DNS的安全威脅及防護研究

宋洪娟

摘要：DNS服務(wù)作為Internet應(yīng)用服務(wù)的基礎(chǔ)，其安全性直接決定著整個網(wǎng)絡(luò)的安全性，因此對DNS的安全防護非常重要。本文闡述了DNS的工作原理，分析了其面臨的安全風(fēng)險，提出了DNS安全防護策略，提高DNS的安全性和抗攻擊能力。

關(guān)鍵詞：DNS；安全風(fēng)險；防護策略

1引言

域名系統(tǒng)（Domain Name System，DNS）負責域名和IP地址之間的映射，是一個多層次的分布式數(shù)據(jù)庫系統(tǒng)。它是Internet的基礎(chǔ)服務(wù)，其安全性對整個Internet的安全有著重要的影響。而由于其開放、龐大、復(fù)雜的特性以及在設(shè)計之初對安全性的考慮不足，再加上人為蓄意的攻擊和破壞，DNS面臨非常嚴重的威脅。隨著信息高速公路的迅猛發(fā)展，非常嚴重的DNS安全事件時有發(fā)生。因此，如何解決DNS安全威脅并尋求相應(yīng)解決方案是DNS亟待解決的問題。

2DNS工作原理及安全分析

2.1DNS工作原理

DNS的工作原理如圖1所示[1]。如果用戶需要對域名www.computer.com進行解析，并且本地DNS服務(wù)器不是目標域名授權(quán)DNS服務(wù)器，其緩存中也沒有該域名的記錄。

DNS服務(wù)過程如下：①用戶向本地DNS服務(wù)器發(fā)出DNS查詢請求，詢問www.computer.com的IP地址。②本地DNS服務(wù)器發(fā)現(xiàn)沒有相應(yīng)記錄，轉(zhuǎn)而向根DNS服務(wù)器發(fā)出查詢包。根DNS服務(wù)器接到請求，返回com域的DNS服務(wù)器地址給本地DNS服務(wù)器。③本地DNS服務(wù)器向com域的DNS服務(wù)器發(fā)出請求。com域服務(wù)器返回computer.om 授權(quán)域的服務(wù)器地址。④本地DNS服務(wù)器繼續(xù)向computer.com域的DNS服務(wù)器發(fā)出解析請求。⑤computer.com域的DNS服務(wù)器向本地DNS服務(wù)器返回www.computer.com的IP地址。⑥本地DNS服務(wù)器向客戶端返回域名解析結(jié)果，同時更新自己的緩存記錄。

2.2DNS安全風(fēng)險分析

從DNS服務(wù)的工作過程可以看出：①沒有合法性驗證，客戶端無法驗證收到的應(yīng)答內(nèi)容是否合法，服務(wù)器端也無法驗證客戶端請求是否合法。②確認機制過于簡單，由于使用UDP連接，沒有三次握手建立連接的過程，這雖加快了數(shù)據(jù)的傳輸，但也導(dǎo)致了防御能力差。③DNS服務(wù)具有開放性，大多數(shù)的DNS服務(wù)器沒有進行數(shù)據(jù)加密和訪問控制，客戶可對各個DNS服務(wù)器自由訪問。④DNS采用樹型結(jié)構(gòu)，便于查詢和管理，但單點故障問題明顯，安全威脅大[2]。

3DNS面臨的安全威脅

3.1拒絕服務(wù)攻擊

拒絕服務(wù)攻擊DoS是一種技術(shù)含量低但是攻擊效果明顯的攻擊方法。目前針對DoS攻擊主要有兩種形式：一種是直接攻擊，即將DNS服務(wù)器作為被攻擊對象，由多臺攻擊主機向所攻擊的DNS服務(wù)器頻繁發(fā)送大量的DNS查詢請求，最終使該DNS服務(wù)器崩潰；另一種是放大式攻擊，即利用DNS服務(wù)器作為中間的攻擊放大器去攻擊網(wǎng)絡(luò)中其他主機。攻擊者將自身IP地址偽裝為被攻擊者的IP地址向多個DNS服務(wù)器發(fā)送大量查詢請求，DNS服務(wù)器將大量的查詢結(jié)果發(fā)送給被攻擊主機，使被攻擊主機無法提供正常的服務(wù)。

