張俊祥

（首都經(jīng)濟貿(mào)易大學(xué)教育技術(shù)中心 北京 100070）

0 引言

2015年第二屆國家網(wǎng)絡(luò)安全宣傳周即將啟動，5月底就傳出各種網(wǎng)絡(luò)攻擊事件。先是支付寶短暫斷網(wǎng)，后澄清是“施工被斷光纖”，接著“攜程故障，24小時以上不能提供服務(wù)，具體故障原因不明”，然后傳出黑客公開要攻擊國家重點網(wǎng)絡(luò)設(shè)備。網(wǎng)絡(luò)形勢表明，網(wǎng)絡(luò)安全無論是對于普通用戶，還是對于服務(wù)器管理員已經(jīng)到了非常重要的程度。

DNS服務(wù)器作為網(wǎng)絡(luò)核心服務(wù)之一，是網(wǎng)絡(luò)攻擊的首要目標，如何做好DNS服務(wù)器的管理是服務(wù)器管理員的主要目標。

1 DNS服務(wù)簡介

1.1 DNS簡介

DNS 是域名系統(tǒng)（Domain Name System）的縮寫，是因特網(wǎng)的一項核心服務(wù)，它作為可以將域名和IP地址相互映射的一個分布式數(shù)據(jù)庫，能夠使人更方便的訪問互聯(lián)網(wǎng)，而不用去記住能夠被機器直接讀取的IP地址。通常 Internet 主機域名的一般結(jié)構(gòu)為：主機名.三級域名.二級域名.頂級域名。Internet 的頂級域名由 Internet網(wǎng)絡(luò)協(xié)會域名注冊查詢負責網(wǎng)絡(luò)地址分配的委員會進行登記和管理，它還為 Internet的每一臺主機分配唯一的 IP 地址。全世界現(xiàn)有三個大的網(wǎng)絡(luò)信息中心：位于美國的 Inter-NIC，負責美國及其他地區(qū)；位于荷蘭的 RIPE-NIC，負責歐洲地區(qū)；位于日本的APNIC，負責亞太地區(qū)。

用戶通過訪問域名，DNS服務(wù)器解析域名，返回用戶 IP地址，完成整個服務(wù)。DNS服務(wù)器就是網(wǎng)絡(luò)中提供地址解析服務(wù)的網(wǎng)絡(luò)服務(wù)器。

1.2 近期攻擊事件

2014年12月10日，爆發(fā)了今國內(nèi)規(guī)模最大的針對運營商DNS網(wǎng)絡(luò)的惡性DDoS攻擊事件。攻擊是從12月10日凌晨開始，現(xiàn)場網(wǎng)絡(luò)監(jiān)控到攻擊流量突增的情況，多個省份不斷出現(xiàn)網(wǎng)頁訪問緩慢，甚至無法打開等故障現(xiàn)象。經(jīng)過分析樣本發(fā)現(xiàn)，12月10日的攻擊主要是針對多個域名的隨機查詢攻擊，造成多省的 DNS遞歸服務(wù)器延遲增大，核心解析業(yè)務(wù)受到嚴重影響。

2014年1月21日發(fā)生全國大部分網(wǎng)站不能訪問的情況，事后國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布通告宣稱，此次事件是由網(wǎng)絡(luò)攻擊導(dǎo)致國內(nèi)互聯(lián)網(wǎng)用戶訪問國際域名解析服務(wù)時出現(xiàn)異常。

事實上，針對DNS的攻擊就一直沒有中斷過。2009年國內(nèi)斷網(wǎng)，2010年baidu網(wǎng)絡(luò)域名被劫持事件，2011年電信寬帶斷網(wǎng)事件等，網(wǎng)絡(luò)攻擊者針對DNS服務(wù)的攻擊一直持續(xù)不斷。筆者作為DNS服務(wù)器管理員在日常維護中經(jīng)常遇到對DNS服務(wù)器的各種攻擊。

