第28卷第9期2007年9月 通 信 學 報 V ol.28 No.9Journal on Communications September 2007域名系統(tǒng)安全研究綜述王垚 1,2，胡銘曾

第28卷第9期

2007年9月 通 信 學 報 V ol.28 No.9Journal on Communications September 2007

域名系統(tǒng)安全研究綜述

王垚 1,2，胡銘曾 1，李斌 1，閆伯儒 1,3

(1. 哈爾濱工業(yè)大學 計算機網(wǎng)絡與信息安全研究中心, 黑龍江 哈爾濱 150001;

2. 中國外匯交易中心，上海201203；3. 微軟亞洲工程院，北京 100086)

摘 要：作為互聯(lián)網(wǎng)關鍵基礎設施的域名系統(tǒng)(DNS)其安全性正面臨嚴峻考驗。協(xié)議設計脆弱性導致數(shù)據(jù)信息真

實性和完整性得不到保證；配置故障普遍存在，系統(tǒng)冗余性降低，單點失效問題嚴重；系統(tǒng)規(guī)模不斷擴大導致管

理難度急劇增加。從協(xié)議脆弱性、實現(xiàn)脆弱性和操作脆弱性3個方面對域名系統(tǒng)面臨的威脅進行分類，綜述了針

對這些安全威脅的改進方案和研究成果，并論述了進一步研究中需要解決的關鍵問題。

關鍵詞：域名系統(tǒng)；互聯(lián)網(wǎng)基礎設施；網(wǎng)絡安全

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1000-436X(2007)09-0091-13

Survey on domain name system security

WANG Yao1,2, HU Ming-zeng1, LI Bin1, YAN Bo-ru1,3

(1. Research Center of Computer Network and Information Security Technology, Harbin Institute of Technology, Harbin 150001, China;

2. China Foreign Exchange Trade System, Shanghai 201203, China; 3. Microsoft Adranced Technology Center , Beijing 100086, China)

Abstract: DNS(domain name system), as the critical Internet infrastructure, its security is facing great challenge. Proto-

col design vulnerability provides no assurance for data authentication and integrity. Configuration errors are widespread

with diminished server redundancy and severe single point of failure. The continuous development of system scale leads

to the dramatic difficulty in administration. The threats towards DNS were categorized according to protocol, implemen-

tation and operation vulnerability. The improvements and resolutions to these threats were summarized and the new

problems in future study work were discussed.

Key words: domain name system; Internet infrastructure; network security

1 引言

DNS(domain name system，域名系統(tǒng)) 是互聯(lián)網(wǎng)

上最為關鍵的基礎設施，其主要作用是將易于記憶

的主機名稱映射為枯燥難記的IP 地址[1,2]，從而保

障其他網(wǎng)絡應用(如網(wǎng)頁瀏覽、電子郵件等) 順利執(zhí)

行。作為全球最大也是最為成功的分布式數(shù)據(jù)庫系

統(tǒng)，其效率和普及程度是其他服務無法比擬的。一

旦遭受攻擊，會給整個互聯(lián)網(wǎng)帶來無法估量的損失。然而近年來對互聯(lián)網(wǎng)安全性的研究主要集中在信息安全方面，通常使用認證(authentication)和加密(encryption)等手段來保證信息的機密性(confidentiality)和完整性(integrity)，但這是以互聯(lián)網(wǎng)基礎設施安全可靠為前提的，針對關鍵設施的安全事件頻繁發(fā)生(如DNS 欺騙和路由重定向) 使得這一假設受到前所未有的挑戰(zhàn)。作為互聯(lián)網(wǎng)基礎設施，DNS 存在極大的安全隱患，主要表現(xiàn)在：1) 協(xié)議設計存在較大的脆弱性(vulnerability)，缺乏必要收稿日期：2006-04-20；修回日期：2007-08-01

基金項目：國家重點基礎研究發(fā)展計劃(“973”計劃) 基金資助項目 (G2005CB321806)

Foundation Item: The National Basic Research Program of China (973 Program) (G2005CB321806)

