徐淼

摘 要 在當(dāng)今的數(shù)字經(jīng)濟(jì)時代，網(wǎng)絡(luò)安全十分重要。本文主要論述了DNS的欺騙攻擊原理，分析了DNS欺騙攻擊的局限性，并給出了一些防范建議。

關(guān)鍵詞 DNS 欺騙攻擊 域名解析

中圖分類號：TP309 文獻(xiàn)標(biāo)識碼：A

1 DNS概述

DNS的全稱是Domain Name Server即域名服務(wù)器，當(dāng)一臺主機(jī)發(fā)送一個請求要求解析某個域名時，它會首先把解析請求發(fā)到自己的DNS服務(wù)器上。DNS的功能是提供主機(jī)名字和IP地址之間的轉(zhuǎn)換信息。DNS服務(wù)器里有一個“DNS緩存表”，里面存儲了此DNS服務(wù)器所管轄域內(nèi)主機(jī)的域名和IP地址的對應(yīng)關(guān)系。

2 DNS工作原理

例如，客戶需要訪問www.dhs.com時，首先要知道www.dhs.com的IP地址?？蛻糁鳈C(jī)獲得www.dhs.com的IP地址的唯一方法就是向所在網(wǎng)絡(luò)設(shè)置的DNS服務(wù)器進(jìn)行查詢。

查詢過程分四步進(jìn)行，如圖1所示。

圖1中有三臺主機(jī)：客戶主機(jī)、nipc.com域DNS服務(wù)器和dhs.com域DNS服務(wù)器。其中nipc.com域DNS服務(wù)器直接為客戶主機(jī)提供DNS服務(wù)。

3 DNS欺騙的原理

當(dāng)客戶主機(jī)向本地DNS服務(wù)器查詢域名的時候，如果服務(wù)器的緩存中已經(jīng)有相應(yīng)記錄，DNS服務(wù)器就不會再向其他服務(wù)器進(jìn)行查詢，而是直接將這條記錄返回給用戶。

而入侵者欲實現(xiàn)DNS欺騙，關(guān)鍵的一個條件就是在DNS服務(wù)器的本地Cache中緩存一條偽造的解析記錄。

在圖1中，假如dhs.com域DNS服務(wù)器返回的是經(jīng)過攻擊者篡改的信息，比如將www.dhs.com指向另一個IP地址5.6.7.8，如圖2所示。nipc.com域DNS服務(wù)器將會接受這個結(jié)果，并將錯誤的信息存儲在本地Cache中。

以后在這條緩存記錄的生存期內(nèi)，再向nipc.com域DNS服務(wù)器發(fā)送的對www.dhs.com的域名解析請求，所得到的IP地址都將是被篡改過的。有了對DNS服務(wù)器進(jìn)行欺騙的可能，攻擊者怎樣偽造DNS應(yīng)答信息就成了問題的焦點。

4 DNS欺騙的局限性

DNS欺騙是一種比較古老的攻擊方法，自身不但有著比較大的局限性，而且現(xiàn)在大多數(shù)DNS服務(wù)器軟件，都有防御DNS欺騙的措施。DNS欺騙主要存在兩點局限性：

4.1攻擊者不能替換緩存中已經(jīng)存在的記錄

例如，如果在202.98.8.1這個DNS上已經(jīng)有了一條www.dhs.com/222.222.222.222的對應(yīng)記錄，那么入侵者試圖替換這條記錄是不可能的，也就是說，攻擊者不可能修改已經(jīng)存在的記錄。但是在DNS服務(wù)器中一些記錄可以累加。如果在DNS的緩存中已經(jīng)存在一條www.dhs.com/222.222.222.222的對應(yīng)記錄，攻擊者可以向緩存中再放入另一條偽造的記錄www.dhs.com/11.11.11.11。這樣在DNS服務(wù)器中就有兩條www.dhs.com的解析記錄，客戶主機(jī)查詢時，服務(wù)器會隨機(jī)返回其中一個，這樣就只有50%幾率實現(xiàn)DNS欺騙。

4.2 DNS服務(wù)器存在緩存刷新時間問題

在DNS應(yīng)答報文里有一個字段生存時間（TTL）用來設(shè)定客戶程序保留該資源記錄的秒數(shù)。如果緩存中記錄的TTL為7200，那么DNS服務(wù)器會把www.dhs.com的域名解析信息緩存7200秒，即兩個小時。假如攻擊者放入一條TTL為259200的記錄，那么這條記錄將會在緩存中保存三天時間。也就是說，DNS欺騙的有效時間是與緩存中記錄的TTL相關(guān)的，一旦超過緩存有效時間，除非重新構(gòu)造緩存記錄，否則DNS欺騙會自動失效。

5總結(jié)

通過分析了DNS欺騙攻擊的局限性，在配置DNS服務(wù)器的時候應(yīng)注意，使用最新版本DNS服務(wù)器軟件并及時安裝補丁；關(guān)閉DNS服務(wù)器的遞歸功能：DNS服務(wù)器利用緩存中的記錄信息回答查詢請求或是DNS服務(wù)器通過查詢其它服務(wù)器獲得查詢信息并將它發(fā)送給客戶機(jī)，這兩種查詢方式稱為遞歸查詢，這種查詢方式容易導(dǎo)致DNS欺騙。限制區(qū)域傳輸范圍：限制域名服務(wù)器做出響應(yīng)的地址、限制域名服務(wù)器做出響應(yīng)的遞歸請求地址、限制發(fā)出請求的地址。

參考文獻(xiàn)

[1] 孔政，姜秀柱.DNS欺騙原理及其防御方法[J].計算機(jī)工程，2010（2）.

[2] 董新科，邢雨，高維銀.DNS網(wǎng)絡(luò)安全系統(tǒng)分析與設(shè)計[J].計算機(jī)安全，2010（6）.

[3] 李基，楊義先.DNS安全問題及解決方案[M].北京：北京郵電大學(xué)信息安全中心，2005.