淺析DNS安全相關(guān)技術(shù)問(wèn)題

趙逸瓊

[摘要]DNs安全技術(shù)問(wèn)題值得深入研究，從DNS體系結(jié)構(gòu)自身存在的安全問(wèn)題，BIND軟件的漏洞，到DNS服務(wù)器存在的攻擊等安全問(wèn)題的分析}}l發(fā)，發(fā)]~DNS系統(tǒng)的主要受攻擊手段，總結(jié)出DNS系統(tǒng)的薄弱環(huán)節(jié)以及如何保護(hù)這些弱點(diǎn)。

[關(guān)鍵詞]DNs安全DNS服務(wù)器攻擊軟件漏洞

中圖分類號(hào)：TP3文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：'671—7597(2009)1020084--01

由于DNS系統(tǒng)是作為一個(gè)開放系統(tǒng)設(shè)計(jì)的，存在未授權(quán)信息的泄漏，網(wǎng)絡(luò)攻擊等安全問(wèn)題，使得其保密性無(wú)法保證，同時(shí)缺乏有效的接入控制。網(wǎng)絡(luò)黑客針對(duì)這一安全漏洞，通過(guò)攻擊DNS，從而造成整個(gè)或部分網(wǎng)絡(luò)的癱瘓。本文將從各方面來(lái)分析DNS系統(tǒng)自身存在的安全漏洞以及DNS服務(wù)器存在的安全攻擊。

一、DNS結(jié)構(gòu)的單點(diǎn)故障

DNS采用層次化的樹狀結(jié)構(gòu)，由樹葉走向樹根就可以形成一個(gè)全資格域名(FQDN)，每個(gè)個(gè)FODN都是唯一的。在樹中，給出主機(jī)名由根到計(jì)卜的查詢，可找到屬于這臺(tái)主機(jī)的IP地址。對(duì)于反向映射也有類似的樹存在，在樹中查詢IP地址可找到對(duì)應(yīng)這個(gè)IP地址的主機(jī)名或者FQDN。DNS網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1所示。DNS服務(wù)器s2為網(wǎng)絡(luò)結(jié)點(diǎn)A，B，c，D，E提供域名解析服務(wù)-由于大部分的網(wǎng)絡(luò)應(yīng)用通過(guò)域名訪問(wèn)Internet，所以如果s2不能正常工作，則其所轄的所有節(jié)點(diǎn)都無(wú)法通過(guò)域名連接到網(wǎng)絡(luò)，s2成為該子網(wǎng)的瓶頸，存在單點(diǎn)故障風(fēng)險(xiǎn)的問(wèn)題。

二、DNS軟件漏洞

BIND(Berkeley Internet Name Domain)是我們所熟知的域名軟件，具有廣泛的使用基礎(chǔ)，Internet上的絕大多數(shù)DNS服務(wù)器都是基于這個(gè)軟件的。BIND提供高效服務(wù)的同時(shí)也存在著眾多的安全性漏洞。Cert2002年度報(bào)告中指出，DNS-BIND的安全漏洞成為當(dāng)年最具威脅的漏洞。

構(gòu)成嚴(yán)重威脅的漏洞主要有兩種。一種是緩沖區(qū)溢出漏洞，嚴(yán)重的可以使攻擊者在DNS服務(wù)器上執(zhí)行任意指令，如BIND SIG Cached RR DoS在BIND4和BIND8中存在一個(gè)遠(yuǎn)程緩沖溢出缺陷，該缺陷使得攻擊者可以在DNS服務(wù)器上運(yùn)行任意指令。另一種是拒絕服務(wù)(DOS)漏洞，受攻擊后DNS服務(wù)器不能提供正常服務(wù)，使得其所轄的子網(wǎng)無(wú)法正常工作，如BINDOPT DoS遞歸方式的BIND8服務(wù)程序會(huì)在assertion失敗時(shí)突然中斷服務(wù)。DNS拒絕服務(wù)漏洞的另一個(gè)例子是BIND SIG Expire Time DoS遞歸方式的BIND8服務(wù)程序會(huì)因?yàn)槭褂靡粋€(gè)無(wú)效空指針而突然中斷服務(wù)。

三、DNS服務(wù)器存在的攻擊

(一)域名劫持

域名劫持通常是指通過(guò)采用黑客手段控制了域名管理密碼和域名管理郵箱，然后將該域名的NS紀(jì)錄指向到黑客可以控制的DNS服務(wù)器，然后通過(guò)在該DNS服務(wù)器上添加相應(yīng)域名紀(jì)錄，從而使網(wǎng)民訪問(wèn)該域名時(shí)，進(jìn)入了黑客所指向的內(nèi)容。值得注意的是：域名被劫持后，不僅網(wǎng)站內(nèi)容會(huì)被改變，甚至可以導(dǎo)致域名所有權(quán)也旁落他人。如果是國(guó)內(nèi)的cN域名被劫持，還可以通過(guò)和注冊(cè)服務(wù)商或注冊(cè)管理機(jī)構(gòu)聯(lián)系，較快地拿回控制權(quán)。如果是國(guó)際域名被劫持，恰巧又是通過(guò)國(guó)際注冊(cè)商注冊(cè)，那么其復(fù)雜的解決流程，再加上非本地化的服務(wù)，會(huì)使得奪回域名變得異常復(fù)雜。