·92· 通 信 學 報 第28卷

的安全性考慮，數(shù)據(jù)信息真實性(authenticity)和完整性得不到保證；2) 系統(tǒng)規(guī)模不斷擴大導致管理難度急劇增加，人為錯誤因素使得配置故障普遍存在，系統(tǒng)冗余性(redundancy)大大降低，單點失效(single point of failure)問題嚴重；3) 對DNS 安全性的各種改進措施難以大規(guī)模應用，且往往又引入新的安全問題。本文綜述了DNS 安全領域的最新研究進展，對當前DNS 面臨的安全威脅進行了分類比較，從脆弱性、系統(tǒng)可用性(availability)和可生存性(survivability)等角度闡述了研究者提出的各種改進方法和措施，并指出了其難點和未來的研究方向。

本文第2節(jié)概述DNS 安全問題現(xiàn)狀。第3節(jié)對DNS 面臨的安全威脅進行分類比較。第4節(jié)綜述增強DNS 安全性的各種研究方案。第5節(jié)展望進一步的研究工作。第6節(jié)為結束語。

2 DNS安全問題現(xiàn)狀

2.1 DNS基本概念

DNS 服務是互聯(lián)網(wǎng)上大部分服務和應用正常運轉和實施的基礎，從Web 到郵件服務，從負載均衡到服務發(fā)現(xiàn)(service discovery)，DNS 服務已經(jīng)深入到互聯(lián)網(wǎng)的各個角落，成為互聯(lián)網(wǎng)上不可或缺的關鍵一環(huán)。DNS 主要包括3個組成部分，分別是：域名空間(domain name space)和資源記錄(resource record) ；名字服務器(name server)；解析器(resolver)，如圖1所示。

圖1 DNS體系結構

1）DNS 以域名為索引，每個域名是一棵很大的逆向樹中的路徑，這棵逆向樹就稱為域名空間。而域名則被存放在稱為資源記錄的數(shù)據(jù)結構中。

2）名字服務器是存儲有關域名空間信息的程序，它作為DNS 客戶/服務器機制的服務器端，通

常含有域名空間中某一部分的完整信息，這一部分稱之為區(qū)(zone)。名字服務器分為權威名字服務器和緩存名字服務器2種。

3）解析器是DNS 客戶/服務器機制的客戶端，通常作為庫例程存在，供需要使用名字服務的應用程序引用，負責向名字服務器查詢信息并將結果返回給調(diào)用它的應用程序。 2.2 DNS 安全現(xiàn)狀

近20年來，DNS 服務發(fā)展迅速，其注冊規(guī)模越來越大，管理難度也急劇增加。據(jù)美國互聯(lián)網(wǎng)海量數(shù)據(jù)中心(ISC)統(tǒng)計，1987年全球DNS 注冊主機數(shù)僅有20 000條，但截止到2007年1月已增至433 193 199條。其獨立域(independent zone)的個數(shù)也由1987年的幾個增加到2005年的8 290萬個[3]。此外，射頻識別(RFID)和移動計算等應用的出現(xiàn)和普及使得DNS 的數(shù)據(jù)發(fā)生動態(tài)變化。以DNS 作為高可靠性公鑰基礎設施(PKI)的需求使得DNS 系統(tǒng)的安全性和健壯性問題亟待解決。然而作為互聯(lián)網(wǎng)的早期協(xié)議，DNS 從設計之初就建立在互信模型的基礎之上，是一個完全開放的協(xié)作體系[2]，其上存在的各類數(shù)據(jù)從未進行加密，沒有提供適當?shù)男畔⒈Ｗo和認證機制，也沒有對各種查詢進行準確識別，同時對網(wǎng)絡基礎設施和核心骨干設備的攻擊沒有受到足夠重視，使得DNS 很容易遭受攻擊。2005年3月美國系統(tǒng)網(wǎng)絡安全協(xié)會發(fā)布的關于域名欺騙攻擊的警告指出，新一輪攻擊中大批.com 域名成為犧牲品，至少有1 300個域名被誘騙到被攻陷的網(wǎng)絡服務器[4]。在其公布的2004年度Top20網(wǎng)絡安全隱患排行榜中，DNS 的主要應用軟件BIND(berkeley Internet name domain)更是排在UNIX 及Linux 操作系統(tǒng)相關安全隱患的首位[5]。由此可見，加強防范對DNS 的攻擊、確保DNS 系統(tǒng)安全已經(jīng)到了刻不容緩的地步。

