文/章思宇 姜開達(dá)

DNS拒絕服務(wù)攻擊與對(duì)策

文/章思宇 姜開達(dá)

面對(duì)各種形式攻擊對(duì)DNS服務(wù)構(gòu)成的威脅，要確保校園網(wǎng)DNS服務(wù)的安全可靠運(yùn)行，需要從基礎(chǔ)架構(gòu)開始進(jìn)行全面的考慮。

DNS是互聯(lián)網(wǎng)最關(guān)鍵的基礎(chǔ)設(shè)施之一，它最主要的功能是將域名與IP地址進(jìn)行映射。隨著互聯(lián)網(wǎng)應(yīng)用的發(fā)展，DNS被賦予越來越多的職責(zé)。然而，由于DNS協(xié)議設(shè)計(jì)之初并沒有足夠的安全考慮，協(xié)議缺陷、實(shí)現(xiàn)和配置缺陷等一系列問題一直以來都威脅著DNS的安全運(yùn)行。

2008年，Dan Kaminsky提出的一種DNS緩存中毒攻擊方法引起學(xué)術(shù)和企業(yè)界對(duì)DNS安全的廣泛關(guān)注，時(shí)至今日絕大多數(shù)DNS服務(wù)器都已實(shí)現(xiàn)了源端口隨機(jī)化以加強(qiáng)對(duì)緩存中毒攻擊的防御。2009年“暴風(fēng)”事件造成全國多省網(wǎng)絡(luò)癱瘓，促使運(yùn)營商重視并加大對(duì)DNS運(yùn)行安全的投入。

盡管如此，DNS安全現(xiàn)狀依然不容樂觀。一方面，利用DNS發(fā)起的各種DDoS攻擊泛濫，對(duì)DNS服務(wù)的正常運(yùn)行，乃至整個(gè)互聯(lián)網(wǎng)都構(gòu)成了極大的威脅；另一方面，大量配置和維護(hù)不當(dāng)?shù)腄NS服務(wù)器正在成為攻擊者的幫手。

DNS反射放大攻擊

DDoS攻擊可以說是目前最難防御的攻擊方式之一，如今大規(guī)模的DDoS攻擊流量都在100Gbps以上，DNS反射是攻擊者放大攻擊流量的常用手法。

DNS反射攻擊利用易于偽造的UDP源IP地址、互聯(lián)網(wǎng)上數(shù)量龐大的開放解析器和DNS回答尺寸的高放大比三個(gè)關(guān)鍵因素，達(dá)到了可觀的DDoS流量放大效果。事實(shí)上許多基于UDP的協(xié)議都可以用作反射攻擊，如NTP、SSDP等，近期都被攻擊者利用，但互聯(lián)網(wǎng)上DNS的反射源（開放解析器）數(shù)量是最多的。

Open Resolver Project持續(xù)探測(cè)互聯(lián)網(wǎng)上的開放DNS解析器，盡管近一年來開放解析器數(shù)量呈緩慢下降趨勢(shì)，但至今全球依然有超過2000萬個(gè)IP地址響應(yīng)DNS請(qǐng)求。2014年5月我們做的教育網(wǎng)范圍內(nèi)的調(diào)查也顯示，教育網(wǎng)內(nèi)有2萬多個(gè)IP地址響應(yīng)DNS查詢，其中6663個(gè)能夠提供正確的遞歸解析。

DNS反射攻擊主要利用以下幾個(gè)DNS技術(shù)和方法。首先，攻擊者發(fā)送的DNS請(qǐng)求通常啟用EDNS0擴(kuò)展，以突破DNS消息通過UDP傳送時(shí)的512字節(jié)限制，使服務(wù)器向受害者發(fā)送更大尺寸的響應(yīng)包。在利用現(xiàn)有正常域名進(jìn)行反射攻擊時(shí)，攻擊者通常發(fā)送ANY類型的請(qǐng)求，要求服務(wù)器返回該域名所有類型的資源記錄。同時(shí)，攻擊者傾向于選擇支持DNSSEC的域名，利用RRSIG數(shù)字簽名記錄的大尺寸來達(dá)到較好的放大效果。DNS反射對(duì)流量的放大比例最高可達(dá)90倍以上。

