DNS服務(wù)器攻擊防范措施分析

謝家浩

摘 要：在信息時代，網(wǎng)絡(luò)對我們的影響越來越深遠(yuǎn)，人們對于網(wǎng)絡(luò)安全性的衡量，便是通過其訪問信息可得性與有效性進(jìn)行，從目前的網(wǎng)絡(luò)環(huán)境來看，安全問題日益嚴(yán)重。其中一個突出的表現(xiàn)就是DNS服務(wù)器的攻擊問題，本文主要針對DNS服務(wù)器的攻擊原理與防范措施進(jìn)行分析。

關(guān)鍵詞：DNS服務(wù)器；攻擊原理；防范措施

DNS在網(wǎng)絡(luò)中起著舉足輕重的作用，所以它的安全性關(guān)系到整個網(wǎng)絡(luò)的運行狀況。而且，隨著互聯(lián)網(wǎng)的不斷發(fā)展，DNS成為全球最復(fù)雜、最龐大的分布式層次數(shù)據(jù)庫系統(tǒng)。一方面因為這些特性和一些設(shè)計人員設(shè)計時對其安全性的考慮不夠全面等因素，給了黑客們攻擊和破壞的機會。DNS正在面臨著嚴(yán)重的威脅，對此本文就DNS的工作原理，提出了一些常見的安全威脅，并針對這些威脅給出了相應(yīng)的解決措施。

1 DNS的工作原理

DNS的作用是實現(xiàn)IP地址和域名間的相互轉(zhuǎn)換，即在IP地址和域名之間充當(dāng)翻譯。DNS由Sever和Client兩部分組成，工作過程是Client向Server請求域名解析，Server查詢自己的數(shù)據(jù)庫。當(dāng)其存在Client請求的內(nèi)容時，會發(fā)送相應(yīng)的數(shù)據(jù)包并輸出相應(yīng)的結(jié)果；當(dāng)不存在相應(yīng)內(nèi)容時，它會進(jìn)行上一層的Server查詢，并如此不間斷查詢直到查詢出需要的結(jié)果或給出查詢失敗的結(jié)果。根據(jù)DNS的具體工作流程我們可以發(fā)現(xiàn)DNS體系中存在的一些漏洞：迭代查詢會使服務(wù)器嚴(yán)重依賴于頂級域和根域服務(wù)器。使用無連接明文的UDP協(xié)議傳送增大了偽造和投毒的機會，而且明文傳送會使得DNS的保密性極低。除了這些，還有一些漏洞來自于DNS服務(wù)器的軟件本身。

2 常見的DNS攻擊

網(wǎng)絡(luò)攻擊者看到了通過DNS進(jìn)行攻擊時具有成本小、效率高、并且可以利用少量資源就能發(fā)出極大破壞力的攻擊，而且攻擊可以很容易地逃過監(jiān)控和防護(hù)等便利，而大肆攻擊網(wǎng)絡(luò)的DNS。正因此，DNS成為了Internet安全的重大隱患。對此本文對常見的DNS攻擊進(jìn)行了分析。

2.1 緩存投毒

緩存投毒講的是黑客利用DNS緩存服務(wù)器將用戶訪問的網(wǎng)站轉(zhuǎn)到其他的網(wǎng)站并達(dá)到其相應(yīng)的目的。主要的投毒方式有兩種：一種是通過控制和攻擊用戶的DNS緩存服務(wù)器，從而改變用戶訪問域名的相應(yīng)結(jié)果，另一種是攻擊權(quán)威域名服務(wù)器，在用戶同時將用戶和權(quán)威域名服務(wù)器當(dāng)作緩存服務(wù)器時，將錯誤的域名導(dǎo)入服務(wù)器緩存中。從而使該服務(wù)器輸出不正確的DNS解析結(jié)果。總體來看，緩存投毒針對的是連接這些服務(wù)器的用戶們。

