DNS安全攻擊和防護

毛樂琦

摘要：DNS是目前互聯(lián)網最常見的服務之一。該文簡述了近年來發(fā)生的典型DNS攻擊，針對出現的DNS攻擊形式進行了解析，最后提出預防DNS攻擊的方法。

關鍵詞：DNS；攻擊；防護

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2014）19-4412-02

DNS Security Attack And Protection

MAO Le-qi

（Leshan Vocational And Technical College， Leshan 614000，China）

Abstract： DNS is one of the most common Internet service .This paper introduces the typical DNS attack occurred in recent years， according to theDNS form of attack are analyzed， and finally puts forward the method for preventingDNS attack.

Key words： DNS；attack；protection

1 DNS工作原理

域名是由一串單詞或字母縮寫組成的，中間由圓點分開，一個域名對應一個IP地址，域名和IP地址都是唯一的。域名方便記憶，但網絡中的計算機只能靠IP地址進行識別，它們之間的轉換稱為域名解析，域名解析由DNS（Domain Name Server）域名解析服務器來完成，它是目前互聯(lián)網最常見的服務之一。

2 DNS攻擊事件

近年來國內外發(fā)生了多起針對DNS安全的攻擊事件，其中幾起典型事件具有相當的代表性。

DNS DDOS攻擊事件：對暴風影音的DNS Pod主站和多個DNS服務器進行惡意攻擊，不僅造成暴風影音的域名解析服務暫停，而且影響了中國電信的DNS服務器，導致南方多省出現大規(guī)模的網絡故障。

2010年百度域名被劫持事件：網民訪問百度及旗下所有子域名時，網頁均無法正常訪問，甚至被重定向到國外的IP地址。

2009年巴西銀行DNS緩存病毒攻擊事件：本事件發(fā)生在巴西最大的銀行，受到影響的用戶被重定向到一個偽裝的銀行網站，該釣魚網站會竊取用戶密碼。

2013年國家域名DNS拒絕服務事件：以.CN為根域名的部分網站無法打開，國家域名解析節(jié)點受到DNS拒絕服務攻擊。

3 DNS攻擊的主要形式

根據DNS攻擊的形式，大致可分為以下幾種攻擊類型

3.1 DNS DDOS攻擊

DNS DDOS攻擊有兩個目標，一個是DNS服務器，進行DNS query Flooding攻擊；另一個是目標用戶，進行DNS response Flooding攻擊。

DNS query Flooding攻擊會導致域名服務器癱瘓，無法正常工作。它利用眾多僵尸網絡同時向域名服務器發(fā)送大量查詢報文，致使DNS癱瘓。

DNS response Flooding攻擊是針對具體的目標用戶。它利用DNS服務器遞歸查詢對目標客戶進行DDOS攻擊。攻擊者利用被攻擊者的IP地址，作為發(fā)送解析命令的源地址。DNS服務器遞歸查詢后會把響應發(fā)給最初用戶，即被攻擊者。當攻擊者利用大量的僵尸網絡，反復進行以上操作時，被攻擊者就會受到DNS服務器的DDOS攻擊。

3.2 DNS緩存感染（DNS Cache Poisoning）

DNS緩存感染也稱DNS緩存中毒。DNS高速緩存里存有域名及相關IP地址的映射信息，當客戶進行DNS訪問時可快速返回給用戶，以提高解析效率。攻擊者利用DNS緩存機制的特性，控制正常運行的DNS服務器，在指定的解析區(qū)域中偽造大量數據，再利用查詢工具把遞歸查詢請求發(fā)送給被害者的 DNS 服務器， 要求解析域名信息，接下來被害者會查詢含有偽造惡意數據的攻擊者DNS 服務器，被害者的 DNS 服務器在收到惡意查詢信息后，會將偽造的查詢結果進行緩存，并送給攻擊者的解析器 。若緩存中的偽造數據有對應的映射信息，當被攻擊者的 DNS服務器被其他主機請求地址時，它會查詢自己含惡意信息的緩存，并返回錯誤的地址。

