淺談DNS安全防范

何黎明

DNS已成為互聯(lián)網(wǎng)重要的基礎(chǔ)服務(wù)，但它存在著嚴(yán)重的安全漏洞，近年來(lái)針對(duì)這些安全漏洞的DNS網(wǎng)絡(luò)攻擊給互聯(lián)網(wǎng)帶來(lái)了巨大的損失。

域名系統(tǒng)(Domain Name System，DNS)作為互聯(lián)網(wǎng)最基本的服務(wù)，

是所有互聯(lián)網(wǎng)應(yīng)用的基礎(chǔ)，在網(wǎng)站運(yùn)行和維護(hù)中起著至關(guān)重要的作用。但其開(kāi)放、龐大、復(fù)雜的特性以及設(shè)計(jì)之初對(duì)于安全性的考慮不足，現(xiàn)在越來(lái)越受到黑客的關(guān)注和攻擊，使得DNS系統(tǒng)面臨非常嚴(yán)重的安全威脅。21世紀(jì)以來(lái)，DNS安全事件時(shí)有發(fā)生。比如2009年暴風(fēng)影音“519”事件、2010年百度域名劫持事件等。由此可見(jiàn)，DNS服務(wù)已成為互聯(lián)網(wǎng)安全的一個(gè)重大隱患，如何尋求安全有效的解決方案是當(dāng)今DNS研究亟待解決的問(wèn)題。

攻擊方式

由于DNS在設(shè)計(jì)之初沒(méi)有考慮安全問(wèn)題，它既沒(méi)有對(duì)DNS中的數(shù)據(jù)提供認(rèn)證機(jī)制和完整性檢查，在傳輸過(guò)程中也未加密；更沒(méi)有對(duì) DNS服務(wù)進(jìn)行訪問(wèn)控制或限制，因此造成了很多安全漏洞，使DNS 容易受到分布式拒絕服務(wù)攻擊、域名劫持、域名欺騙和DNS軟件自身的漏洞等多種方式的攻擊。

分布式拒絕服務(wù)攻擊：攻擊者利用大量被其控制的主機(jī)或者模擬工具向DNS服務(wù)器發(fā)起大量的DNS請(qǐng)求，試圖使網(wǎng)絡(luò)中的一個(gè)或多個(gè)DNS服務(wù)器塞滿DNS查詢，導(dǎo)致服務(wù)器資源被耗盡，造成被攻擊網(wǎng)絡(luò)無(wú)法處理合法用戶的請(qǐng)求。

域名劫持：攻擊者通過(guò)查詢目標(biāo)域名的注冊(cè)信息，獲得管理員的郵箱地址、聯(lián)系人等信息，然后攻擊者就能破解這個(gè)郵箱。一旦攻擊者獲得這個(gè)郵箱的完全控制權(quán)，就可以通過(guò)域名注冊(cè)商提供的重置密碼功能獲取域名的管理密碼，從而可以將對(duì)應(yīng)的域名指向另一服務(wù)器IP。

域名欺騙：為了提高解析效率，DNS將收到的域名和IP地址的映射信息存放在高速緩存中。對(duì)以后相同的請(qǐng)求，DNS直接使用緩存中的信息。如果緩存內(nèi)的信息被黑客修改，當(dāng)有請(qǐng)求到來(lái)時(shí)，DNS會(huì)返回錯(cuò)誤的解析應(yīng)答，從而把原本準(zhǔn)備訪問(wèn)某網(wǎng)站的用戶在不知不覺(jué)中帶到黑客指向的其他網(wǎng)站上。

軟件漏洞：目前互聯(lián)網(wǎng)上絕大部分DNS服務(wù)器是使用開(kāi)源的BIND軟件，其軟件本身存在不少安全漏洞。比如2009年7月底被披露的“BIND9”高危漏洞，影響波及全球數(shù)萬(wàn)臺(tái)域名解析服務(wù)器。我國(guó)有數(shù)千臺(tái)政府和重要信息系統(tǒng)部門、基礎(chǔ)電信運(yùn)營(yíng)企業(yè)以及域名注冊(cè)管理和服務(wù)機(jī)構(gòu)的域名解析服務(wù)器受到影響。