3.2DNS欺騙

DNS欺騙即域名信息欺騙是最常見的一種DNS攻擊方式。DNS數(shù)據(jù)包頭部的標識是用來匹配響應(yīng)和請求數(shù)據(jù)包的。在域名解析過程中，客戶端將收到的DNS響應(yīng)數(shù)據(jù)包的標識和自己發(fā)送的查詢數(shù)據(jù)包標識相比較，如若匹配則表明接收到的是自己等待的數(shù)據(jù)，若不匹配則丟棄。如果能夠偽裝DNS服務(wù)器提前向客戶端發(fā)送響應(yīng)數(shù)據(jù)包，就可以將客戶端帶到指定的錯誤網(wǎng)站，實現(xiàn)DNS欺騙。

3.3系統(tǒng)漏洞

DNS服務(wù)軟件本身存在安全漏洞，導(dǎo)致DNS無法正常提供服務(wù)。BIND是最常用的DNS服務(wù)軟件。2011年3月底，一些院校投訴其DNS解析服務(wù)存在故障，經(jīng)常無法正常解析域名。最后查明是bind 9軟件存在條件競爭漏洞導(dǎo)致的。除此之外，DNS服務(wù)器自身的安全性也非常重要。目前主流的操作系統(tǒng)如Windows、Linux等均存在不同程度的系統(tǒng)漏洞和安全風(fēng)險，因此針對操作系統(tǒng)的漏洞防護也是DNS安全防護工作中的重點。

4DNS防護策略

根據(jù)對DNS系統(tǒng)安全的分析和研究，要根本解決DNS遭受的攻擊很難實現(xiàn)，但以下幾個安全防護策略在一定程度上能有效地提高DNS網(wǎng)絡(luò)的安全性。

4.1DNS進行內(nèi)外劃分

把DNS服務(wù)器劃分為內(nèi)部和外部兩部分，并分布在不同的網(wǎng)絡(luò)，實現(xiàn)對內(nèi)外解析的不同分工。外部DNS負責對外的正常解析工作；內(nèi)部DNS系統(tǒng)則專門負責解析內(nèi)部網(wǎng)絡(luò)的主機。僅當內(nèi)部主機要查詢Internet上的域名，而內(nèi)部DNS上沒有緩存記錄時，內(nèi)部DNS才將查詢?nèi)蝿?wù)轉(zhuǎn)發(fā)到外部DNS服務(wù)器上，由外部DNS服務(wù)器完成查詢?nèi)蝿?wù)，以保護內(nèi)部DNS服務(wù)器免受攻擊，同時減少了信息泄漏。

4.2防火墻防護

設(shè)置防火墻安全策略，進行包過濾防護。限制訪問DNS服務(wù)器的網(wǎng)絡(luò)數(shù)據(jù)包的類型，實施包過濾的依據(jù)主要是端口、IP和流量。端口過濾指僅允許對53端口的訪問；IP地址限制指只允許具有合法網(wǎng)段的IP地址用戶訪問該DNS服務(wù)器；流量限制指對每個IP地址的DNS請求報文加以流量限制，禁止大容量DNS報文流入本網(wǎng)絡(luò)。

4.3系統(tǒng)分擔法

分擔法是利用主機的cookie緩存功能，采用網(wǎng)狀延伸方法將DNS體系單點故障的風(fēng)險大大降低，改變了原有的主機只能通過查詢固定DNS服務(wù)器訪問Internet的單路徑結(jié)構(gòu)，增加了旁路，同時減小DNS服務(wù)器的負荷。它弱化DNS功能的策略，將DNS所承擔的單點故障風(fēng)險分散到網(wǎng)絡(luò)的各個層次，包括主機、其他服務(wù)器、路由器等。

5小結(jié)

DNS安全是當前網(wǎng)絡(luò)安全領(lǐng)域的一個重要環(huán)節(jié)。確保DNS體系的正常運轉(zhuǎn)和安全可靠，不斷發(fā)現(xiàn)其安全漏洞的同時不斷改正，才能使整個網(wǎng)絡(luò)更加健全和完善。本文提出的DNS防范策略，在某些應(yīng)用環(huán)境中防護效果不夠有效。要想真正做到完美，使DNS安全性真正讓人放心，還需要繼續(xù)做更深入的研究。

參考文獻：

[1]王利霞.DNS安全現(xiàn)狀[J].計算機安全，2011，（1）：66-68.

[2]邵明珠.DNS安全分析及防御技術(shù)研究[J].河南機電高等?？茖W(xué)校學(xué)報，2011，（5）：39-41.