圖1 TXT記錄反射攻擊域名示例

在我們的監(jiān)測(cè)中發(fā)現(xiàn)的另一現(xiàn)象是，一些攻擊者注冊(cè)了專門用于反射攻擊的域名。這些域名有的設(shè)置了上百個(gè)A記錄IP地址，有的在TXT或MX記錄中填入大量無意義內(nèi)容用于增加回答尺寸，如圖1所示。利用自己注冊(cè)的域名進(jìn)行反射放大，可以控制回答的尺寸，避免回答尺寸過大被截?cái)唷?/p>

圖2 變前綴域名攻擊流量示例

互聯(lián)網(wǎng)上每一個(gè)開放的DNS服務(wù)器都可能成為攻擊者進(jìn)行DNS反射攻擊的幫手，作為DNS服務(wù)的運(yùn)行和管理者，有責(zé)任杜絕自己管理的DNS服務(wù)器被DDoS攻擊利用。

對(duì)于遞歸（緩存）服務(wù)器，其服務(wù)的對(duì)象通常是一定范圍內(nèi)的，對(duì)于高校網(wǎng)絡(luò)而言，遞歸服務(wù)器一般只為校園網(wǎng)內(nèi)的用戶服務(wù)。因此，可以配置ACL規(guī)則，只響應(yīng)校園網(wǎng)IP地址范圍內(nèi)的主機(jī)請(qǐng)求，對(duì)于來自其他源地址的DNS查詢，采取拒絕（回答REFUSED）或丟棄（無任何回應(yīng)）的方式處理。

授權(quán)（權(quán)威）域名服務(wù)器同樣也會(huì)被DNS反射攻擊所利用。在授權(quán)域名服務(wù)器上無法進(jìn)行源地址限制，因此，授權(quán)服務(wù)器首先應(yīng)關(guān)閉遞歸解析功能。RRL（Response Rate Limiting）是授權(quán)服務(wù)器應(yīng)對(duì)DNS反射攻擊的一種機(jī)制，當(dāng)服務(wù)器收到來自同一IP地址或子網(wǎng)的對(duì)相同域名的大量請(qǐng)求時(shí)，將丟棄這些重復(fù)查詢。RRL能大幅降低DNS反射的流量，在BIND 9.9.4以上及NSD 3.2.15以上版本都已實(shí)現(xiàn)支持。

隨機(jī)前綴域名拒絕服務(wù)攻擊

在DNS反射攻擊中，盡管匯聚到受害者的攻擊流量是巨大的，但對(duì)單個(gè)DNS服務(wù)器而言流量和負(fù)載并不明顯。另一種采用隨機(jī)前綴的針對(duì)域名的拒絕服務(wù)攻擊，則會(huì)對(duì)遞歸服務(wù)器的正常運(yùn)行產(chǎn)生嚴(yán)重干擾。

圖3 變前綴攻擊遞歸服務(wù)器響應(yīng)狀態(tài)示例

圖4 BIND變前綴攻擊測(cè)試

這種拒絕服務(wù)，攻擊者向遞歸服務(wù)器發(fā)送目標(biāo)域名下隨機(jī)的子域名查詢，如圖2所示，由于每個(gè)請(qǐng)求的前綴都不相同，遞歸服務(wù)器必須把每個(gè)請(qǐng)求都轉(zhuǎn)發(fā)給目標(biāo)域名的授權(quán)服務(wù)器進(jìn)行解析，攻擊者的目的即是讓目標(biāo)域名的授權(quán)服務(wù)器癱瘓。當(dāng)目標(biāo)域名的授權(quán)服務(wù)器無法正常響應(yīng)后，遞歸服務(wù)器對(duì)這些查詢的解析就會(huì)失敗，產(chǎn)生SERVFAIL的回答，如圖3所示。

通過對(duì)DNS流量的監(jiān)測(cè)，我們發(fā)現(xiàn)此類針對(duì)域名的拒絕服務(wù)攻擊幾乎每天都在發(fā)生，只是攻擊目標(biāo)域名一直在變化。對(duì)特定域名的攻擊一般持續(xù)數(shù)小時(shí)，長的可能超過一天。此類攻擊的流量也非常巨大，在一個(gè)監(jiān)測(cè)點(diǎn)我們就記錄了多起單個(gè)域名超過1000萬QPS的拒絕服務(wù)。從被攻擊的域名來看，大多數(shù)目標(biāo)都是游戲私服類網(wǎng)站，私服相互爭(zhēng)斗已從攻擊對(duì)手網(wǎng)站服務(wù)器轉(zhuǎn)向攻擊域名。2013年8月CN頂級(jí)域服務(wù)器的DDoS攻擊，也是起于私服網(wǎng)站域名的攻擊。

