DNS服務器攻擊防范措施分析

謝家浩

摘 要：在信息時代，網絡對我們的影響越來越深遠，人們對于網絡安全性的衡量，便是通過其訪問信息可得性與有效性進行，從目前的網絡環境來看，安全問題日益嚴重。其中一個突出的表現就是DNS服務器的攻擊問題，本文主要針對DNS服務器的攻擊原理與防范措施進行分析。

關鍵詞：DNS服務器；攻擊原理；防范措施

DNS在網絡中起著舉足輕重的作用，所以它的安全性關系到整個網絡的運行狀況。而且，隨著互聯網的不斷發展，DNS成為全球最復雜、最龐大的分布式層次數據庫系統。一方面因為這些特性和一些設計人員設計時對其安全性的考慮不夠全面等因素，給了黑客們攻擊和破壞的機會。DNS正在面臨著嚴重的威脅，對此本文就DNS的工作原理，提出了一些常見的安全威脅，并針對這些威脅給出了相應的解決措施。

1 DNS的工作原理

DNS的作用是實現IP地址和域名間的相互轉換，即在IP地址和域名之間充當翻譯。DNS由Sever和Client兩部分組成，工作過程是Client向Server請求域名解析，Server查詢自己的數據庫。當其存在Client請求的內容時，會發送相應的數據包并輸出相應的結果；當不存在相應內容時，它會進行上一層的Server查詢，并如此不間斷查詢直到查詢出需要的結果或給出查詢失敗的結果。根據DNS的具體工作流程我們可以發現DNS體系中存在的一些漏洞：迭代查詢會使服務器嚴重依賴于頂級域和根域服務器。使用無連接明文的UDP協議傳送增大了偽造和投毒的機會，而且明文傳送會使得DNS的保密性極低。除了這些，還有一些漏洞來自于DNS服務器的軟件本身。

2 常見的DNS攻擊

網絡攻擊者看到了通過DNS進行攻擊時具有成本小、效率高、并且可以利用少量資源就能發出極大破壞力的攻擊，而且攻擊可以很容易地逃過監控和防護等便利，而大肆攻擊網絡的DNS。正因此，DNS成為了Internet安全的重大隱患。對此本文對常見的DNS攻擊進行了分析。

2.1 緩存投毒

緩存投毒講的是黑客利用DNS緩存服務器將用戶訪問的網站轉到其他的網站并達到其相應的目的。主要的投毒方式有兩種：一種是通過控制和攻擊用戶的DNS緩存服務器，從而改變用戶訪問域名的相應結果，另一種是攻擊權威域名服務器，在用戶同時將用戶和權威域名服務器當作緩存服務器時，將錯誤的域名導入服務器緩存中。從而使該服務器輸出不正確的DNS解析結果。總體來看，緩存投毒針對的是連接這些服務器的用戶們。

2.2 DNS欺騙

DNS欺騙也是常見的問題，其本質就是利用冒充域名服務器來攻擊的行為，在進行攻擊前，黑客需要為用戶傳輸虛假DNS服務器響應結果，誘騙用戶來點擊惡意網站。在網絡攻擊者截取了用戶發送的請求之后，就會發送給其虛假的IP地址，但是用戶卻毫不知情，將其作為正確的訪問地址來點擊，這樣，黑客就實現了欺騙用戶的目的，非法獲取到相關的利益。

2.3 DDoS攻擊

DDoS攻擊的實現也有兩種方式：

一是利用DNS的服務器軟件中的各種漏洞，使其拒絕服務或崩潰。

二是把DNS服務器當成“踏板”去攻擊其他互聯網主機或服務器并使它們拒絕提供服務。

3 DNS攻擊的防范措施

針對上述攻擊手段我們提出了相應防范措施：

3.1 緩存投毒的防范措施分析

一種是及時更新DNS數據庫，并根據服務器的實際運行情況和性能適當的降低服務器緩存記錄的TTL值來預防緩存中毒。另一種措施是UDP端口隨機化，通過這種方法可以極大提高端口號和UDP號的組合方案而降低緩存投毒的命中幾率。

3.2 DNS欺騙的防范措施分析

通過綁定IP地址和網關路由器MAC地址來避免ARP欺騙造成的DNS欺騙。因為這種欺騙利用的是APP欺騙；而針對用戶收到的欺騙應答包，我們可以利用它為快速返回給客戶端而采用比合法應答包簡單的報文特點，來監聽DNS應答包，根據相應的算法來鑒別真假，從而避免DNS欺騙。最好的是要對服務器給出適當的安全配置和管理。對一些安全級別要求較高的可以通過繞開DNS服務而直接訪問IP地址。這樣所有的DNS攻擊都可以避免了。

3.3 DDoS攻擊防范措施

DDoS防范措施有以下幾種：安裝相應的防火墻來限制和過濾高DNS流量請求；撤銷服務器中允許查詢網址的遞回選項；冗余備份重要的DNS服務器等等。

4 結語

越來越猖狂的網絡攻擊已經嚴重危機到網絡的安全。所以我們必須學習和掌握豐富的網絡知識并了解黑客們的攻擊手段來抵御他們的瘋狂攻擊。而且在任何時候都要吧網絡安全教育放在安全體系的第一位，只有這樣才能提高網絡用戶們的安全意識，再遇到網絡攻擊是會有一些防范措施來進行防范。對于一些網絡初學者也不要過分擔心DNS攻擊，因為市場上已經推出了大量的網絡安全方案，在不久的將來，我們一定會有一個安全的信息的傳輸媒介。

參考文獻：

[1] 劉揚，劉楊，胡仕成，朱東杰.基于ARP與DNS欺騙的重定向技術的研究[J].計算機工程與設計，2007（23）.

[2] 李江，張峰，付俊，楊光華.一種基于資源感知的小流量DDoS攻擊防御方法[J].電信工程技術與標準化，2013（12）.

[3] 楊小紅，鄭瑋琨.IPv6下確定性包標記追蹤[J].深圳信息職業技術學院學報，2016（03）.

[4] 周予倩.基于防御視角的常見網絡攻擊技術發展趨勢研究[J].計算機光盤軟件與應用，2012（22）.