網(wǎng)絡(luò)安全2011年6月總第207期Networks SecurityDNS 攻擊和防護(hù)何斌穎（云南愛因森軟件職業(yè)學(xué)院摘昆明楊林651701）要DNS 作為因特網(wǎng)重要的服務(wù)器，其安全性和穩(wěn)定性直接關(guān)系到

網(wǎng)絡(luò)安全2011年6月

總第207期Networks Security

DNS 攻擊和防護(hù)

何斌穎

（云南愛因森軟件職業(yè)學(xué)院

摘昆明楊林651701）要DNS 作為因特網(wǎng)重要的服務(wù)器，其安全性和穩(wěn)定性直接關(guān)系到服務(wù)質(zhì)量。掌握針對(duì)DNS 的攻擊手段及防護(hù)方法是非常必要的，安全廠商也為DNS 服務(wù)器的安全提供了很多產(chǎn)品。

關(guān)鍵詞DNS 攻擊手段防護(hù)技術(shù)

中圖分類號(hào)G250文獻(xiàn)標(biāo)識(shí)碼A 文章編號(hào)110501-5767

DNS inspection and protection

He Binying

(YunnanEinsun software colledge 651701)

Abstract DNS server is one of the most important servers on Internet,the more stable the more better.There are many production for the DNS server security.

Keywords DNS Web site Inspection Ptotection

一、DNS 基礎(chǔ)概念

DNS ：全稱為Domain Name System ，即域名服務(wù)系統(tǒng)，是互聯(lián)

網(wǎng)的重要基礎(chǔ)設(shè)施，完成了域名到IP 地址的映射功能。IP 地址

作為因特網(wǎng)識(shí)別個(gè)人電腦和服務(wù)器等網(wǎng)絡(luò)設(shè)備的身份標(biāo)識(shí)，大

家都知道其組成是一串阿拉伯?dāng)?shù)字，如：192.168.1.2/24（IPv4），

如果是IPv6則更長，如：2002：DB8：0：0：8：800：200C ：417A 。我

們要記住一個(gè)數(shù)字比較容易，但是要長期記住一長串?dāng)?shù)字將對(duì)

每個(gè)人來說是一個(gè)很大的考驗(yàn)，因此域名服務(wù)器就顯得非常重

要，當(dāng)域名服務(wù)器把一個(gè)IP 地址映射成如：www.taobao.com.cn

我們會(huì)很容易記住的。我們來看看因特網(wǎng)發(fā)展情況：

圖2DNS 結(jié)構(gòu)圖

接下來我們來看個(gè)人用戶訪問因特網(wǎng)的某個(gè)網(wǎng)站的整個(gè)流

圖1中國網(wǎng)民規(guī)模與普及率

從圖1可以看出來，中國的互聯(lián)網(wǎng)用戶數(shù)量發(fā)展神速，從

2005年到2010年5年間，用戶翻了4倍，達(dá)到了4億多。

整個(gè)DNS 系統(tǒng)采用分布式多級(jí)樹狀結(jié)構(gòu)，1. 用戶，域名查

詢的發(fā)起端；2. 域名緩存服務(wù)器，接受用戶請(qǐng)求；3. 域名服務(wù)器，

包括根域服務(wù)器，提供域名與IP 對(duì)應(yīng)信息。圖3DNS 解析舉例·32·辦公自動(dòng)化雜志

2011年6月

Networks

Security

總第207期

網(wǎng)絡(luò)安全

程，個(gè)人用戶訪問某個(gè)網(wǎng)站，如：www.test.com ，首先向企業(yè)或電域名服務(wù)器在自信的DNS 服務(wù)器請(qǐng)求www.test.com 的IP 地址，己緩存中進(jìn)行查找，如果存在則返回地址，否則往上級(jí)域名服務(wù)器進(jìn)行查詢，一直到根域名服務(wù)器；用戶獲得IP 地址后才能繼續(xù)訪問。

我們從以上可以看出DNS 服務(wù)器在網(wǎng)絡(luò)中占有非常重要的作用，不可或缺，因此其安全性顯得非常的重要。但是DNS 由于其技術(shù)原理存在許多的缺點(diǎn)：

