基于偽造源地址的DNS攻擊的解決辦法

鄭海濤

摘要：針對校園網(wǎng)出現(xiàn)的利用仿冒源地址對DNS進(jìn)行攻擊，從而影響DNS正常運行的情況，通過在網(wǎng)絡(luò)設(shè)備和出口防火墻分別配置ACL和訪問控制策略來阻斷這種類型的攻擊，來保證校園網(wǎng)正常運行。

關(guān)鍵詞：域名解析系統(tǒng)；網(wǎng)絡(luò)攻擊；校園網(wǎng)；防火墻；訪問控制列表

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2018）10-0063-02

Abstract： By using fake source address to attack DNS has affected the normal operation of the DNS on the campus network. Through to configure ACL and access control strategy in the network equipments and firewalls to block this type of attack， to ensure the normal operation of the campus network.

Key words：DNS； network attack； campus network； firewall； ACL

1 背景

計算機網(wǎng)絡(luò)應(yīng)用的過程中，DNS扮演了不可替代的作用。在此不去詳細(xì)介紹DNS的運行機制，強調(diào)的一點就是，DNS的運行狀況與計算機用戶網(wǎng)絡(luò)訪問的正常與否密切相關(guān)。但是，在網(wǎng)絡(luò)信息安全形勢日益嚴(yán)峻的今天，針對DNS的攻擊也是層出不窮。作為校園網(wǎng)，更要承受著來自局域網(wǎng)內(nèi)和互聯(lián)網(wǎng)外的各種攻擊。這里，針對我校校園網(wǎng)出現(xiàn)的通過仿冒源IP地址對DNS進(jìn)行攻擊的情況，給出解決方法，以供參考。

2 DNS攻擊的特征

由于同一VLAN（虛擬局域網(wǎng)）中計算機與計算機之間的通信是通過廣播的形式來發(fā)現(xiàn)彼此，然后建立連接進(jìn)行通信。正是利用這一特點，攻擊方把自己的IP地址偽造成和被攻擊DNS的IP地址同屬一個VLAN，仿冒的這個地址可能是沒有正在使用的地址，實際抓包顯示，存在大量沒有正在使用的跟DNS在同一個VLAN里面的IP地址請求DNS。當(dāng)DNS收到請求數(shù)據(jù)包，在拆包的過程中發(fā)現(xiàn)請求方的源地址跟自己在同一個VLAN后，就會在VLAN里面進(jìn)行廣播，尋找這個IP地址對應(yīng)的計算機，其結(jié)果就是廣播發(fā)出后，往往無法收到這個IP地址對應(yīng)計算機的回應(yīng)。如果這種攻擊數(shù)據(jù)包是大量和連續(xù)的，DNS的系統(tǒng)資源大量用在處理這種攻擊數(shù)據(jù)包上，頻繁的發(fā)送廣播，勢必會長時間大量占用網(wǎng)絡(luò)帶寬，無法很好的回應(yīng)正常的DNS請求，那么用戶的網(wǎng)絡(luò)訪問就會受到影響。攻擊原理如圖1所示。

從圖1可以直觀地看出攻擊的過程，攻擊者把源地址偽造成計算機終端C的地址，處于校園網(wǎng)外部的攻擊者A的數(shù)據(jù)包經(jīng)過校園網(wǎng)出口防火墻進(jìn)入校園網(wǎng)內(nèi)部發(fā)起攻擊；而處于校園網(wǎng)內(nèi)部的攻擊者B的攻擊數(shù)據(jù)包則經(jīng)過校園網(wǎng)絡(luò)交換機和路由器轉(zhuǎn)發(fā)給DNS。根據(jù)攻擊發(fā)生的流向和所經(jīng)過的網(wǎng)絡(luò)設(shè)備，我們加以分析得出相應(yīng)的解決辦法，即在校園網(wǎng)網(wǎng)絡(luò)設(shè)備相應(yīng)的端口啟用ACL（訪問控制列表），在出口防火墻上啟用訪問策略規(guī)則。

3 DNS攻擊的解決辦法

3.1 應(yīng)對互聯(lián)網(wǎng)上攻擊

針對互聯(lián)網(wǎng)上發(fā)起的攻擊，實際表現(xiàn)為，從流控設(shè)備上發(fā)現(xiàn)大量與DNS建立的連接，源地址為DNS所處VLAN的IP地址，方向為從互聯(lián)網(wǎng)到校園網(wǎng)方向。因此我們在校園網(wǎng)出口防火墻入校園網(wǎng)的方向上配置訪問控制策略，制定這樣一條訪問控制規(guī)則，但凡源地址為DNS所處VLAN的IP地址的，目的訪問地址為DNS的IP地址，發(fā)起的所有類型的訪問一律禁止。示例如圖2所示。

3.2 應(yīng)對校園網(wǎng)內(nèi)攻擊

對于校園網(wǎng)內(nèi)的攻擊，由于攻擊者所處校園網(wǎng)的網(wǎng)絡(luò)位置可能無法確定，就不能確定攻擊者的數(shù)據(jù)包從下層哪個交換機轉(zhuǎn)發(fā)而來。對于這種情況，只要可以確定出所有校園網(wǎng)用戶請求DNS的數(shù)據(jù)必須經(jīng)過的網(wǎng)絡(luò)設(shè)備，就可以在此設(shè)備上配置全局ACL，然后在相應(yīng)的端口上開啟ip access-group訪問控制，把這種偽造源地址的DNS請求給過濾掉。ACL示例如圖3所示。

4 結(jié)束語

隨著互聯(lián)網(wǎng)的日益融入人們的日常生活，對網(wǎng)絡(luò)的依賴越發(fā)加強，但是隨之而來的網(wǎng)絡(luò)攻擊態(tài)勢日漸高漲，作為一名網(wǎng)絡(luò)管理者，在這種情況下就需要我們不斷學(xué)習(xí)新知識，提高業(yè)務(wù)技術(shù)水平，針對實際工作中出現(xiàn)的問題，做到具體問題具體分析，運用手中的各種工具設(shè)備來不斷的加強網(wǎng)絡(luò)安全的防御，為用戶獲取更好的上網(wǎng)體驗而努力。

參考文獻(xiàn)：

[1] 閆伯儒. DNS欺騙攻擊的檢測和防范[J]. 計算機工程， 2006， 32（21）： 130-132， 135.

[2] 張小妹. 基于DNS 的拒絕服務(wù)攻擊研究與防范[J]. 計算機工程與設(shè)計， 2008， 29（1）： 21-24.