張俊祥

（首都經濟貿易大學教育技術中心 北京 100070）

0 引言

2015年第二屆國家網絡安全宣傳周即將啟動，5月底就傳出各種網絡攻擊事件。先是支付寶短暫斷網，后澄清是“施工被斷光纖”，接著“攜程故障，24小時以上不能提供服務，具體故障原因不明”，然后傳出黑客公開要攻擊國家重點網絡設備。網絡形勢表明，網絡安全無論是對于普通用戶，還是對于服務器管理員已經到了非常重要的程度。

DNS服務器作為網絡核心服務之一，是網絡攻擊的首要目標，如何做好DNS服務器的管理是服務器管理員的主要目標。

1 DNS服務簡介

1.1 DNS簡介

DNS 是域名系統（Domain Name System）的縮寫，是因特網的一項核心服務，它作為可以將域名和IP地址相互映射的一個分布式數據庫，能夠使人更方便的訪問互聯網，而不用去記住能夠被機器直接讀取的IP地址。通常 Internet 主機域名的一般結構為：主機名.三級域名.二級域名.頂級域名。Internet 的頂級域名由 Internet網絡協會域名注冊查詢負責網絡地址分配的委員會進行登記和管理，它還為 Internet的每一臺主機分配唯一的 IP 地址。全世界現有三個大的網絡信息中心：位于美國的 Inter-NIC，負責美國及其他地區(qū)；位于荷蘭的 RIPE-NIC，負責歐洲地區(qū)；位于日本的APNIC，負責亞太地區(qū)。

用戶通過訪問域名，DNS服務器解析域名，返回用戶 IP地址，完成整個服務。DNS服務器就是網絡中提供地址解析服務的網絡服務器。

1.2 近期攻擊事件

2014年12月10日，爆發(fā)了今國內規(guī)模最大的針對運營商DNS網絡的惡性DDoS攻擊事件。攻擊是從12月10日凌晨開始，現場網絡監(jiān)控到攻擊流量突增的情況，多個省份不斷出現網頁訪問緩慢，甚至無法打開等故障現象。經過分析樣本發(fā)現，12月10日的攻擊主要是針對多個域名的隨機查詢攻擊，造成多省的 DNS遞歸服務器延遲增大，核心解析業(yè)務受到嚴重影響。

2014年1月21日發(fā)生全國大部分網站不能訪問的情況，事后國家互聯網應急中心發(fā)布通告宣稱，此次事件是由網絡攻擊導致國內互聯網用戶訪問國際域名解析服務時出現異常。

事實上，針對DNS的攻擊就一直沒有中斷過。2009年國內斷網，2010年baidu網絡域名被劫持事件，2011年電信寬帶斷網事件等，網絡攻擊者針對DNS服務的攻擊一直持續(xù)不斷。筆者作為DNS服務器管理員在日常維護中經常遇到對DNS服務器的各種攻擊。

2 DNS相關的攻擊類型及原理

2.1 針對DNS服務器的DDoS攻擊

分布式拒絕服務（DDoS：Distributed Denia1 of Service）攻擊指借助于客戶/服務器技術，將多個計算機聯合起來作為攻擊平臺，對一個或多個目標發(fā)動DDoS攻擊，從而成倍地提高拒絕服務攻擊的威力。這類攻擊就是向受害者DNS服務器發(fā)送大量的DNS解析請求包，由于DNS服務器每秒查詢的次數有限，使得它忙不過來造成拒絕服務，從而發(fā)生故障。

簡單說就是攻擊者可以借助多個肉雞同時向 DNS服務器發(fā)起請求，從而引起服務器解析故障，造成服務宕機。

2.2 DNS反射型攻擊

大量主機偽造受害者 ip向網絡上的大量開放式遞歸 DNS服務器發(fā)送DNS查詢請求包。由于開放遞歸DNS服務器并不對請求包進行地址真實性驗證，因此都會進行應答，這樣受害者將同時接收到大量的DNS請求應答包，堵塞受害DNS服務器的網絡，最終形成拒絕服務攻擊。

這種攻擊利用了遞歸查詢的漏洞，攻擊者偽造DNS服務器ip向遞歸查詢DNS服務器發(fā)起查詢請求，遞歸查詢DNS服務器返回請求，當這種請求達到一個量級，就對正常DNS服務器形成了一種DDoS攻擊。

2.3 針對用戶的DNS劫持

dns劫持就是本來你想訪問百度的網站www.baidu.com，結果輸入域名后返回給你的是搜狐的服務器ip，那么自然顯示在瀏覽器中的也就是搜狐的頁面。那么這是怎么發(fā)生的呢？