除了脆弱性之外，DNS 系統(tǒng)本身的可用性和可生存性也是眾多學者、研究人員和運營商普遍關注的問題。大部分DNS 服務器為提高可用性都會使用冗余和緩存機制，通常使用多個權威DNS 服務器來提供服務，每臺服務器又會緩存客戶查詢過的信息。但是據(jù)統(tǒng)計全球大約有38.78的網(wǎng)站將所有DNS 服務器部署在同一子網(wǎng)內(nèi)[6]，其可生存性大大降低，一旦其所在網(wǎng)絡遭到攻擊或發(fā)生嚴重的電力故障，會導致整個DNS 系統(tǒng)癱瘓，存在著嚴重的單點失效問題。此外，緩存的存在雖然減少了訪問

第9期 王垚等：域名系統(tǒng)安全研究綜述 ·93·

時間，卻是以犧牲一致性(consistency)為代價的，同時也使得服務器發(fā)生緩存中毒的機率增大，極大削弱了DNS 系統(tǒng)的可用性。動態(tài)更新不及時或發(fā)生中斷也會降低DNS 系統(tǒng)的可用性。主從服務器之間數(shù)據(jù)更新缺乏連貫性，客戶可能從一些服務器得到陳舊數(shù)據(jù)，從而導致非故意性攻擊。在更新過程中，如果主名字服務器崩潰，一些更新數(shù)據(jù)就會永久丟失。對DNS 服務器的錯誤配置也將大大降低DNS 的可用性。文獻[7]研究結果顯示無用授權(lame delegation)配置錯誤影響了15的DNS 區(qū)，而 .cn 域下存在無效授權錯誤的區(qū)更以高達36的比例排在首位，大約2的區(qū)存在循環(huán)依賴錯誤，服務器冗余降低問題普遍存在。

3 DNS 安全威脅分類

一個系統(tǒng)之所以受到威脅，是因為其本身存在可以被滲透的脆弱性，或稱弱點。脆弱性被定義為設計、實現(xiàn)和操作過程中的錯誤或弱點，分為協(xié)議脆弱性、實現(xiàn)脆弱性和操作脆弱性3類。本節(jié)從這3個方面對DNS 系統(tǒng)面臨的安全威脅進行分類比較，如圖2所示。 3.1 協(xié)議脆弱性

協(xié)議脆弱性主要是系統(tǒng)在設計之初對前提假設條件考慮不夠充分或之后條件發(fā)生變化導致的。由于使用的長期性和廣泛性，使得這類脆弱性通常很難從根源上得到修正，DNS 在這一方面極具代表性。由DNS 協(xié)議缺乏必要的認證機制，客戶無法確認接收到的信息的真實性和權威性，基于名字的認證過程并不能起到真正的識別作用，而且接收到的應答報文中往往含有額外的附加信息，其正確性也無法判斷。此外，DNS 的絕大部分通信使用UDP ，數(shù)據(jù)報文容易丟失，也易于受到劫持和欺騙。DNS 協(xié)議脆弱性面臨的威脅主要是域名欺騙和網(wǎng)絡通信攻擊。

3.1.1 域名欺騙

域名欺騙是指域名系統(tǒng)(包括DNS 服務器和解析器) 接收或使用來自未授權主機的不正確信息。在此類威脅中，攻擊者通常偽裝成客戶可信的DNS 服務器，然后將偽造的惡意信息反饋給客戶。域名欺騙主要是事務ID 欺騙(transaction ID spoofing)和緩存中毒(cache poisoning)。