2 DNS相關(guān)的攻擊類型及原理

2.1 針對DNS服務(wù)器的DDoS攻擊

分布式拒絕服務(wù)（DDoS：Distributed Denia1 of Service）攻擊指借助于客戶/服務(wù)器技術(shù)，將多個計算機聯(lián)合起來作為攻擊平臺，對一個或多個目標發(fā)動DDoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。這類攻擊就是向受害者DNS服務(wù)器發(fā)送大量的DNS解析請求包，由于DNS服務(wù)器每秒查詢的次數(shù)有限，使得它忙不過來造成拒絕服務(wù)，從而發(fā)生故障。

簡單說就是攻擊者可以借助多個肉雞同時向 DNS服務(wù)器發(fā)起請求，從而引起服務(wù)器解析故障，造成服務(wù)宕機。

2.2 DNS反射型攻擊

大量主機偽造受害者 ip向網(wǎng)絡(luò)上的大量開放式遞歸 DNS服務(wù)器發(fā)送DNS查詢請求包。由于開放遞歸DNS服務(wù)器并不對請求包進行地址真實性驗證，因此都會進行應(yīng)答，這樣受害者將同時接收到大量的DNS請求應(yīng)答包，堵塞受害DNS服務(wù)器的網(wǎng)絡(luò)，最終形成拒絕服務(wù)攻擊。

這種攻擊利用了遞歸查詢的漏洞，攻擊者偽造DNS服務(wù)器ip向遞歸查詢DNS服務(wù)器發(fā)起查詢請求，遞歸查詢DNS服務(wù)器返回請求，當這種請求達到一個量級，就對正常DNS服務(wù)器形成了一種DDoS攻擊。

2.3 針對用戶的DNS劫持

dns劫持就是本來你想訪問百度的網(wǎng)站www.baidu.com，結(jié)果輸入域名后返回給你的是搜狐的服務(wù)器ip，那么自然顯示在瀏覽器中的也就是搜狐的頁面。那么這是怎么發(fā)生的呢？

首先的原因是 DNS服務(wù)器地址被劫持。用戶的網(wǎng)絡(luò)中的DNS服務(wù)器地址被修改為惡意的DNS服務(wù)器。當你訪問網(wǎng)絡(luò)時，你訪問的任何域名都被解析成其他的地址。

但是這種情況一般是不會發(fā)生的，因為惡意人員登錄不了的路由器修改不了 DNS服務(wù)器地址，就更修改不了你本機的DNS設(shè)置。不過當幾個小的漏洞結(jié)合在一起的時候就成為了大的漏洞。比如之前出現(xiàn)過的路由器劫持事件。

還有一種情況是用戶的hosts文件被修改。根據(jù)解析流程來看，如果要解析www.qq.com的ip，系統(tǒng)會首先訪問hosts文件，看看有沒有相關(guān)的綁定。如果有直接返回綁定ip，如果沒有訪問DNS服務(wù)器進行解析。如果hosts文件被修改，那么用戶訪問綁定域名就會訪問綁定ip。

還有一種劫持就是直接劫持域名服務(wù)器根服務(wù)器，這種情況比較少見，但也有出現(xiàn)的例子。

2.4 侵入DNS服務(wù)器修改記錄。

針對網(wǎng)絡(luò)服務(wù)提供商的DNS地址，進行暴力入侵DNS服務(wù)器，獲取管理員權(quán)限，直接進行域名記錄修改。這種方式比較困難，但也是存在著可能。

2.5 緩存區(qū)中毒攻擊

惡意人員向受害DNS服務(wù)器發(fā)送域名的解析請求，然后搶在權(quán)威服務(wù)器應(yīng)答前偽造應(yīng)答包發(fā)送給受害服務(wù)器。這樣錯誤的解析記錄就保存到了緩存中，那么接下來緩存時間內(nèi)所有該域名的解析就都是錯誤了。這種攻擊偽造的是回答資源記錄，攻擊時間很短，效率低。