首先的原因是 DNS服務器地址被劫持。用戶的網絡中的DNS服務器地址被修改為惡意的DNS服務器。當你訪問網絡時，你訪問的任何域名都被解析成其他的地址。

但是這種情況一般是不會發(fā)生的，因為惡意人員登錄不了的路由器修改不了 DNS服務器地址，就更修改不了你本機的DNS設置。不過當幾個小的漏洞結合在一起的時候就成為了大的漏洞。比如之前出現過的路由器劫持事件。

還有一種情況是用戶的hosts文件被修改。根據解析流程來看，如果要解析www.qq.com的ip，系統會首先訪問hosts文件，看看有沒有相關的綁定。如果有直接返回綁定ip，如果沒有訪問DNS服務器進行解析。如果hosts文件被修改，那么用戶訪問綁定域名就會訪問綁定ip。

還有一種劫持就是直接劫持域名服務器根服務器，這種情況比較少見，但也有出現的例子。

2.4 侵入DNS服務器修改記錄。

針對網絡服務提供商的DNS地址，進行暴力入侵DNS服務器，獲取管理員權限，直接進行域名記錄修改。這種方式比較困難，但也是存在著可能。

2.5 緩存區(qū)中毒攻擊

惡意人員向受害DNS服務器發(fā)送域名的解析請求，然后搶在權威服務器應答前偽造應答包發(fā)送給受害服務器。這樣錯誤的解析記錄就保存到了緩存中，那么接下來緩存時間內所有該域名的解析就都是錯誤了。這種攻擊偽造的是回答資源記錄，攻擊時間很短，效率低。

3 DNS服務器安全管理與防范

DNS服務是網絡基礎服務，由于網絡的自適應性，DNS采用的面向非連接的UDP協議，但UDP協議又是不安全的，而域名的樹形結構是為了便于查詢服務，這都使得單點故障明顯，網絡安全威脅加劇。要提高DNS服務器安全，有以下幾種思路：

3.1 把DNS服務器放在網絡內部區(qū)域

在網絡設計過程中，把DNS服務器放在安全區(qū)域。訪問互聯網時，先有防火墻進行安全保護，現在防火墻產品可以有效抵御大多數網絡攻擊。

3.2 提高DNS服務器的安全配置和硬件等級

DNS服務器內部的安全防護策略有很多，應針對DNS服務器安全設定高優(yōu)先級防護策略。首先要對服務器進行專一化服務，去掉各種不需要的網絡服務，DNS服務器的防火墻也要打開，只開放管理端口和53端口，使用非root權限、隱藏DNS服務器軟件的版本信息，降低針對漏洞進行的DNS攻擊。設置單一ip管理，也就是只有固定的ip才能進入修改記錄和管理。提高硬件等級，可以提高服務器響應處理能力，面對DDoS攻擊時能提高處理能力。

3.3 根據需要分ip進行遞歸查詢

一般把DNS服務器的查詢ip進行區(qū)分，可信任的ip可以進行遞歸解析，不信任的或不屬于區(qū)域的ip地址一律不給于遞歸查詢，只能進行權威查詢。這樣可以防止惡意遞歸查詢攻擊。

3.4 加強DDoS攻擊的防護

目前的域名服務器有自己搭建的bind系統，也有購買的智能DNS系統。目前已經有了針對DDoS攻擊的防護產品，必須增加DNS服務器的DDoS防護模塊，加強DNS服務器的DDoS攻擊防護是服務器管理員的重要工作。

3.5 要做好DNS服務器系統的定期升級服務

這里有操作系統的升級和DNS應用系統的升級。服務器應不僅使用最新版本的 DNS 服務器軟件，隨時更新版本，及時下載并安裝相應的補丁程序，預防攻擊者利用軟件漏洞進行攻擊，也要經常操作系統升級，防止攻擊者利用操作系統漏洞攻入服務器。

DNS服務器安全直接關系到整個網絡的安全，我們只有實施具體的安全措施，才能有效杜絕網絡安全攻擊。保證DNS服務器正常運行，是保證網絡服務的重要保障。

[1]毛樂琦.DNS安全與防護[J].電腦知識與技術.2014.

[2]徐斌.DNS安全分析與防范[J].網絡安全技術與應用.2014.

[3]孫巍等.分布式 DNS 反射 DDoS 攻擊原理與防范[J].通信管理與技術.2014.

[4]白競雄.DNS拒絕服務攻擊以及防范措施分析[J].硅谷.2014.

[5]夏宏利.讓DNS服務器遠離瘋狂的DDoS攻擊[J].計算機與網絡.2014.