1) 事務ID 欺騙

當前最常見域名欺騙攻擊是針對DNS 數(shù)據(jù)報頭部的事務ID 來進行欺騙。由于客戶端會用該ID 作為響應數(shù)據(jù)報是否與查詢數(shù)據(jù)報匹配的判斷依據(jù)，因此可以通過偽裝DNS 服務器提前向客戶發(fā)送與查詢數(shù)據(jù)報ID 相同的響應報文，只要該偽造的響應報文在真正的響應報文之前到達客戶端，就可以實現(xiàn)域名欺騙。對ID 的獲取主要采用網(wǎng)絡監(jiān)聽(sniffing)和猜測序列號兩種方法。其中網(wǎng)絡監(jiān)聽比較簡單，由于DNS 數(shù)據(jù)報文都沒有加密，因此如果攻擊者能夠監(jiān)聽到客戶的網(wǎng)絡流量即可獲得事務ID 。攻擊者通常使用ARP 欺騙的方法進行監(jiān)聽，但是這種方法要求攻擊者必須與客戶處于同一網(wǎng)絡環(huán)境中。為突破這種限制，很多攻擊者開始采用猜測序列號的方法來進行欺騙。由于DNS 查詢報文的事務ID 字段為2個字節(jié)，限制了其ID 值只能是0~65 535，大大降低了猜測成功的難度。在此過程中，攻擊者通常對提供真實報文的名字服務器發(fā)動DoS 攻擊，延緩正確應答報文返回，從而保證虛假的應答報文提前返回給客戶端。

2) 緩存中毒

為了減少不必要的帶寬消耗和客戶端延遲，名字服務器會將資源記錄緩存起來，在數(shù)據(jù)的生存期(TTL)內(nèi)客戶端可以直接向其查詢。使用緩存可以提高DNS 基礎設施的有效性和可擴展性[8]。而攻擊者則利用DNS

協(xié)議中緩存機制中對附加區(qū)數(shù)據(jù)不

圖2 DNS系統(tǒng)安全威脅分類

·94· 通 信 學 報 第28卷

做任何檢查的漏洞，誘騙名字服務器緩存具有較大TTL 的虛假資源記錄從而達到長期欺騙客戶端的目的[9]。在有效TTL 時段內(nèi)，緩存的虛假資源記錄會擴散到其他名字服務器，從而導致大面積的緩存中毒，很難徹底根除。緩存中毒給互聯(lián)網(wǎng)帶來了新的挑戰(zhàn)，其攻擊方式主要有以下幾個特點：1) 攻擊具有隱蔽性，不用消耗太多網(wǎng)絡資源就可以使性能急劇受損；2) 采用間接攻擊方式使得客戶端和服務器都受到攻擊；3) 使用貌似合法的記錄來污染緩存，很難檢測出來；4) 目前的緩存設計缺乏相應的反污染機制，對于精心組織的惡意緩存中毒攻擊更是束手無策。

3.1.2 網(wǎng)絡通信攻擊

針對DNS 的網(wǎng)絡通信攻擊主要是DoS(denial of service，拒絕服務) 攻擊、惡意網(wǎng)址重定向和中間人(man-in-the-middle)攻擊。

DoS 攻擊是最難解決的一類網(wǎng)絡安全問題，具有實施成本低、防范難度大、攻擊能力強和隱蔽效果好等特點，危害性極大。同其他互聯(lián)網(wǎng)服務一樣，DNS 系統(tǒng)容易遭受拒絕服務攻擊。針對DNS 的拒絕服務攻擊通常有兩種方式：一種是攻擊DNS 系統(tǒng)本身，包括對名字服務器和客戶端進行攻擊，另一種是利用DNS 系統(tǒng)作為反射點來攻擊其他目標。在針對DNS 系統(tǒng)的DoS 攻擊中，主要通過發(fā)送否定回答顯示域名不存在，從而制造黑洞效應，對客戶端造成事實上的DoS 攻擊，而對名字服務器的攻擊則主要是以root 等根名字服務器為目標[10]。在反射式攻擊中，攻擊者也經(jīng)常利用root 等頂級服務器作為反射點，用DNS 應答對目標進行洪泛攻擊[11]。雖然攻擊目標不是DNS 系統(tǒng)本身，但由于DNS 承擔域名和IP 地址映射的任務，攻擊者通過查詢被攻擊目標的域名IP 地址，使得DNS 收到大量的查詢請求從而同樣間接受到DoS 攻擊。此外，由于DNS 協(xié)議設計上的原因，查詢報文通常很小，而響應報文在采用UDP 傳輸情況下最大可達512字節(jié)，因而能夠產(chǎn)生放大式的攻擊效果，并且超過512字節(jié)的報文又采用TCP 傳輸，更增加了DoS 攻擊成功的概率。與Smurf 、Fraggle 等傳統(tǒng)IP 欺騙方法通過廣播報文實施DoS 攻擊不同，針對DNS 的攻擊通常利用普通查詢過程中DNS 響應報文尺寸遠大于請求報文尺寸以及區(qū)傳送或遞歸查詢過程中DNS 響應報文數(shù)量遠大于請求報文數(shù)量等特點來放大攻擊流量，從而產(chǎn)生“四

