DNS的安全威脅及防護研究

宋洪娟

摘要：DNS服務作為Internet應用服務的基礎，其安全性直接決定著整個網絡的安全性，因此對DNS的安全防護非常重要。本文闡述了DNS的工作原理，分析了其面臨的安全風險，提出了DNS安全防護策略，提高DNS的安全性和抗攻擊能力。

關鍵詞：DNS；安全風險；防護策略

1引言

域名系統（Domain Name System，DNS）負責域名和IP地址之間的映射，是一個多層次的分布式數據庫系統。它是Internet的基礎服務，其安全性對整個Internet的安全有著重要的影響。而由于其開放、龐大、復雜的特性以及在設計之初對安全性的考慮不足，再加上人為蓄意的攻擊和破壞，DNS面臨非常嚴重的威脅。隨著信息高速公路的迅猛發展，非常嚴重的DNS安全事件時有發生。因此，如何解決DNS安全威脅并尋求相應解決方案是DNS亟待解決的問題。

2DNS工作原理及安全分析

2.1DNS工作原理

DNS的工作原理如圖1所示[1]。如果用戶需要對域名www.computer.com進行解析，并且本地DNS服務器不是目標域名授權DNS服務器，其緩存中也沒有該域名的記錄。

DNS服務過程如下：①用戶向本地DNS服務器發出DNS查詢請求，詢問www.computer.com的IP地址。②本地DNS服務器發現沒有相應記錄，轉而向根DNS服務器發出查詢包。根DNS服務器接到請求，返回com域的DNS服務器地址給本地DNS服務器。③本地DNS服務器向com域的DNS服務器發出請求。com域服務器返回computer.om 授權域的服務器地址。④本地DNS服務器繼續向computer.com域的DNS服務器發出解析請求。⑤computer.com域的DNS服務器向本地DNS服務器返回www.computer.com的IP地址。⑥本地DNS服務器向客戶端返回域名解析結果，同時更新自己的緩存記錄。

2.2DNS安全風險分析

從DNS服務的工作過程可以看出：①沒有合法性驗證，客戶端無法驗證收到的應答內容是否合法，服務器端也無法驗證客戶端請求是否合法。②確認機制過于簡單，由于使用UDP連接，沒有三次握手建立連接的過程，這雖加快了數據的傳輸，但也導致了防御能力差。③DNS服務具有開放性，大多數的DNS服務器沒有進行數據加密和訪問控制，客戶可對各個DNS服務器自由訪問。④DNS采用樹型結構，便于查詢和管理，但單點故障問題明顯，安全威脅大[2]。

3DNS面臨的安全威脅

3.1拒絕服務攻擊

拒絕服務攻擊DoS是一種技術含量低但是攻擊效果明顯的攻擊方法。目前針對DoS攻擊主要有兩種形式：一種是直接攻擊，即將DNS服務器作為被攻擊對象，由多臺攻擊主機向所攻擊的DNS服務器頻繁發送大量的DNS查詢請求，最終使該DNS服務器崩潰；另一種是放大式攻擊，即利用DNS服務器作為中間的攻擊放大器去攻擊網絡中其他主機。攻擊者將自身IP地址偽裝為被攻擊者的IP地址向多個DNS服務器發送大量查詢請求，DNS服務器將大量的查詢結果發送給被攻擊主機，使被攻擊主機無法提供正常的服務。

3.2DNS欺騙

DNS欺騙即域名信息欺騙是最常見的一種DNS攻擊方式。DNS數據包頭部的標識是用來匹配響應和請求數據包的。在域名解析過程中，客戶端將收到的DNS響應數據包的標識和自己發送的查詢數據包標識相比較，如若匹配則表明接收到的是自己等待的數據，若不匹配則丟棄。如果能夠偽裝DNS服務器提前向客戶端發送響應數據包，就可以將客戶端帶到指定的錯誤網站，實現DNS欺騙。

3.3系統漏洞

DNS服務軟件本身存在安全漏洞，導致DNS無法正常提供服務。BIND是最常用的DNS服務軟件。2011年3月底，一些院校投訴其DNS解析服務存在故障，經常無法正常解析域名。最后查明是bind 9軟件存在條件競爭漏洞導致的。除此之外，DNS服務器自身的安全性也非常重要。目前主流的操作系統如Windows、Linux等均存在不同程度的系統漏洞和安全風險，因此針對操作系統的漏洞防護也是DNS安全防護工作中的重點。

4DNS防護策略

根據對DNS系統安全的分析和研究，要根本解決DNS遭受的攻擊很難實現，但以下幾個安全防護策略在一定程度上能有效地提高DNS網絡的安全性。

4.1DNS進行內外劃分

把DNS服務器劃分為內部和外部兩部分，并分布在不同的網絡，實現對內外解析的不同分工。外部DNS負責對外的正常解析工作；內部DNS系統則專門負責解析內部網絡的主機。僅當內部主機要查詢Internet上的域名，而內部DNS上沒有緩存記錄時，內部DNS才將查詢任務轉發到外部DNS服務器上，由外部DNS服務器完成查詢任務，以保護內部DNS服務器免受攻擊，同時減少了信息泄漏。

4.2防火墻防護

設置防火墻安全策略，進行包過濾防護。限制訪問DNS服務器的網絡數據包的類型，實施包過濾的依據主要是端口、IP和流量。端口過濾指僅允許對53端口的訪問；IP地址限制指只允許具有合法網段的IP地址用戶訪問該DNS服務器；流量限制指對每個IP地址的DNS請求報文加以流量限制，禁止大容量DNS報文流入本網絡。

4.3系統分擔法

分擔法是利用主機的cookie緩存功能，采用網狀延伸方法將DNS體系單點故障的風險大大降低，改變了原有的主機只能通過查詢固定DNS服務器訪問Internet的單路徑結構，增加了旁路，同時減小DNS服務器的負荷。它弱化DNS功能的策略，將DNS所承擔的單點故障風險分散到網絡的各個層次，包括主機、其他服務器、路由器等。

5小結

DNS安全是當前網絡安全領域的一個重要環節。確保DNS體系的正常運轉和安全可靠，不斷發現其安全漏洞的同時不斷改正，才能使整個網絡更加健全和完善。本文提出的DNS防范策略，在某些應用環境中防護效果不夠有效。要想真正做到完美，使DNS安全性真正讓人放心，還需要繼續做更深入的研究。

參考文獻：

[1]王利霞.DNS安全現狀[J].計算機安全，2011，（1）：66-68.

[2]邵明珠.DNS安全分析及防御技術研究[J].河南機電高等專科學校學報，2011，（5）：39-41.