憶，但機器之間只能互相認識IP地址，它們之間的轉換工作稱為域名解析，域名解析需要由專門的域名解析服務器來完成，DNS就是進行域名解析的服務器。DNS 命名用于 Internet 等 TCP/IP 網絡中，通過用戶友好的名稱查找計算機和服務。當用戶在應用程序中輸入 DNS 名稱時，DNS 服務可以將此名稱解析為與之相關的其他信息，如 IP 地址。因為，你在上網時輸入的網址，是通過域名解析系統解析找到了相對應的IP地址，這樣才能上網。其實，域名的最終指向是IP。

在IPV4中IP是由32位二進制數組成的，將這32位二進制數分成4組每組8個二進制數，將這8個二進制數轉化成十進制數，就是我們看到的IP地址，其范圍是在0～255之間。因為，8個二進制數轉化為十進制數的最大范圍就是0～255。現在已開始試運行、將來必將代替IPv4的IPV6中，將以128位二進制數表示一個IP地址。

域名服務器是一個具有層次結構的分布式系統，用于分布存儲域名空間中所包含的信息，提供域名注冊和查詢服務。

1 區(Zone)

一個獨立管理的DNS子樹稱為一個區。域名服務器中有一個數據庫，叫做區文件，它存儲這個域里面結點的信息。一個域名服務器可以將其域的一部分進行劃分并授權責任，而其自身仍保留這個域的一部分。在此情況下，其區是由具有詳細信息而沒有被授權的那部分域所組成，并可參照被授權的那些部分。

2 根服務器(Root Server)

根服務器的區包括整個樹，一般不存儲關于這些域的任何信息，但將其權限授權給其他域名服務器，并與這些服務器保持參照關系。根服務器知道所有二級域中的每個授權域名服務器的域名和IP地址。

3主服務器(Primary Server)

主服務器存儲了其所管轄的區文件，負責創建、維護和更新并在本地磁盤存儲這個區文件。所有的主服務器都必須知道根服務器的IP地址。

4 次服務器(Secondary Server)

次服務器區的所有信息從另一個服務器(主服務器或次服務器)中調入。次服務器目的是要創建數據的冗余度，以便當某個域名服務器發生故障時不會影響該區的域名服務。

5 區傳送(Zone Transfer)

主服務器從磁盤文件調入區的所有信息;次服務器則從主服務器調入區的所有信息。次服務器從主服務器調入區的信息就叫做區傳送。

由于DNS系統設計之初并沒有考慮信息的完整性、真實性、不可偽造性，也沒有考慮認證。因此，針對DNS攻擊方式層出不窮。前不久為百度提供域名服務的，DNS服務器被更換為NS8.SAN.YAHOO.COM、NS9.SAN.YAHOO.COM、YNS1.YAHOO.COM和YNS2.YAHOO.COM。由于Yahoo的反向代理啟動，百度可以正常訪問。之后，又改為NS2303.HOSTGATOR.COM和NS2304.HOSTGATOR.COM。這個時候，www.baidu.com徹底不能被訪問。

目前域名劫持成為了危害域名安全的主要技術之一。域名劫持就是在劫持的網絡范圍內攔截域名解析的請求，分析請求的域名，把審查范圍以外的請求放行，否則直接返回假的IP地址或者什么也不做使得請求失去響應，其效果就是對特定的網址不能訪問或訪問的是假網址。域名服務器就好比是帶路人，用戶好比問路人。用戶要去某地，完全靠這個帶路人。攻擊發生后，帶路人拒絕指路了或者亂指路。

可以設想一下，將來某一天M國某組織攻擊了某頂級域名服務器;然后，C國所有銀行的域名指向一一被修改，而且M國針對C國的所有網上銀行一一對應構建高仿真的網站;之后，凡是登錄C國網上銀行的用戶的用戶名和密碼均被泄露了。這種情況下，C國的損失會小么?

解決問題的幾種辦法:

1)所有大型國有機構全部改.com域名為.cn域名。

所有網上銀行、金融機構域名全部改為.cn結尾的域名方式。

由于，cn域名的根服務器完全在國內(感謝錢天白教授)，全部使用CN域名，這種方式可以最大程度保證國內用戶使用網上銀行的安全，極大的避免了域名劫持情況的發生。從本次百度域名劫持事件中來看，只有www.baidu.com.cn，這種以cn結尾的域名，才免受攻擊。

而且，根域名服務器在國內，遭受攻擊后。各部門可以很方便的、協同從源頭調查原因并解決問題。

2)所有網上支付與轉賬必須使用U盾。

在日常生活中，在互聯網瀏覽、游戲中也難免會出現用戶名和密碼泄露的情況。因此，強制要求使用U盾才能轉賬、交易的方式可以極大的避免用戶名和密碼丟失后，資金不被轉移。這也是對付域名劫持的一個有效手段。

3)開發安全的DNS服務體系。

從現有的DNS服務體系來看，域名劫持方式雖然不是新技術，但從破壞性和偽裝性兩個方面來看確實非常有效。因此開發一個安全的DNS服務體系勢在必行。

4)使用SNMP的MIB數據庫對DNS進行管理。

MIB是被管對象結構化組織的一種抽象。它是一個概念上的數據庫，由管理對象組成，各個代理管理MIB中屬于本地的管理對象，各管理代理控制的管理對象共同構成全網的管理信息庫。

IETF RFC1155的SMI規定了MIB能使用的數據類型及如何描述和命名MIB中的管理對象類型。SNMP的MIB僅僅使用了ASN.1的有限子集。它采用了4種基本類型:INTEGER、OCTET STRING、NULL和OBJECT IDENTIFER，以及兩個構造類型SEQUENCE和SEQUENCE OF來定義SNMP的MIB。所以SNMP MIB僅僅能存儲簡單的數據類型:標量型和二維表型(其基類型是標量型的)。SMI采用ASN.1描述形式，定義了Internet六個主要的管理對象類:網絡地址、IP地址、時間標記、計數器、計量器和非透明數據類型。SMI采用ASN.1中的宏的形式來定義SNMP中對象的類型和值。為了能唯一標識MIB中的對象類，SMI引入命名樹的概念，使用對象標識符來表示，命名樹的葉子表示真正的管理信息。

這里將各種不同的DNS功能劃分為兩個非重疊類:解析器功能和名字服務器功能，用相應的實體來表示。解析器和名字服務器，并根據DNS規范、配置文件和現有的DNS管理工具的使用經驗創建相應的對象進行協議描述。

參考文獻:

[1] Hunt C. Linux DNS Server管理指南[M].陳圣琳，王欣，盧峰，等，譯.北京:電子工業出版社，2001.

[2] Albitz P， Cricket Liu.DNS與BIND[M].雷迎春，龔奕利，譯.4版.北京:北京中國電力出版社，2002.

[3] 李基，楊義先.DNS安全問題及解決方案[M].北京:北京郵電大學信息安全中心，2005.

[4] 施游.百度之后，電子銀行還安全么?[EB/OL].希賽教育，http://www.educity.cn/rk/netgh/201001150939321316.htm.