這種攻擊看起來和DNS反射放大攻擊有一定的相似性，為何它會(huì)對(duì)遞歸服務(wù)器也造成巨大的影響呢？究其原因，DNS反射攻擊的請(qǐng)求是對(duì)同一域名的，遞歸服務(wù)器可用緩存處理所有的查詢，而隨機(jī)前綴攻擊的每個(gè)查詢都必須經(jīng)過遞歸解析，尤其在授權(quán)服務(wù)器無響應(yīng)時(shí)，遞歸解析過程將等待很長一段超時(shí)時(shí)間，大量涌入的需要遞歸解析的查詢將耗盡所有的遞歸解析器資源，從而正常的遞歸域名解析請(qǐng)求無法被處理。

為了測(cè)試這種攻擊對(duì)DNS服務(wù)器的影響，我們選擇一個(gè)授權(quán)服務(wù)器無回應(yīng)的域名，首先對(duì)其下一固定子域名進(jìn)行大量重復(fù)查詢，此時(shí)BIND遞歸客戶端沒有明顯消耗（圖4-a）；當(dāng)我們使用隨機(jī)生成的子域名進(jìn)行測(cè)試時(shí)（圖4-b），BIND的遞歸客戶端則迅速耗盡。

這種攻擊不僅威脅域名授權(quán)服務(wù)器，被利用的遞歸服務(wù)器也會(huì)出現(xiàn)癱瘓現(xiàn)象，若不采取有效的防護(hù)措施可能造成區(qū)域網(wǎng)絡(luò)訪問故障，與2009年“暴風(fēng)”事件中遞歸服務(wù)器過載有幾分相似。

一種方法是使用更高效的DNS服務(wù)器軟件。我們測(cè)試對(duì)比了BIND和Unbound兩個(gè)最常用的遞歸服務(wù)器軟件，選用10000個(gè)域名，正常情況下兩者的解析成功率都在98.7%左右。當(dāng)施加了同樣的隨機(jī)前綴攻擊流量后，BIND對(duì)正常域名的解析成功率下降到51.3%，而Unbound所受影響輕微，解析成功率仍維持在97.8%。Unbound的良好表現(xiàn)得益于其處理服務(wù)器過載的競(jìng)爭(zhēng)策略，以及服務(wù)器超時(shí)探測(cè)機(jī)制。

圖5 校園網(wǎng)DNS服務(wù)部署架構(gòu)

之前應(yīng)對(duì)反射攻擊時(shí)已提到遞歸服務(wù)器應(yīng)只對(duì)服務(wù)范圍內(nèi)的IP地址提供遞歸，但在實(shí)際運(yùn)行中，我們發(fā)現(xiàn)有不少校園網(wǎng)內(nèi)的IP地址正在發(fā)起隨機(jī)前綴攻擊。調(diào)查后我們排除了這些機(jī)器被攻擊者控制的可能性，它們一部分是開啟了DNS服務(wù)的服務(wù)器，并配置為轉(zhuǎn)發(fā)器，將請(qǐng)求轉(zhuǎn)發(fā)給校園網(wǎng)的DNS服務(wù)器，另一部分使用了特定型號(hào)的家用路由器，因設(shè)計(jì)缺陷其DNS轉(zhuǎn)發(fā)功能對(duì)外網(wǎng)開放，難以升級(jí)修復(fù)。由于一個(gè)IP地址轉(zhuǎn)發(fā)的攻擊流量就可能造成遞歸服務(wù)器過載，而校園網(wǎng)內(nèi)服務(wù)器設(shè)備數(shù)量龐大難以控制，我們建議在校園網(wǎng)邊界丟棄除授權(quán)服務(wù)器以外的進(jìn)校UDP 53端口報(bào)文。

校園網(wǎng)DNS部署和運(yùn)行安全

面對(duì)各種形式攻擊對(duì)DNS服務(wù)構(gòu)成的威脅，確保校園網(wǎng)DNS服務(wù)的安全可靠運(yùn)行需要從基礎(chǔ)架構(gòu)開始進(jìn)行全面的考慮。

