宋洪娟

摘要：DNS服務(wù)作為Internet應(yīng)用服務(wù)的基礎(chǔ)，其安全性直接決定著整個(gè)網(wǎng)絡(luò)的安全性，因此對(duì)DNS的安全防護(hù)非常重要。本文闡述了DNS的工作原理，分析了其面臨的安全風(fēng)險(xiǎn)，提出了DNS安全防護(hù)策略，提高DNS的安全性和抗攻擊能力。

關(guān)鍵詞：DNS；安全風(fēng)險(xiǎn)；防護(hù)策略

1引言

域名系統(tǒng)（Domain Name System，DNS）負(fù)責(zé)域名和IP地址之間的映射，是一個(gè)多層次的分布式數(shù)據(jù)庫系統(tǒng)。它是Internet的基礎(chǔ)服務(wù)，其安全性對(duì)整個(gè)Internet的安全有著重要的影響。而由于其開放、龐大、復(fù)雜的特性以及在設(shè)計(jì)之初對(duì)安全性的考慮不足，再加上人為蓄意的攻擊和破壞，DNS面臨非常嚴(yán)重的威脅。隨著信息高速公路的迅猛發(fā)展，非常嚴(yán)重的DNS安全事件時(shí)有發(fā)生。因此，如何解決DNS安全威脅并尋求相應(yīng)解決方案是DNS亟待解決的問題。

2DNS工作原理及安全分析

2.1DNS工作原理

DNS的工作原理如圖1所示[1]。如果用戶需要對(duì)域名www.computer.com進(jìn)行解析，并且本地DNS服務(wù)器不是目標(biāo)域名授權(quán)DNS服務(wù)器，其緩存中也沒有該域名的記錄。

DNS服務(wù)過程如下：①用戶向本地DNS服務(wù)器發(fā)出DNS查詢請(qǐng)求，詢問www.computer.com的IP地址。②本地DNS服務(wù)器發(fā)現(xiàn)沒有相應(yīng)記錄，轉(zhuǎn)而向根DNS服務(wù)器發(fā)出查詢包。根DNS服務(wù)器接到請(qǐng)求，返回com域的DNS服務(wù)器地址給本地DNS服務(wù)器。③本地DNS服務(wù)器向com域的DNS服務(wù)器發(fā)出請(qǐng)求。com域服務(wù)器返回computer.om 授權(quán)域的服務(wù)器地址。④本地DNS服務(wù)器繼續(xù)向computer.com域的DNS服務(wù)器發(fā)出解析請(qǐng)求。⑤computer.com域的DNS服務(wù)器向本地DNS服務(wù)器返回www.computer.com的IP地址。⑥本地DNS服務(wù)器向客戶端返回域名解析結(jié)果，同時(shí)更新自己的緩存記錄。

2.2DNS安全風(fēng)險(xiǎn)分析

從DNS服務(wù)的工作過程可以看出：①?zèng)]有合法性驗(yàn)證，客戶端無法驗(yàn)證收到的應(yīng)答內(nèi)容是否合法，服務(wù)器端也無法驗(yàn)證客戶端請(qǐng)求是否合法。②確認(rèn)機(jī)制過于簡(jiǎn)單，由于使用UDP連接，沒有三次握手建立連接的過程，這雖加快了數(shù)據(jù)的傳輸，但也導(dǎo)致了防御能力差。③DNS服務(wù)具有開放性，大多數(shù)的DNS服務(wù)器沒有進(jìn)行數(shù)據(jù)加密和訪問控制，客戶可對(duì)各個(gè)DNS服務(wù)器自由訪問。④DNS采用樹型結(jié)構(gòu)，便于查詢和管理，但單點(diǎn)故障問題明顯，安全威脅大[2]。

3DNS面臨的安全威脅

3.1拒絕服務(wù)攻擊

拒絕服務(wù)攻擊DoS是一種技術(shù)含量低但是攻擊效果明顯的攻擊方法。目前針對(duì)DoS攻擊主要有兩種形式：一種是直接攻擊，即將DNS服務(wù)器作為被攻擊對(duì)象，由多臺(tái)攻擊主機(jī)向所攻擊的DNS服務(wù)器頻繁發(fā)送大量的DNS查詢請(qǐng)求，最終使該DNS服務(wù)器崩潰；另一種是放大式攻擊，即利用DNS服務(wù)器作為中間的攻擊放大器去攻擊網(wǎng)絡(luò)中其他主機(jī)。攻擊者將自身IP地址偽裝為被攻擊者的IP地址向多個(gè)DNS服務(wù)器發(fā)送大量查詢請(qǐng)求，DNS服務(wù)器將大量的查詢結(jié)果發(fā)送給被攻擊主機(jī)，使被攻擊主機(jī)無法提供正常的服務(wù)。