3 DNS服務(wù)器安全管理與防范

DNS服務(wù)是網(wǎng)絡(luò)基礎(chǔ)服務(wù)，由于網(wǎng)絡(luò)的自適應(yīng)性，DNS采用的面向非連接的UDP協(xié)議，但UDP協(xié)議又是不安全的，而域名的樹形結(jié)構(gòu)是為了便于查詢服務(wù)，這都使得單點故障明顯，網(wǎng)絡(luò)安全威脅加劇。要提高DNS服務(wù)器安全，有以下幾種思路：

3.1 把DNS服務(wù)器放在網(wǎng)絡(luò)內(nèi)部區(qū)域

在網(wǎng)絡(luò)設(shè)計過程中，把DNS服務(wù)器放在安全區(qū)域。訪問互聯(lián)網(wǎng)時，先有防火墻進行安全保護，現(xiàn)在防火墻產(chǎn)品可以有效抵御大多數(shù)網(wǎng)絡(luò)攻擊。

3.2 提高DNS服務(wù)器的安全配置和硬件等級

DNS服務(wù)器內(nèi)部的安全防護策略有很多，應(yīng)針對DNS服務(wù)器安全設(shè)定高優(yōu)先級防護策略。首先要對服務(wù)器進行專一化服務(wù)，去掉各種不需要的網(wǎng)絡(luò)服務(wù)，DNS服務(wù)器的防火墻也要打開，只開放管理端口和53端口，使用非root權(quán)限、隱藏DNS服務(wù)器軟件的版本信息，降低針對漏洞進行的DNS攻擊。設(shè)置單一ip管理，也就是只有固定的ip才能進入修改記錄和管理。提高硬件等級，可以提高服務(wù)器響應(yīng)處理能力，面對DDoS攻擊時能提高處理能力。

3.3 根據(jù)需要分ip進行遞歸查詢

一般把DNS服務(wù)器的查詢ip進行區(qū)分，可信任的ip可以進行遞歸解析，不信任的或不屬于區(qū)域的ip地址一律不給于遞歸查詢，只能進行權(quán)威查詢。這樣可以防止惡意遞歸查詢攻擊。

3.4 加強DDoS攻擊的防護

目前的域名服務(wù)器有自己搭建的bind系統(tǒng)，也有購買的智能DNS系統(tǒng)。目前已經(jīng)有了針對DDoS攻擊的防護產(chǎn)品，必須增加DNS服務(wù)器的DDoS防護模塊，加強DNS服務(wù)器的DDoS攻擊防護是服務(wù)器管理員的重要工作。

3.5 要做好DNS服務(wù)器系統(tǒng)的定期升級服務(wù)

這里有操作系統(tǒng)的升級和DNS應(yīng)用系統(tǒng)的升級。服務(wù)器應(yīng)不僅使用最新版本的 DNS 服務(wù)器軟件，隨時更新版本，及時下載并安裝相應(yīng)的補丁程序，預(yù)防攻擊者利用軟件漏洞進行攻擊，也要經(jīng)常操作系統(tǒng)升級，防止攻擊者利用操作系統(tǒng)漏洞攻入服務(wù)器。

DNS服務(wù)器安全直接關(guān)系到整個網(wǎng)絡(luò)的安全，我們只有實施具體的安全措施，才能有效杜絕網(wǎng)絡(luò)安全攻擊。保證DNS服務(wù)器正常運行，是保證網(wǎng)絡(luò)服務(wù)的重要保障。

[1]毛樂琦.DNS安全與防護[J].電腦知識與技術(shù).2014.

[2]徐斌.DNS安全分析與防范[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.2014.

[3]孫巍等.分布式 DNS 反射 DDoS 攻擊原理與防范[J].通信管理與技術(shù).2014.

[4]白競雄.DNS拒絕服務(wù)攻擊以及防范措施分析[J].硅谷.2014.

[5]夏宏利.讓DNS服務(wù)器遠離瘋狂的DDoS攻擊[J].計算機與網(wǎng)絡(luò).2014.