兩撥千斤”的攻擊效果。

在惡意網(wǎng)址重定向和中間人攻擊過程中，攻擊者通常偽裝成客戶可信任的實體對通信過程進行分析和篡改，將客戶請求重定向到假冒的網(wǎng)站等與請求不符的目的地址，從而竊取客戶的賬戶和密碼(例如信用卡賬號和網(wǎng)上銀行密碼) 等機密信息，進行金融欺詐和電子盜竊等網(wǎng)絡犯罪活動。針對DNS 的攻擊工具可以參考Dug Song開發(fā)的DSniff 工具包[12]。其中的DNSSpoof 和WebMITM 可以用來對DNS 進行域名欺騙和中間人攻擊。 3.2 實現(xiàn)脆弱性

歷史上關于計算機或者計算機網(wǎng)絡的很多著名安全問題不是由于算法或是協(xié)議缺陷造成的，而是由實現(xiàn)錯誤引起的，通常是在編碼階段由于安全編碼水平不高以及程序測試不全面導致在某種特定條件下程序執(zhí)行出現(xiàn)異常和錯誤，從而引發(fā)災難性后果。具有代表性的是利用緩沖區(qū)溢出(overflow)來發(fā)起攻擊，而作為分布式系統(tǒng)典型代表的DNS 在這方面也傷痕累累。

1992年，Danzig 等人[11]從類RPC 流(RPC-like traffic) 的角度對DNS 的一個根名字服務器進行了測量，發(fā)現(xiàn)其在緩存機制、超時重傳算法和替代服務器選擇算法方面存在7類實現(xiàn)錯誤。研究表明由于這些錯誤的大量存在導致DNS 占用的廣域網(wǎng)帶寬超出其所需帶寬20倍以上。2001年，Brownlee 等人[13,14]對F 根服務器和通用頂級域名服務器(gTLD)的安全性進行了全方位的測量，結果顯示盡管歷經(jīng)了10年，Dnazig 在1992年發(fā)現(xiàn)的DNS 脆弱性依然大量存在，偽造的A 類型查詢、重復查詢、無效TLD 查詢以及利用根服務器發(fā)起的DoS 攻擊不僅極大影響了全球DNS 的性能，也嚴重威脅著整個互聯(lián)網(wǎng)的安全性。

作為應用最為廣泛的DNS 軟件，BIND 的漏洞和缺陷無疑給DNS 帶來嚴重的威脅，其緩沖區(qū)溢出漏洞一度占據(jù)UNIX 及Linux 操作系統(tǒng)相關安全隱患的首位[5]。此外，9.0版本之前查詢報文的事務ID 和源端口號并非隨機生成[15]。Sacramento [16]還發(fā)現(xiàn)BIND 4.x和8.x 兩個系列會允許客戶向同一IP 地址同時發(fā)送多個遞歸查詢請求，由此衍生出一種稱為生日悖論(birthday paradox) [17]的攻擊方法，這種攻擊方法增加了成功猜測到正確的事務ID 的可能性，受到廣泛的關注。式(1)給出了成功概率P 的計算公式，其中t

第9期 王垚等：域名系統(tǒng)安全研究綜述 ·95·

3.3.2 域名注冊攻擊

域名注冊攻擊的方法主要有域名劫持(domain

n ×(n ?1) hijacking) 和類似域名注冊。域名劫持是對域名注冊2?1?