安全防范措施

從以上的威脅可以看出，提升DNS服務(wù)器的安全是一個(gè)系統(tǒng)的工程，包括服務(wù)器安全、DNS注冊(cè)機(jī)制以及信息加密等。因此，DNS的安全必須從多方面入手，構(gòu)筑一套完整的安全防范體系，才能真正保證DNS的安全性。

1.加強(qiáng)服務(wù)器端安全防范

（1）將內(nèi)、外DNS服務(wù)器分別部署在不同的網(wǎng)絡(luò)中，實(shí)現(xiàn)對(duì)內(nèi)外解析的不同分工，可以減少或避免部分攻擊。

（2）加強(qiáng)操作系統(tǒng)的安全保護(hù)，及時(shí)下載系統(tǒng)補(bǔ)丁，保證操作系統(tǒng)擁有最簡(jiǎn)的服務(wù)，精簡(jiǎn)的操作系統(tǒng)可有效減少系統(tǒng)漏洞帶來(lái)的混合威脅。

（3）及時(shí)下載BIND軟件最新補(bǔ)丁、更新版本，可以防范已知的攻擊手段；同時(shí)修改配置文件，隱藏BIND版本號(hào)，設(shè)置針對(duì)限制域傳輸，限制查詢，防止DNS欺騙，設(shè)置重試查詢次數(shù)等，防止黑客進(jìn)行針對(duì)性的攻擊。

（4）對(duì)DNS服務(wù)器設(shè)置防火墻安全策略，除了提供安全的管理和服務(wù)必要的端口外，其余的訪問(wèn)一律排除在外。

（5）在安裝或升級(jí)BIND時(shí)，使用chroot環(huán)境，以非特權(quán)模式運(yùn)行程序。

2.選擇“.CN”可控域名服務(wù)

根據(jù)域名體系結(jié)構(gòu)中可以看出根域名服務(wù)器和頂級(jí)域名服務(wù)器是最為重要的，根域名服務(wù)器是根域的權(quán)威域名服務(wù)器，互聯(lián)網(wǎng)的一個(gè)主要弱點(diǎn)就是它完全依賴于使用根域名服務(wù)器的域名系統(tǒng)，根域名服務(wù)器掌握著國(guó)際頂級(jí)域名的所有授權(quán)細(xì)節(jié)。當(dāng)前全球共有13個(gè)根域名服務(wù)器，而這些根域名服務(wù)器的管理區(qū)都在國(guó)外。如果互聯(lián)網(wǎng)鏈路出現(xiàn)故障、或因根域名服務(wù)器過(guò)載、或根域名服務(wù)器數(shù)據(jù)記錄遭到惡意修改，域名安全問(wèn)題就會(huì)凸現(xiàn)出來(lái)。

“.CN”域名的根服務(wù)器完全在國(guó)內(nèi)，使用“.CN”域名可以最大程度保證國(guó)內(nèi)用戶的安全，極大地避免了域名劫持情況的發(fā)生。即使遭受攻擊，也可以很方便地聯(lián)系代理商，從源頭調(diào)查原因并解決問(wèn)題，不會(huì)因?yàn)闀r(shí)差等原因造成長(zhǎng)時(shí)間無(wú)法解決的問(wèn)題。“.COM”等其他域名的根服務(wù)器均在美國(guó)、英國(guó)、日本等國(guó)家，他們可以通過(guò)控制根服務(wù)器，對(duì)其他國(guó)家的網(wǎng)絡(luò)使用情況進(jìn)行監(jiān)控，這對(duì)我國(guó)的國(guó)家安全是個(gè)非常大的威脅。所以，為提高域名服務(wù)的安全性，我國(guó)用戶應(yīng)盡量使用“.CN”域名。

3.加強(qiáng)域名體系角色安全防范

從互聯(lián)網(wǎng)的域名體系上來(lái)看，它主要包括五個(gè)角色：域名注冊(cè)者、注冊(cè)服務(wù)機(jī)構(gòu)、注冊(cè)管理結(jié)構(gòu)、本地域名服務(wù)器和域名訪問(wèn)者，這五個(gè)角色都存在各自的安全問(wèn)題，現(xiàn)簡(jiǎn)要分析如下：

