淺析DNS安全相關技術問題

趙逸瓊

[摘要]DNs安全技術問題值得深入研究，從DNS體系結構自身存在的安全問題，BIND軟件的漏洞，到DNS服務器存在的攻擊等安全問題的分析}}l發，發]~DNS系統的主要受攻擊手段，總結出DNS系統的薄弱環節以及如何保護這些弱點。

[關鍵詞]DNs安全DNS服務器攻擊軟件漏洞

中圖分類號：TP3文獻標識碼：A文章編號：'671—7597(2009)1020084--01

由于DNS系統是作為一個開放系統設計的，存在未授權信息的泄漏，網絡攻擊等安全問題，使得其保密性無法保證，同時缺乏有效的接入控制。網絡黑客針對這一安全漏洞，通過攻擊DNS，從而造成整個或部分網絡的癱瘓。本文將從各方面來分析DNS系統自身存在的安全漏洞以及DNS服務器存在的安全攻擊。

一、DNS結構的單點故障

DNS采用層次化的樹狀結構，由樹葉走向樹根就可以形成一個全資格域名(FQDN)，每個個FODN都是唯一的。在樹中，給出主機名由根到計卜的查詢，可找到屬于這臺主機的IP地址。對于反向映射也有類似的樹存在，在樹中查詢IP地址可找到對應這個IP地址的主機名或者FQDN。DNS網絡拓撲結構如圖1所示。DNS服務器s2為網絡結點A，B，c，D，E提供域名解析服務-由于大部分的網絡應用通過域名訪問Internet，所以如果s2不能正常工作，則其所轄的所有節點都無法通過域名連接到網絡，s2成為該子網的瓶頸，存在單點故障風險的問題。

二、DNS軟件漏洞

BIND(Berkeley Internet Name Domain)是我們所熟知的域名軟件，具有廣泛的使用基礎，Internet上的絕大多數DNS服務器都是基于這個軟件的。BIND提供高效服務的同時也存在著眾多的安全性漏洞。Cert2002年度報告中指出，DNS-BIND的安全漏洞成為當年最具威脅的漏洞。

構成嚴重威脅的漏洞主要有兩種。一種是緩沖區溢出漏洞，嚴重的可以使攻擊者在DNS服務器上執行任意指令，如BIND SIG Cached RR DoS在BIND4和BIND8中存在一個遠程緩沖溢出缺陷，該缺陷使得攻擊者可以在DNS服務器上運行任意指令。另一種是拒絕服務(DOS)漏洞，受攻擊后DNS服務器不能提供正常服務，使得其所轄的子網無法正常工作，如BINDOPT DoS遞歸方式的BIND8服務程序會在assertion失敗時突然中斷服務。DNS拒絕服務漏洞的另一個例子是BIND SIG Expire Time DoS遞歸方式的BIND8服務程序會因為使用一個無效空指針而突然中斷服務。

三、DNS服務器存在的攻擊

(一)域名劫持

域名劫持通常是指通過采用黑客手段控制了域名管理密碼和域名管理郵箱，然后將該域名的NS紀錄指向到黑客可以控制的DNS服務器，然后通過在該DNS服務器上添加相應域名紀錄，從而使網民訪問該域名時，進入了黑客所指向的內容。值得注意的是：域名被劫持后，不僅網站內容會被改變，甚至可以導致域名所有權也旁落他人。如果是國內的cN域名被劫持，還可以通過和注冊服務商或注冊管理機構聯系，較快地拿回控制權。如果是國際域名被劫持，恰巧又是通過國際注冊商注冊，那么其復雜的解決流程，再加上非本地化的服務，會使得奪回域名變得異常復雜。

(二)域名欺騙(緩存投毒)

域名欺騙的方式有多種多樣，但其攻擊現象就是利用控制DNS緩存服務器，把原本準備訪問某網站的用戶在不知不覺中帶到黑客指向的其他網站上，其實現方式可以通過利用網民ISP端的DNS緩存服務器的漏洞進行攻擊或控制，從而改變該ISP內的用戶訪問域名的響應結果。或者黑客通過利用用戶權威域名服務器上的漏洞，如當用戶權威域名服務器同時可以被當作緩存服務器使用，黑客可以實現緩存投毒，將錯誤的域名紀錄存入緩存中。從而使所有使用該緩存服務器的用戶得到錯誤的DNS解析結果。

(三)DOOS(分布式拒絕服務)攻擊

針對DNS服務器的拒絕服務攻擊有兩種，一種攻擊針對DNS服務器軟件本身，通常利用BIND軟件程序中的漏洞，導致DNS服務器崩潰或拒絕服務；另一種攻擊的目標不是DNS服務器，而是利用DNS服務器作為中間的“攻擊放大器”，去攻擊其它互聯網上的主機，導致被攻擊主機拒絕服務，這種攻擊的原理為：黑客向多個DNS服務器發送大量的查詢請求，這些查詢請求數據包中的源IP地址為被攻擊主機的IP地址，DNS服務器將大量的查詢結果發送給被攻擊主機，使被攻擊主機所在的網絡擁塞或不再對外提供服務。這種服務會導致域名的正常訪問無法進行。即該域名下的ww服務和郵件服務都將無法正常進行。

四、DNS擴展應用面臨的威脅

DNS所面臨的諸多攻擊，不僅給基本的域名解析服務帶來風險，同時也使眾多基于DNS的應用面臨威脅。

DNS負載均衡，即把DNS服務器作為網絡負載分配的關鍵設備，利用DNSround-robin算法把對該服務器集群域的服務請求，輪流解析到不同的IP地址，以分配到服務器集群中的不同的服務器上。當DNS自身面臨DDoS(distributed deny 0f servl‘ce，分布式拒絕服務)攻擊的威脅，其也就無法實現負載均衡的作用。

基于DNS的ENUM(RFC2916一E，164 number and DNS)技術伴隨著三網合一的發展趨勢和VolP應用的普及，日趨重要。ENUM信息中包含更多的用戶信息，對授權訪問的需求更加突出，DNS所面臨的緩沖區中毒和區域信息泄漏問題，都給基于DNS的ENUW技術的發展帶來威脅。

五、結語

本文從DNS體系結構自身存在的安全問題，BIND軟件的漏洞，到DNS服務器存在的攻擊等安全問題的分析出發，發現DNS系統的主要受攻擊手段，總結出DNS系統的薄弱環節以及如何保護這些弱點：對于DNS系統，需要保護數據包的完整性和數據源的合法性。