3.2DNS欺騙

DNS欺騙即域名信息欺騙是最常見的一種DNS攻擊方式。DNS數(shù)據(jù)包頭部的標(biāo)識(shí)是用來匹配響應(yīng)和請(qǐng)求數(shù)據(jù)包的。在域名解析過程中，客戶端將收到的DNS響應(yīng)數(shù)據(jù)包的標(biāo)識(shí)和自己發(fā)送的查詢數(shù)據(jù)包標(biāo)識(shí)相比較，如若匹配則表明接收到的是自己等待的數(shù)據(jù)，若不匹配則丟棄。如果能夠偽裝DNS服務(wù)器提前向客戶端發(fā)送響應(yīng)數(shù)據(jù)包，就可以將客戶端帶到指定的錯(cuò)誤網(wǎng)站，實(shí)現(xiàn)DNS欺騙。

3.3系統(tǒng)漏洞

DNS服務(wù)軟件本身存在安全漏洞，導(dǎo)致DNS無法正常提供服務(wù)。BIND是最常用的DNS服務(wù)軟件。2011年3月底，一些院校投訴其DNS解析服務(wù)存在故障，經(jīng)常無法正常解析域名。最后查明是bind 9軟件存在條件競(jìng)爭(zhēng)漏洞導(dǎo)致的。除此之外，DNS服務(wù)器自身的安全性也非常重要。目前主流的操作系統(tǒng)如Windows、Linux等均存在不同程度的系統(tǒng)漏洞和安全風(fēng)險(xiǎn)，因此針對(duì)操作系統(tǒng)的漏洞防護(hù)也是DNS安全防護(hù)工作中的重點(diǎn)。

4DNS防護(hù)策略

根據(jù)對(duì)DNS系統(tǒng)安全的分析和研究，要根本解決DNS遭受的攻擊很難實(shí)現(xiàn)，但以下幾個(gè)安全防護(hù)策略在一定程度上能有效地提高DNS網(wǎng)絡(luò)的安全性。

4.1DNS進(jìn)行內(nèi)外劃分

把DNS服務(wù)器劃分為內(nèi)部和外部兩部分，并分布在不同的網(wǎng)絡(luò)，實(shí)現(xiàn)對(duì)內(nèi)外解析的不同分工。外部DNS負(fù)責(zé)對(duì)外的正常解析工作；內(nèi)部DNS系統(tǒng)則專門負(fù)責(zé)解析內(nèi)部網(wǎng)絡(luò)的主機(jī)。僅當(dāng)內(nèi)部主機(jī)要查詢Internet上的域名，而內(nèi)部DNS上沒有緩存記錄時(shí)，內(nèi)部DNS才將查詢?nèi)蝿?wù)轉(zhuǎn)發(fā)到外部DNS服務(wù)器上，由外部DNS服務(wù)器完成查詢?nèi)蝿?wù)，以保護(hù)內(nèi)部DNS服務(wù)器免受攻擊，同時(shí)減少了信息泄漏。

4.2防火墻防護(hù)

設(shè)置防火墻安全策略，進(jìn)行包過濾防護(hù)。限制訪問DNS服務(wù)器的網(wǎng)絡(luò)數(shù)據(jù)包的類型，實(shí)施包過濾的依據(jù)主要是端口、IP和流量。端口過濾指僅允許對(duì)53端口的訪問；IP地址限制指只允許具有合法網(wǎng)段的IP地址用戶訪問該DNS服務(wù)器；流量限制指對(duì)每個(gè)IP地址的DNS請(qǐng)求報(bào)文加以流量限制，禁止大容量DNS報(bào)文流入本網(wǎng)絡(luò)。

4.3系統(tǒng)分擔(dān)法

分擔(dān)法是利用主機(jī)的cookie緩存功能，采用網(wǎng)狀延伸方法將DNS體系單點(diǎn)故障的風(fēng)險(xiǎn)大大降低，改變了原有的主機(jī)只能通過查詢固定DNS服務(wù)器訪問Internet的單路徑結(jié)構(gòu)，增加了旁路，同時(shí)減小DNS服務(wù)器的負(fù)荷。它弱化DNS功能的策略，將DNS所承擔(dān)的單點(diǎn)故障風(fēng)險(xiǎn)分散到網(wǎng)絡(luò)的各個(gè)層次，包括主機(jī)、其他服務(wù)器、路由器等。

5小結(jié)

DNS安全是當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域的一個(gè)重要環(huán)節(jié)。確保DNS體系的正常運(yùn)轉(zhuǎn)和安全可靠，不斷發(fā)現(xiàn)其安全漏洞的同時(shí)不斷改正，才能使整個(gè)網(wǎng)絡(luò)更加健全和完善。本文提出的DNS防范策略，在某些應(yīng)用環(huán)境中防護(hù)效果不夠有效。要想真正做到完美，使DNS安全性真正讓人放心，還需要繼續(xù)做更深入的研究。

參考文獻(xiàn)：

[1]王利霞.DNS安全現(xiàn)狀[J].計(jì)算機(jī)安全，2011，（1）：66-68.

[2]邵明珠.DNS安全分析及防御技術(shù)研究[J].河南機(jī)電高等專科學(xué)校學(xué)報(bào)，2011，（5）：39-41.