域名注冊(cè)者的安全：域名注冊(cè)者通過(guò)注冊(cè)服務(wù)機(jī)構(gòu)注冊(cè)域名后，注冊(cè)服務(wù)機(jī)構(gòu)就會(huì)給域名注冊(cè)者一個(gè)管理賬號(hào)，通過(guò)這個(gè)管理賬號(hào)可以管理其擁有域名的相關(guān)信息，比如IP地址、聯(lián)系人方式等。如果域名注冊(cè)者對(duì)其管理賬號(hào)的管理不到位的話， 那么就很可能被人占用，或者使用后進(jìn)行一些非法活動(dòng)，從而對(duì)域名注冊(cè)的個(gè)人或公司造成嚴(yán)重的負(fù)面影響，導(dǎo)致巨大的損失，2010年1月12日的百度域名劫持事件就是其典型的案例之一。

注冊(cè)服務(wù)機(jī)構(gòu)的安全：注冊(cè)服務(wù)機(jī)構(gòu)的作用是域名注冊(cè)者和域名注冊(cè)管理 機(jī)構(gòu)進(jìn)行交易的代理，而且注冊(cè)服務(wù)機(jī)構(gòu)還時(shí)常代替域名注冊(cè)者進(jìn)行注冊(cè)。因此如果注冊(cè)服務(wù)機(jī)構(gòu)對(duì)其注冊(cè)服務(wù)以及代理域名服務(wù)的安全管理工作沒(méi)有做到位的話，就會(huì)出現(xiàn)域名安全問(wèn)題。另外，注冊(cè)服務(wù)機(jī)構(gòu)和注冊(cè)管理機(jī)構(gòu)之間的通信安全也非常重要。2006年萬(wàn)網(wǎng)遭到攻擊從而引起Google.cn被導(dǎo)向至買賣網(wǎng)，還有新網(wǎng)被攻擊造成很多其代理的域名數(shù)個(gè)小時(shí)訪問(wèn)不正常都充分說(shuō)明了這個(gè)問(wèn)題。

注冊(cè)管理機(jī)構(gòu)的安全：注冊(cè)管理機(jī)構(gòu)的職責(zé)是運(yùn)行域名注冊(cè)服務(wù)并負(fù)責(zé)管理域名核心數(shù)據(jù)庫(kù)，如果這部分服務(wù)受到攻擊，會(huì)直接破壞域名服務(wù)器核心數(shù)據(jù)甚至使之缺失。2003年CNNIC的域名注冊(cè)服務(wù)的安全攻擊導(dǎo)致了域名解析數(shù) 據(jù)生成不完整，使得部分域名訪問(wèn)失敗。同時(shí)注冊(cè)管理機(jī)構(gòu)還負(fù)責(zé)運(yùn)行其管理的一組多個(gè)主輔域名服務(wù)器，域名服務(wù)器本身的安全問(wèn)題以及主輔服務(wù)器之間數(shù)據(jù)傳輸?shù)陌踩仓陵P(guān)重要。網(wǎng)絡(luò)攻擊者可以通過(guò)竊取域名服務(wù)器的管理賬號(hào)來(lái)修改域名解析數(shù)據(jù)，通過(guò)獲取主輔服務(wù)器數(shù)據(jù)同步的信息來(lái)篡改它們的解析數(shù)據(jù)，同樣也可以通過(guò)拒絕服務(wù)攻擊特別是分布式拒絕服務(wù)攻擊來(lái)致使域名服務(wù)失效。

本地域名服務(wù)器的安全：本地域名服務(wù)器作為用戶域名解析的代理，負(fù)責(zé) 完成整個(gè)域名解析過(guò)程，并將解析結(jié)果返回給用戶，幾乎任何一個(gè)網(wǎng)絡(luò)都會(huì)設(shè)置一臺(tái)或者多臺(tái)域名服務(wù)器提供給該網(wǎng)絡(luò)的用戶作為本地域名服務(wù)器。由于當(dāng)前人們對(duì)本地域名服務(wù)器的安全問(wèn)題還不是很重視，因而網(wǎng)絡(luò)攻擊者就可以抓住這點(diǎn)通過(guò)對(duì)安全管理薄弱的本地域名服務(wù)器進(jìn)行控制來(lái)修改其緩存IP地址。