緩存感染攻擊需要獲取攻擊者DNS服務器的管理權限，方法較簡，如利用DNS服務器漏洞。攻擊者竊取DNS服務器的管理帳號密碼后，便可隨心所欲登陸并修改DNS記錄。

3.3域名注冊攻擊

域名注冊攻擊的方法主要有兩類：域名劫持和類似域名注冊。域名劫持是非法修改域名注冊管理公司的注冊域名記錄，把注冊域名指向其他 Web 站點。攻擊者利用域名注冊的時限期，通過購買剛到期的域名，或冒充原域名持有人向域名注冊管理公司，請求修改注冊域名信息。

類似域名注冊攻擊是利用域名字母的相似性、習慣性拼寫錯誤甚至更換域名后綴等方法注冊著名的企業(yè)、銀行域名，如淘寶、網上銀行等，讓粗心的客戶落入圈套，趁機竊取用戶的帳號密碼等重要信息。這種攻擊不易察覺，會給用戶造成巨大的損失。

4 DNS攻擊的預防

根據DNS遭受攻擊的原因及系統(tǒng)安全的分析研究，提高DNS的安全防護主要有以下措施。

4.1 完善 DNS 服務器內部的配置

DNS服務器內部的安全防護策略有很多，應針對DNS服務器安全設定高優(yōu)先級防護策略。關閉DNS服務器上的不必要的服務、使用非root權限、隱藏DNS服務器軟件的版本信息，降低針對漏洞進行的DNS攻擊。對訪問DNS 服務器的網絡數據包類型進行限制，把端口、IP地址和數據流量做為包過濾的依據。端口訪問只接受53端口；合法的IP地址才能訪問DNS 服務器；限制DNS 請求的流量，數據包的長度應在512byte以內。

4.2 DNS服務器與防火墻等設備合作

在防火墻上設置DNS訪問速率，預防DDOS的攻擊。當防火墻監(jiān)探到DNS的請求報文大于某速率時，啟動每秒連接數限制，避免CPU擁塞。

利用防火墻的保護技術把DNS系統(tǒng)分為內部DNS和外部DNS。外部 DNS 負責對外的解析，是名義上的DNS 服務器。內部 DNS 負責內部網絡的解析，是真正的DNS 服務器。只有在內部 DNS 緩存映射中沒有用戶查詢的域名時，才會由外部 DNS 服務器進行查詢域名的工作。禁止內部IP地址訪問外部DNS服務器，禁止外部IP地址主動訪問內部DNS服務器，這樣既能提高信息的安全保密性，又能保證內部DNS服務器不受攻擊，保護內部DNS中的重要信息。當外部DNS服務器受到攻擊時，管理員只需修改內部服務器的域名映射關系就能恢復被攻擊的外部DNS。

4.3 網絡拓撲限制

從網絡拓撲結構考慮，禁止把DNS 服務器放于無旁路的環(huán)境中。多個DNS 服務器應放到不同的子網、不同的租用鏈路、不同的路由器、甚至不同的物理位置上，減少單點故障的發(fā)生。

4.4 采用最新版本的軟件并及時更新補丁程序

DNS服務器應使用最新版本的 DNS 服務器軟件，隨時更新版本，及時下載并安裝相應的補丁程序，預防攻擊者利用軟件漏洞進行攻擊。

5 結束語

DNS服務是互聯(lián)網上最常用的服務之一，它在互聯(lián)網應用中起著重要作用。針對DNS的攻擊會對社會造成嚴重影響，保證DNS安全可靠的運行具有非常重要的意義。該文探討了DNS 攻擊的主要形式，提出預防DNS攻擊的多種方法，希望DNS能更安全更可靠的為用戶服務。

參考文獻：

[1] 周道明，趙新.DNS安全及防護要點芻議[J].實踐探究，2009（10）

[2] 陳彥英，劉永濤，董艷麗.淺談DNS的安全與防護[J].科技創(chuàng)新導報，2011（38）.

[3] 董新科，刑雨，高維銀.DNS網絡安全系統(tǒng)分析與設計[J].計算機安全，2010（6）.endprint