1、DNS 主要使用無連接的UDP 協(xié)議明文傳送，很容易偽造投毒

2、INTERNET 的DNS 體系無法承受加密帶來的開銷和技術(shù)升級(jí)的成本

3、DNS 服務(wù)器軟件漏洞4、明文傳輸?shù)腄NS 不具備任何保密性

5、DNS 易成為暴露用戶行為的工具6、迭代查詢，對(duì)根域與頂級(jí)域服務(wù)器依賴非常嚴(yán)重大面積網(wǎng)絡(luò)中斷，或者因?yàn)镈NS 變慢，上網(wǎng)變慢；用戶被欺賬號(hào)、密碼）或者中木馬，都會(huì)影響到企騙，丟失機(jī)密信息（身份、

業(yè)或者運(yùn)營商的服務(wù)質(zhì)量和信譽(yù)，因此保障DNS 服務(wù)器的安全是作為企業(yè)和運(yùn)營商必不可少的部署設(shè)備和技術(shù)手段之一，保障DNS 服務(wù)器的穩(wěn)定是維護(hù)信譽(yù)的重要措施。

>信息收集DNS 的攻擊分類：

1、傳統(tǒng)DDOS

圖4傳統(tǒng)的DDOS 攻擊

DNS 特定DDOS 攻擊2、

二、DNS 安全威脅

我們來看看幾件造成比較大的影響的域名安全事件：-2009年5月19日，域名免費(fèi)托管組織DNSPod 遭受

DDoS 攻擊，加上暴風(fēng)影音軟件存在的問題，導(dǎo)致了中國六省長時(shí)間斷網(wǎng)事件。

-2009年10月12日，瑞典當(dāng)?shù)貢r(shí)間21點(diǎn)45分，由于在日常維護(hù)中不正確的軟件升級(jí)，頂級(jí)域名.se 出現(xiàn)故障，導(dǎo)致整個(gè)瑞典互聯(lián)網(wǎng)幾乎完全癱瘓，所有的.se 網(wǎng)站都無法訪問。

-2009年8月26日，波多黎各主要的域名注冊(cè)機(jī)構(gòu)遭受長達(dá)幾個(gè)小時(shí)的攻擊，造成Google ，M icrosoft ，Yahoo ，Coca-Cola 等多家大公司的網(wǎng)站被重定向到某惡意網(wǎng)站。

-2010年1月12日，知名搜索引擎公司百度DNS 被劫持，造成其網(wǎng)站數(shù)小時(shí)內(nèi)無法被訪問。

-2010年3月24日，維基百科Wikimedia 的DNS 在做服務(wù)切換時(shí)發(fā)生配置錯(cuò)誤，致使歐洲用戶數(shù)小時(shí)無法訪問維基百科網(wǎng)站。

-2010年8月7日，國際知名DNS 服務(wù)提供者DNS M ade Easy 遭受DDoS 攻擊，造成1.5小時(shí)的服務(wù)宕機(jī)。分析發(fā)現(xiàn)DDoS 的攻擊流量高達(dá)50Gbps ，而針對(duì)DNS 的攻擊流量歷史最高為49Gbps 。

DNS 的攻擊有以下幾種方法：

1、DNS 欺騙>緩存投毒>DNS劫持2、拒絕服務(wù)>DDOS攻擊>流量異常3、系統(tǒng)滲透>溢出攻擊

圖6DNS 投毒

DNS 的攻擊不管利用哪種手段，就是消耗服務(wù)器的資源，造成正常網(wǎng)絡(luò)流量服務(wù)滯緩，用戶請(qǐng)求丟失或者不能得到及時(shí)的回應(yīng)。

圖5DNS Query Flood 攻擊

3、DNS 投毒

三、DNS 的傳統(tǒng)防護(hù)