域名訪問(wèn)者的安全：域名訪問(wèn)者是通過(guò)本地的應(yīng)用程序以及解析器來(lái)發(fā)起域名訪問(wèn)，并且獲取本地域名服務(wù)器返回的域名查詢結(jié)果。對(duì)于域名訪問(wèn)者而言，他們面臨的主要問(wèn)題就是本地主機(jī)的安全，如果本地主機(jī)中了各種類似后門木馬的病毒后，那么網(wǎng)絡(luò)攻擊者就可以通過(guò)這些病毒來(lái)實(shí)現(xiàn)控制用戶主機(jī)的目的，任意修改其域名查詢的結(jié)果，讓用戶自動(dòng)跳轉(zhuǎn)到其設(shè)定的不良網(wǎng)站上。

4.DNS安全擴(kuò)展(DNSSEC)

為應(yīng)對(duì)DNS在安全性設(shè)計(jì)上先天缺陷，國(guó)際組織IETF于1993年提出了DNS 安全擴(kuò)展（DNS Security Extensions，DNSSEC）的概念，并成立了DNSSEC工作組，研究DNS協(xié)議的安全擴(kuò)展，從根本上提高DNS的安全性。DNSSEC的核心思想是通過(guò)公鑰密碼技術(shù)對(duì)DNS中的信息創(chuàng)建密碼簽名，為DNS信息同時(shí)提供認(rèn)證和信息完整性檢查。為此，DNSSEC主要完成密鑰分配和消息認(rèn)證兩種密碼服務(wù)，其中密鑰分配是基礎(chǔ)，它通過(guò)分配機(jī)制讓密鑰有效地傳給接收者，而消息認(rèn)證則是核心，它利用密鑰對(duì)消息的完整性和正確性進(jìn)行認(rèn)證。在DNSSEC中，每個(gè)域都會(huì)產(chǎn)生一對(duì)公私鑰對(duì)，并保存在該域所在授權(quán)服務(wù)器中，其中私鑰由授權(quán)服務(wù)器保管，用于對(duì)它的權(quán)威數(shù)據(jù)簽名，而公鑰則可以通過(guò)網(wǎng)絡(luò)進(jìn)行傳送。

通過(guò)加密和驗(yàn)證，DNSSEC可以有效的防范已知的DNS攻擊手段，保證客戶端收到的DNS記錄的真實(shí)性和完整性；同時(shí)，DNSSEC具有向下兼容性，可以很好的兼容傳統(tǒng)DNS。要升級(jí)到DNSSEC，對(duì)于客戶端來(lái)說(shuō)，在傳統(tǒng)的DNS查詢中它只要查看所查詢的記錄是否存在即可；但對(duì)DNSSEC來(lái)說(shuō)，它還要處理公鑰的信任、簽名信息的驗(yàn)證等信息。對(duì)應(yīng)于DNS服務(wù)器的這些變更，客戶端的解析程序也必須做出相應(yīng)的更改才能實(shí)現(xiàn)相應(yīng)的功能。此外，DNSSEC還存在著不能防止 DNS放大攻擊、域名欺詐、加密和校驗(yàn)導(dǎo)致運(yùn)算開(kāi)銷過(guò)大、密鑰管理體系較為復(fù)雜等問(wèn)題。但DNSSEC提供了端到端的完整性和真實(shí)性簽名驗(yàn)證，是目前比較完善的DNS安全解決方案。

2010年5月5日，13臺(tái)根域名服務(wù)器已經(jīng)開(kāi)始DNSSEC的升級(jí)，可以預(yù)見(jiàn)不久的將來(lái)，DNSSEC將在全球范圍全面部署。然而，在現(xiàn)有技術(shù)來(lái)看，積極爭(zhēng)取獲得域名服務(wù)器的運(yùn)營(yíng)管理權(quán)，擴(kuò)大“.Cn”域名的影響力，不斷優(yōu)化域名防攻擊技術(shù)手段，增強(qiáng)對(duì)域名安全的重視，不斷完善的域名管理和監(jiān)管體系，才能從源頭上去維護(hù)域名的安全。域名系統(tǒng)的安全問(wèn)題是一個(gè)綜合性問(wèn)題，涉及面非常廣，要想全面保證這樣一個(gè)系統(tǒng)的安全，是一項(xiàng)極為復(fù)雜的工程，還有很長(zhǎng)的路要走。

（作者單位：江西省信息中心）

通過(guò)加密和驗(yàn)證，DNSSEC可以有效的保證客戶端收到的DNS記錄的真實(shí)性和完整性；同時(shí)，DNSSEC具有向下兼容性，可以很好的兼容傳統(tǒng)DNS。因此，DNSSEC是目前比較完善的DNS安全解決方案。