(1) p =1??1??管理公司的注冊域名記錄非法改變使之指向其他t ??

Web 站點。攻擊者通常會利用域名注冊時限，利用

如圖3所示，利用生日悖論定理，攻擊者只需原域名擁有者忽略域名時限的空隙，購買剛到期的發(fā)送800個報文就幾乎能夠100地預測出事務ID 域名占為己有，或者通過冒充原域名擁有者以電子[18]值，大大減少猜測過程中隨機生成的DNS 報文數(shù)郵件等方式向域名注冊管理公司提出請求修改注量和攻擊時間，使得這種攻擊更容易得手。另一種冊域名記錄，將域名重定向到另一組織或站點[21]。攻擊方法稱為相位空間(phase space)欺騙攻擊，基于而類似域名注冊攻擊通常是利用用戶習慣性錯誤

[19]

Zalewski 的TCP 序列號預測原理來對DNS 查詢報拼寫、字母相似性和替換頂級域名后綴等方式來注文的事務ID 進行預測，也具有很好的攻擊效果。

冊與銀行、知名企業(yè)的域名相類似的域名，從而達

到欺騙客戶和竊取機密信息等目的。這種攻擊屬于非法盜取電子財產(chǎn)，造成的損失是巨大而持久的。 3.3.3 信息泄漏

信息泄漏通常發(fā)生在區(qū)傳送過程中。區(qū)傳送(zone transfer)是區(qū)數(shù)據(jù)文件裝載到輔名字服務器的過程，使主、輔名字服務器之間數(shù)據(jù)同步。輔名字服務器既可以從主名字服務器裝載區(qū)數(shù)據(jù)文件，也 可以從其他輔名字服務器裝載。在傳送過程中，內(nèi)

圖3 生日悖論攻擊成功概率

部網(wǎng)絡拓撲、主機名和操作系統(tǒng)等信息有可能會暴露，并從這些信息中判斷其功能或發(fā)現(xiàn)其他具有漏3.3 操作脆弱性

洞的其他主機，從而使得進一步攻擊成為可能[22]。 DNS 最初設計主要考慮物理設備故障，并沒有代表事務ID 值的集合，這里取值為65 535，n 是

隨機生成的報文數(shù)量。

考慮由于人為操作或配置錯誤所帶來的安全隱患。由于缺乏有效的配置管理工具，使得DNS 上存在大量的配置錯誤(例如無用授權、循環(huán)依賴和冗余降低等) ，給整個域名空間帶來極大的安全威脅[7]。針對操作脆弱性的安全威脅主要包括域名配置攻擊、域名注冊攻擊和信息泄漏等。 3.3.1 域名配置攻擊

域名配置攻擊包括無意攻擊和有意攻擊。其中無意攻擊是由于誤配置造成的，例如將防火墻等報文過濾軟件配置成只允許查詢報文發(fā)送而不允許應答報文返回。這給DNS 空間帶來極大污染，因為名字服務器持續(xù)發(fā)送查詢報文而沒有意識到這樣的配置使其無法接收到任何應答報文[20]。有意攻擊則是利用DNS 協(xié)議配置的隨意性弱點來實施攻擊。這種攻擊方法的典型代表是對DNS 通配符(wildcard)的濫用，攻擊者通常利用通配符條目來混淆其要真正攻擊的目的主機，垃圾郵件也會利用這點向主機名嵌入跟蹤信息來驗證真實的郵件賬號從而避開反垃圾郵件系統(tǒng)的檢測。

4 改進方案

目前針對DNS 安全的研究主要集中在3個方面：DNS 協(xié)議安全性研究、DNS 配置診斷研究以及DNS 管理和維護研究。各個研究方向看待問題的角度雖然不同，但是從整體上來說都是為了增強DNS 系統(tǒng)的可用性、可靠性及安全性。針對上一節(jié)提到的各種DNS 安全威脅，研究者從協(xié)議安全性、系統(tǒng)可用性和管理維護等角度提出了許多解決方案和措施，對現(xiàn)有域名系統(tǒng)的安全性加以改進和完善。