對(duì)DNS 服務(wù)器的防護(hù)傳統(tǒng)上有以下幾種方法：1、DNS 擴(kuò)容，增加DNS QPS

辦公自動(dòng)化雜志·33·

網(wǎng)絡(luò)安全

2011年6月

總第207期

Networks

Security

2、負(fù)載均衡設(shè)備

3、DNS 系統(tǒng)評(píng)估和補(bǔ)丁加固4、防火墻

5、安全的DNS BIND 服務(wù)器

6、DNSSEC

傳統(tǒng)的防護(hù)手段有不足之處，如：當(dāng)DNS 服務(wù)器服務(wù)能力不足采取擴(kuò)容的手段，暫時(shí)能緩解服務(wù)能力的問題，但是對(duì)于攻擊者來說，對(duì)付擴(kuò)容只需加大攻擊流量，調(diào)動(dòng)更多的肉機(jī)和僵尸網(wǎng)絡(luò)即可。對(duì)系統(tǒng)進(jìn)行加固和補(bǔ)丁非常必要，有效加強(qiáng)系統(tǒng)的健壯性；但首先需要維護(hù)人員主動(dòng)發(fā)現(xiàn)漏洞后進(jìn)行修復(fù)，無法應(yīng)對(duì)0day 攻擊，更無法根本解決投毒等攻擊；對(duì)DDoS 防護(hù)根本不起作用。防火墻等設(shè)備主要定位是企業(yè)網(wǎng)分域隔離，可以對(duì)DNS 做ACL 等訪問控制，但對(duì)DNS 投毒等專門的攻擊無能為力，相反其連接表等機(jī)制本身是DDoS 攻擊的目標(biāo)之一。而負(fù)載均衡設(shè)備基本沒有安全功能，所有安全攻擊都可以進(jìn)入；復(fù)雜的負(fù)載均衡分配算法所限，很多時(shí)候首先被DDoS 攻癱瘓的不是DNS 服務(wù)器，而是負(fù)載均衡設(shè)備自身。目前來講安全DNS 有一定的作用，但是依賴廠商的安全能力，現(xiàn)階段做DNS 服務(wù)器的廠商還沒有一家安全廠商；抗DDoS 很難由DNS 服務(wù)器自身增加模塊進(jìn)行防護(hù)。DNSSEC 有但種種原因?qū)е律胁荒艽笮У慕鉀QDNS 之間安全互信的問題，

規(guī)模統(tǒng)一部署，從攻防角度上，軟件新模塊的引入，本身會(huì)增加新的攻擊機(jī)會(huì)。

2、安全域名緩存

如某廠商的ADS-D 系列的DNS 專項(xiàng)防護(hù)系統(tǒng)，內(nèi)置了安全域名緩存模塊，這是DNS 專項(xiàng)防護(hù)產(chǎn)品中重要的一項(xiàng)安全技術(shù)。ADS-D 對(duì)于旁路鏡像或者分光的DNS 數(shù)據(jù)流量進(jìn)行解析，在系統(tǒng)中存儲(chǔ)包括客戶端域名查詢過程的相關(guān)信息（如域名、IP 地址、時(shí)間、數(shù)量等）、服務(wù)器域名請(qǐng)求過程信息（如迭代服務(wù)器名稱、查詢路徑、結(jié)果信息等）以及包括流量信息等其他DNS 相關(guān)信息，形成DNS 域名安全數(shù)據(jù)緩存數(shù)據(jù)庫，這也是DNS 專項(xiàng)防護(hù)設(shè)備同其他非專項(xiàng)防護(hù)產(chǎn)品的重要區(qū)別之一。

利用安全域名緩存，可以協(xié)助進(jìn)行DNS 應(yīng)用層DDoS 攻擊對(duì)DNS 的ID/Port等碰撞投毒攻擊的檢測，同時(shí)還可以實(shí)判斷、

現(xiàn)諸如域名解析加速、Fast Flux 檢測、域名鎖定和控制、域名分析、域名保護(hù)、重點(diǎn)域名容災(zāi)等功能，從而實(shí)現(xiàn)域名容錯(cuò)類安全問題的防護(hù)。

3、DNS 投毒檢控

DNS 投毒是繼DDoS 之后的，DNS 服務(wù)器面臨的第二大安全威脅，現(xiàn)階段DNS 投毒包括如ID 檢查機(jī)制投毒、源端口非隨生日攻擊投毒、粘合投毒等各種攻擊手法，綠盟科技機(jī)性投毒、

的ADS-D 系列的DNS 專項(xiàng)防護(hù)系統(tǒng)利用安全域名緩存、緩存鎖定機(jī)制、以及特征庫識(shí)別等方式可以有效的檢測、防御DNS 投毒過程，從而為DNS 的域名安全和正確解析提供保障。