首先，從服務(wù)器角色上，應(yīng)做授權(quán)、緩存、遞歸分離的設(shè)計(jì)。由于三者功能、服務(wù)對(duì)象和流量特性的不同，將三者部署在獨(dú)立的服務(wù)器上可以有針對(duì)性地采取安全防護(hù)和服務(wù)保障措施。以往對(duì)授權(quán)和遞歸功能的分離討論較多，而將緩存和遞歸分離則是借鑒了Web緩存的架構(gòu)，能夠提高服務(wù)承載能力，更靈活地處理異常和擴(kuò)展性能。無論緩存（遞歸）還是授權(quán)服務(wù)器，都應(yīng)有足夠的冗余，避免單點(diǎn)故障的發(fā)生，對(duì)于有多個(gè)校區(qū)的高校，可考慮通過Anycast進(jìn)行多點(diǎn)部署。

對(duì)于授權(quán)服務(wù)器，除了配置RRL防止被反射攻擊利用外，還應(yīng)注意區(qū)傳送的配置。多個(gè)報(bào)告顯示互聯(lián)網(wǎng)上有眾多域名的授權(quán)服務(wù)器對(duì)任意IP開放區(qū)傳送，從而造成內(nèi)部重要服務(wù)器地址暴露，為攻擊者尋找滲透目標(biāo)提供便利。對(duì)此應(yīng)采用ACL和TSIG確保區(qū)傳送安全，同時(shí)利用水平分割（Split-Horizon）的方法避免內(nèi)部IP地址泄露到公網(wǎng)。由于授權(quán)服務(wù)器中的主服務(wù)器具有特殊的重要性，可將主服務(wù)器隱藏起來不直接對(duì)外服務(wù)（Hidden Master），僅為從服務(wù)器提供區(qū)傳送，避免其遭受直接攻擊。校園網(wǎng)DNS緩存與授權(quán)服務(wù)部署結(jié)構(gòu)總結(jié)如圖5所示。

DNS部署時(shí)服務(wù)器軟件也應(yīng)有一定的異構(gòu)性，選擇兩種或以上的服務(wù)器軟件，以避免某個(gè)軟件出現(xiàn)漏洞影響到所有的服務(wù)器。例如，BIND作為最常用的DNS服務(wù)器軟件，每年都會(huì)被報(bào)告多個(gè)高危漏洞，且以遠(yuǎn)程拒絕服務(wù)為主，遠(yuǎn)多于其他常用DNS服務(wù)器軟件。對(duì)此可考慮遞歸和緩存使用Unbound和BIND混合部署，而授權(quán)服務(wù)器使用NSD和BIND混合部署，并注意軟件版本更新。

監(jiān)控是保障DNS服務(wù)穩(wěn)定運(yùn)行、及時(shí)發(fā)現(xiàn)異常所必需的。對(duì)DNS服務(wù)的監(jiān)控，可采集服務(wù)器軟件自身提供的統(tǒng)計(jì)信息，服務(wù)器也可以配置成記錄所有的DNS請(qǐng)求，但過多的日志會(huì)降低服務(wù)器的性能。較好的方法是對(duì)DNS服務(wù)器的流量進(jìn)行鏡像分析，利用dsc定制收集各種統(tǒng)計(jì)信息，并具有一定的圖形展示能力，dnstop則可顯示最近一段時(shí)間內(nèi)查詢最多的域名和IP地址。利用鏡像流量還可自行開發(fā)各種分析工具，且不會(huì)影響到DNS服務(wù)器本身的工作。此外，學(xué)校域名和授權(quán)服務(wù)器配置，可使用DNSCheck工具進(jìn)行檢查。

本文對(duì)困擾高校網(wǎng)絡(luò)DNS服務(wù)運(yùn)行的兩類拒絕服務(wù)攻擊進(jìn)行了分析，并提供了相應(yīng)的應(yīng)對(duì)措施，同時(shí)也探討了安全可靠部署和運(yùn)行校園網(wǎng)DNS服務(wù)的一些思路和建議。DNS作為眾多互聯(lián)網(wǎng)應(yīng)用的基礎(chǔ)支撐，其自身的安全性，以及在其之上出現(xiàn)的各種惡意應(yīng)用，在未來很長一段時(shí)間都將是安全界關(guān)注的熱點(diǎn)。

（作者單位為上海交通大學(xué)網(wǎng)絡(luò)信息中心）