(二)域名欺騙(緩存投毒)

域名欺騙的方式有多種多樣，但其攻擊現(xiàn)象就是利用控制DNS緩存服務(wù)器，把原本準(zhǔn)備訪問(wèn)某網(wǎng)站的用戶在不知不覺中帶到黑客指向的其他網(wǎng)站上，其實(shí)現(xiàn)方式可以通過(guò)利用網(wǎng)民ISP端的DNS緩存服務(wù)器的漏洞進(jìn)行攻擊或控制，從而改變?cè)揑SP內(nèi)的用戶訪問(wèn)域名的響應(yīng)結(jié)果?；蛘吆诳屯ㄟ^(guò)利用用戶權(quán)威域名服務(wù)器上的漏洞，如當(dāng)用戶權(quán)威域名服務(wù)器同時(shí)可以被當(dāng)作緩存服務(wù)器使用，黑客可以實(shí)現(xiàn)緩存投毒，將錯(cuò)誤的域名紀(jì)錄存入緩存中。從而使所有使用該緩存服務(wù)器的用戶得到錯(cuò)誤的DNS解析結(jié)果。

(三)DOOS(分布式拒絕服務(wù))攻擊

針對(duì)DNS服務(wù)器的拒絕服務(wù)攻擊有兩種，一種攻擊針對(duì)DNS服務(wù)器軟件本身，通常利用BIND軟件程序中的漏洞，導(dǎo)致DNS服務(wù)器崩潰或拒絕服務(wù)；另一種攻擊的目標(biāo)不是DNS服務(wù)器，而是利用DNS服務(wù)器作為中間的“攻擊放大器”，去攻擊其它互聯(lián)網(wǎng)上的主機(jī)，導(dǎo)致被攻擊主機(jī)拒絕服務(wù)，這種攻擊的原理為：黑客向多個(gè)DNS服務(wù)器發(fā)送大量的查詢請(qǐng)求，這些查詢請(qǐng)求數(shù)據(jù)包中的源IP地址為被攻擊主機(jī)的IP地址，DNS服務(wù)器將大量的查詢結(jié)果發(fā)送給被攻擊主機(jī)，使被攻擊主機(jī)所在的網(wǎng)絡(luò)擁塞或不再對(duì)外提供服務(wù)。這種服務(wù)會(huì)導(dǎo)致域名的正常訪問(wèn)無(wú)法進(jìn)行。即該域名下的ww服務(wù)和郵件服務(wù)都將無(wú)法正常進(jìn)行。

四、DNS擴(kuò)展應(yīng)用面臨的威脅

DNS所面臨的諸多攻擊，不僅給基本的域名解析服務(wù)帶來(lái)風(fēng)險(xiǎn)，同時(shí)也使眾多基于DNS的應(yīng)用面臨威脅。

DNS負(fù)載均衡，即把DNS服務(wù)器作為網(wǎng)絡(luò)負(fù)載分配的關(guān)鍵設(shè)備，利用DNSround-robin算法把對(duì)該服務(wù)器集群域的服務(wù)請(qǐng)求，輪流解析到不同的IP地址，以分配到服務(wù)器集群中的不同的服務(wù)器上。當(dāng)DNS自身面臨DDoS(distributed deny 0f servl‘ce，分布式拒絕服務(wù))攻擊的威脅，其也就無(wú)法實(shí)現(xiàn)負(fù)載均衡的作用。

基于DNS的ENUM(RFC2916一E，164 number and DNS)技術(shù)伴隨著三網(wǎng)合一的發(fā)展趨勢(shì)和VolP應(yīng)用的普及，日趨重要。ENUM信息中包含更多的用戶信息，對(duì)授權(quán)訪問(wèn)的需求更加突出，DNS所面臨的緩沖區(qū)中毒和區(qū)域信息泄漏問(wèn)題，都給基于DNS的ENUW技術(shù)的發(fā)展帶來(lái)威脅。

五、結(jié)語(yǔ)

本文從DNS體系結(jié)構(gòu)自身存在的安全問(wèn)題，BIND軟件的漏洞，到DNS服務(wù)器存在的攻擊等安全問(wèn)題的分析出發(fā)，發(fā)現(xiàn)DNS系統(tǒng)的主要受攻擊手段，總結(jié)出DNS系統(tǒng)的薄弱環(huán)節(jié)以及如何保護(hù)這些弱點(diǎn)：對(duì)于DNS系統(tǒng)，需要保護(hù)數(shù)據(jù)包的完整性和數(shù)據(jù)源的合法性。