4、DNS 監(jiān)控模塊

DNS 監(jiān)控模塊可以讓DNS 服務(wù)器的運(yùn)維人員輕松的獲取DNS 的運(yùn)行信息，并隨時(shí)分析DNS 運(yùn)行中的安全威脅趨勢變從而全面掌控DNS 的運(yùn)行安全化，接受DNS 安全事件的告警，

問題。其監(jiān)控內(nèi)容包括DNS 查詢監(jiān)控和報(bào)表、DNS 回應(yīng)監(jiān)控和報(bào)表、DNS 查詢類型的監(jiān)控報(bào)表、DNS 流量監(jiān)控和報(bào)表、接口監(jiān)DNS TOPN 查詢、異常流量檢測、投毒監(jiān)測、Fast-Flux 控和報(bào)表、監(jiān)測報(bào)告、cache 命中率統(tǒng)計(jì)、某時(shí)間段內(nèi)域名-IP 數(shù)據(jù)報(bào)告等。

除了可以實(shí)現(xiàn)上述安全機(jī)制外，利用安全域名緩存的數(shù)據(jù)信息，DNS 監(jiān)控模塊可以進(jìn)一步分析實(shí)現(xiàn)域名數(shù)據(jù)發(fā)掘，例如某網(wǎng)站的訪問傾向性和訪問統(tǒng)計(jì)等，為分析用戶上網(wǎng)行為特征、未來的廣告推送、網(wǎng)站改進(jìn)等增值業(yè)務(wù)提供數(shù)據(jù)支撐。

損失，因此壓縮方案必須選擇無損的。如果在基于網(wǎng)絡(luò)傳輸功率和物理存儲(chǔ)器的限制，則只需要的系統(tǒng)中，受到諸如帶寬、保證文本可讀性，使用有損壓縮來提高壓縮比。COT 方法提供了有損和無損自由選擇的靈活度。

四、安全產(chǎn)品廠商的DNS 防護(hù)技術(shù)

DNS 安全防護(hù)應(yīng)該是一個(gè)系統(tǒng)的、全方位的概念，延事件軸，可以分為采用事前評(píng)估加固、事中實(shí)時(shí)防御、事后分析取證的三個(gè)階段。從縱深防護(hù)來說，如下圖，從物理層到應(yīng)用數(shù)據(jù)層，以及安全評(píng)估、安全防護(hù)和安全運(yùn)維的多個(gè)維度。

五、DNS 安全產(chǎn)品的部署方式

圖7DNS 安全防護(hù)體系

這些技術(shù)主要包括：

1、DNS 專項(xiàng)DDoS 防護(hù)模塊

在5.19的全國性的DNS 中斷事件之后，大量新型的針對(duì)DNS 的DDoS 攻擊開始出現(xiàn)，例如偽造源IP DNS 攻擊、DNS 畸形包DoS 攻擊、隨機(jī)域名DNS Query Flood 等攻擊，這類攻擊通常流量非常小，攻擊特征不明顯，對(duì)于廣泛部署于城域網(wǎng)的DDoS 流量清洗系統(tǒng)來說，其部署位置的限制，很難有效的處理此類DDoS 攻擊。但是這種攻擊對(duì)于DNS 服務(wù)器來說，由于自身的查詢?nèi)萘坑邢蓿@些小流量的DNS 專項(xiàng)攻擊則可以產(chǎn)生同大流量攻擊同等的效果。

專項(xiàng)防護(hù)產(chǎn)品可以支持串聯(lián)模式，也可以支持旁路部署方式。特別是旁路部署模式可以避免引入新設(shè)備造成的軟件和硬件故障點(diǎn)的問題。在正常情況下，DNS 安全產(chǎn)品主要用來作為安全監(jiān)控設(shè)備，一旦發(fā)生安全問題，可以由管理員手工或者自動(dòng)的方式將DNS 流量牽引到DNS 安全防護(hù)設(shè)備上，并進(jìn)行威脅的清除和清洗。

參考文獻(xiàn)

[1]ADS-D 產(chǎn)品白皮書.

[2]綠盟科技發(fā)力DNS 防護(hù)布局域名安全[J].軟件和信息服務(wù)201011期. 作者簡介

何斌穎（1974~），女，講師。

·34·辦公自動(dòng)化雜志