2.2 DNS欺騙

DNS欺騙也是常見的問題，其本質(zhì)就是利用冒充域名服務(wù)器來攻擊的行為，在進(jìn)行攻擊前，黑客需要為用戶傳輸虛假DNS服務(wù)器響應(yīng)結(jié)果，誘騙用戶來點擊惡意網(wǎng)站。在網(wǎng)絡(luò)攻擊者截取了用戶發(fā)送的請求之后，就會發(fā)送給其虛假的IP地址，但是用戶卻毫不知情，將其作為正確的訪問地址來點擊，這樣，黑客就實現(xiàn)了欺騙用戶的目的，非法獲取到相關(guān)的利益。

2.3 DDoS攻擊

DDoS攻擊的實現(xiàn)也有兩種方式：

一是利用DNS的服務(wù)器軟件中的各種漏洞，使其拒絕服務(wù)或崩潰。

二是把DNS服務(wù)器當(dāng)成“踏板”去攻擊其他互聯(lián)網(wǎng)主機或服務(wù)器并使它們拒絕提供服務(wù)。

3 DNS攻擊的防范措施

針對上述攻擊手段我們提出了相應(yīng)防范措施：

3.1 緩存投毒的防范措施分析

一種是及時更新DNS數(shù)據(jù)庫，并根據(jù)服務(wù)器的實際運行情況和性能適當(dāng)?shù)慕档头?wù)器緩存記錄的TTL值來預(yù)防緩存中毒。另一種措施是UDP端口隨機化，通過這種方法可以極大提高端口號和UDP號的組合方案而降低緩存投毒的命中幾率。

3.2 DNS欺騙的防范措施分析

通過綁定IP地址和網(wǎng)關(guān)路由器MAC地址來避免ARP欺騙造成的DNS欺騙。因為這種欺騙利用的是APP欺騙；而針對用戶收到的欺騙應(yīng)答包，我們可以利用它為快速返回給客戶端而采用比合法應(yīng)答包簡單的報文特點，來監(jiān)聽DNS應(yīng)答包，根據(jù)相應(yīng)的算法來鑒別真假，從而避免DNS欺騙。最好的是要對服務(wù)器給出適當(dāng)?shù)陌踩渲煤凸芾怼σ恍┌踩墑e要求較高的可以通過繞開DNS服務(wù)而直接訪問IP地址。這樣所有的DNS攻擊都可以避免了。

3.3 DDoS攻擊防范措施

DDoS防范措施有以下幾種：安裝相應(yīng)的防火墻來限制和過濾高DNS流量請求；撤銷服務(wù)器中允許查詢網(wǎng)址的遞回選項；冗余備份重要的DNS服務(wù)器等等。

4 結(jié)語

越來越猖狂的網(wǎng)絡(luò)攻擊已經(jīng)嚴(yán)重危機到網(wǎng)絡(luò)的安全。所以我們必須學(xué)習(xí)和掌握豐富的網(wǎng)絡(luò)知識并了解黑客們的攻擊手段來抵御他們的瘋狂攻擊。而且在任何時候都要吧網(wǎng)絡(luò)安全教育放在安全體系的第一位，只有這樣才能提高網(wǎng)絡(luò)用戶們的安全意識，再遇到網(wǎng)絡(luò)攻擊是會有一些防范措施來進(jìn)行防范。對于一些網(wǎng)絡(luò)初學(xué)者也不要過分擔(dān)心DNS攻擊，因為市場上已經(jīng)推出了大量的網(wǎng)絡(luò)安全方案，在不久的將來，我們一定會有一個安全的信息的傳輸媒介。

參考文獻(xiàn)：

[1] 劉揚，劉楊，胡仕成，朱東杰.基于ARP與DNS欺騙的重定向技術(shù)的研究[J].計算機工程與設(shè)計，2007（23）.

[2] 李江，張峰，付俊，楊光華.一種基于資源感知的小流量DDoS攻擊防御方法[J].電信工程技術(shù)與標(biāo)準(zhǔn)化，2013（12）.

[3] 楊小紅，鄭瑋琨.IPv6下確定性包標(biāo)記追蹤[J].深圳信息職業(yè)技術(shù)學(xué)院學(xué)報，2016（03）.

[4] 周予倩.基于防御視角的常見網(wǎng)絡(luò)攻擊技術(shù)發(fā)展趨勢研究[J].計算機光盤軟件與應(yīng)用，2012（22）.