DNS拒絕服務攻擊以及防范措施分析

白競雄

摘 要 文章首先就DNS拒絕服務供給的概念與原理進行分析，而后進一步針對DNS服務器攻擊防范措施展開了討論，對于深入了解DNS的工作機制，提升其安全水平都有一定的積極意義。

關鍵詞 DNS；拒絕服務；攻擊；防范

中圖分類號：TP3 文獻標識碼：A 文章編號：1671-7597（2014）08-0082-01

當前信息時代之下，各種網頁訪問的有效性和信息的可得性，是衡量網站健康狀況的基本準繩，然而與信息化共同發展起來的，除了成熟的網絡環境，相關的安全問題也愈加尖銳。在諸多安全問題中，關于DNS的拒絕服務，作為一個危機典范，受到越來越多的關注。

1 DNS拒絕服務供給的概念與原理

想要了解關于DNS安全攻擊的原理，首先需要對DNS的工作原理有所了解。域名系統（DNS，Domain Name System）是當前互聯網環境下關鍵的基礎設施之一，其存在價值主要在于提供諸多網頁的主機名稱以及IP地址之間的映射，確保包括網頁瀏覽以及電子郵件在內的諸多訪問請求能夠順利展開。從工作原理角度看，DNS系統以一個分布式數據庫系統的形式存在，當客戶段需要解析某一個域名的IP地址的時候，需要先向DNS服務器發起查詢請求，由DNS服務器先行搜索本地緩存，如果緩存中不存在相關記錄，則進一步展開遞歸查詢直到獲取到相應記錄，將獲取到的映射信息依據優化算法進行存儲并且對客戶端的查詢請求予以回應。

從供給的表現角度看，拒絕服務攻擊（DoS，Denial of Service）的本質目的在于剝奪計算機或網絡為合法用戶提供正常服務的能力，攻擊方通常通過網絡向DNS服務段發起大量查詢服務，耗費DNS服務器查詢資源導致無法對正常的用戶需求做出響應，也有可能篡改DNS本地緩存的數據導致其真實性出現誤差，從而出現錯誤解析結果。從原理上看，可以將對于DNS的攻擊劃分為兩種，包括欺騙式攻擊和反彈式攻擊。在欺騙式攻擊中，攻擊方采用緩沖區溢出或者特洛伊木馬等攻擊方式對DNS服務器的高速緩存實現入侵，并且誘導使其存儲虛假信息，或者獲得root權限改變服務器的轉換表使不同的域名映射到被攻擊的目標IP上。對于這種情況，當正常用戶發出域名解析查詢請求的時候，會得到錯誤的IP應答，從而使得用戶的計算機訪問跳轉到錯誤的網址。而對于反彈式攻擊而言，則是指攻擊方發送源IP為被攻擊目標IP的查詢報文到大量開放的DNS服務器，DNS服務器把相應的應答報文發送到被攻擊目標。被攻擊目標所在的網絡被大量的DNS應答報文淹沒，導致帶寬被完全消耗無法對外提供服務。

DNS作為整個網絡正常秩序的一種索引，其存在的價值不言而喻，當DNS遭受攻擊而失去其本身存在價值或者解析能力的時候，就會直接影響到人們對于網絡的正常訪問，并且基于這種索引本身的作用地位考慮，其影響面之大不容忽視。因此對于DNS服務器本身的安全工作水平提升，必須正視。

2 DNS服務器攻擊防范措施分析

對于DNS的攻擊，雖然明確隸屬于安全攻擊的范疇內，但是發起攻擊的報文本身卻呈現出合法特征，因此想要建立起類似于防火墻或者攻擊嗅探等功能的軟硬件系統，借以實現對于DNS服務器的保護，并不容易。但是經過對于DNS攻擊行為特征的長期分析，仍然可以從如下幾個方面加以提升DNS服務器本身的安全水平。

2.1 建立鏡像服務器

此種方法的實現目標，在于在網絡中實現對于DNS信息查詢的負載均衡。在同一區域內，考慮配置主服務器和從服務器兩個并行服務器，其中主服務器可以用于ROOTZONE文件的維護，而從服務器在工作過程中則定期從主服務器上讀取數據以保持二者的同步。區域內部的多個自治系統，均可依據從服務器數據建立起相關的鏡像服務器，這種方式可以幫助用戶就近獲取到DNS解析服務，一方面提升了整個DNS解析系統的響應效率，另一個方面，這種多級的狀態可以對DNS主服務器實現保護，從安全角度看多了一個層級保護，有效降低了主服務器被直接攻擊的可能性。

2.2 加強防火墻等保護系統建立

雖然防火墻對于DNS攻擊防范的作用相對有限，但是仍然需要基于安全考慮加強各方面的建設，其中包括防火墻以及嗅探器等在內的手段都應當在這個過程中予以重視。防火墻以及嗅探器的工作重點在于針對網絡數據流展開監聽監測，當網絡中的流量超過一定的閾值時檢測系統會發出報警信息。這一方面的工作通常由網絡入侵檢測系統（NIDS，Network Intrusion Dete ction Systems）協助防火墻加以實現，并且在實際的工作過程中注意及時更新NIDS的相關安全策略判斷規則。與此同時，在DNS服務器上仍然應當安裝有完整防火墻，實現對于來往數據流的監聽檢測。但是對于此種防火墻的作用，其工作重點并不在于此，更為重要的工作應當是對單個IP地址每秒的域名解析請求次數，從而克服DNS應答無狀態的缺陷。

2.3 加強DNS服務器的管理

DNS服務器本身也是網絡上的一個節點，同樣要面對黑客以及木馬等攻擊，如果遭受這些攻擊，無異于為拒絕服務攻擊敞開大門。基于這樣的考慮，同樣應當為DNS展開必要的維護，包括及時更新系統，修改默認端口，加強用戶管理等，都應當包含在這個范圍之內。在加強管理的過程中，應當重點關注對于數據檔案的建立，這不僅僅是對于算法的優化，更應當是對于不同解析請求行為識別的優化。同時還應當加強交叉檢驗功能的建設，即當服務器能夠通過反向查詢得到IP所對應的主機名的時候，用該主機名查詢DNS系統對應于該主機名的IP地址，在二者相一致的情況之下才做出相應的應答。

3 結論

DNS服務器的安全，直接關系到整個網絡的安全，并且影響著用戶需求能否有效得到滿足，在某些情況下甚至會成為關系到國家利益和安全的重大問題。基于此種考慮，必須認真對待，不斷分析現有不足，有的放矢地提出改進建議并且加以落實執行，才能夠為加強DNS服務建設作出貢獻。

參考文獻

[1]李德全.拒絕服務攻擊[M].北京：電子工業出版社，2007.

[2]賀龍濤，方濱興，胡銘曾.主動監聽中協議欺騙的研究[J].通信學報，2003（24）.

[3]張小妹，趙榮彩，單征，陳靜.基于DNS的拒絕服務攻擊研究與防范[J].計算機工程與設計，2008（01）.endprint