4.1 DNS 協(xié)議安全性研究

DNS 報文的源真實性和完整性是非常重要的，即所謂的目標安全性(object security)。因此DNS 安全應該關注的是：如何保證收到的DNS 報文的可信任性和完整性；如何保證附加字段的信息是可信任的；如何保證區(qū)傳送的機密性，即通道安全(channel security)。一直以來，很多學者和研究機構都在探討DNS 安全性問題，對于DNS 協(xié)議所固有的安全缺陷，提出了一些解決方案。1997年1月，

·96· 通 信 學 報 第28卷

IETF 域名系統(tǒng)安全工作組提出DNS 安全擴展協(xié)議

BIND (DNSSEC)[23]來加強DNS 基礎設施的安全性。

9.x 系列版本提供對DNSSEC 的支持。DNSSEC 在兼容現(xiàn)有協(xié)議基礎上引入公鑰加密/認證體系，通過事務簽名和區(qū)簽名來提供端到端的數(shù)據(jù)真實性和完整性保護。主要功能包括：密鑰分發(fā)；數(shù)據(jù)完整性和原始性認證；事務和請求認證。DNSSEC 的出現(xiàn)雖然極大改善了DNS 的安全性，但目前仍然沒有得到大規(guī)模部署，主要存在以下困難：1) 系統(tǒng)效率問題。大量的簽名和記錄驗證帶來嚴重的負載，很難在實際應用中部署。2) 密鑰系統(tǒng)的管理問題比較突出，包括密鑰的分發(fā)、保存、更新以及廢除等。DNSSEC 中的密鑰是離線存儲的，但是由于動態(tài)更新需要頻繁使用密鑰，使得離線的密鑰存儲局限性很大。而且DNSSEC 假定區(qū)的私鑰不被竊取，并且負責提供真實名字服務的服務器本身是誠實可信的，這一假定違反了安全管理和域名服務器管理角色分離的原則。3) DNSSEC只提供數(shù)據(jù)原始性驗證和完整性檢查，沒有提供機密性、控制列表和一致性檢驗，無法抵御重放攻擊。4) 由于只提供單向認證，只對名字服務器的響應進行認證，而沒有對客戶的查詢請求進行認證，因而不能解決緩存中毒的問題。5) DNSSEC也沒有提供對DoS 的防護機制。6) DNSSEC本身給DNS 增加了額外的復雜性，也增加了新的實現(xiàn)錯誤和配置錯誤的機會。此外，DNSSEC 的移植花費較高，經(jīng)濟因素也是制約其部署的原因之一。因此DNSSEC 的大規(guī)模普及和應用任重而道遠。

為解決DNSSEC 中存在的問題，很多學者進行了有益的嘗試。Cachin 等人[24]通過門限加密方法來分布式存儲密鑰，使得密鑰在線存儲和簽署成為可能。使用原子廣播協(xié)議對名字服務器進行安全復制，克服了名字服務器的單點失效問題，具有較強的可生存性。但是其通信協(xié)議比較復雜，也沒有考慮緩存的情況，并且延遲較大，很難在實際環(huán)境中應用。Ateniese 等人[25]提出用對稱加密機制來管理DNSSEC 中的密鑰，不僅改善了DNSSEC 的性能，而且可以提供必要的數(shù)據(jù)機密性，抵御重放攻擊。此外，對稱加密機制也提供互相認證，使得控制列表和一致性檢驗切實可行。但是對稱加密要求每一對通信實體要共享一個會話密鑰，導致服務器負載過重。為解決可擴展性問題，Ahmed [26]提出一種層次化的名字服務器結構，結合迭代和遞歸解析方

法，在一定程度上減少了根名字服務器的密鑰存儲負擔。

緩存中毒也是DNS 協(xié)議脆弱性導致的嚴重威脅。從微觀結構來看，必須解決單獨區(qū)的單點失效問題，提供更新的及時傳播；從宏觀結構來看，解決整個DNS 系統(tǒng)的可用性問題，要保證發(fā)往端解析器的更新記錄及時更換。通過關閉名字服務器的遞歸查詢功能或單純減少數(shù)據(jù)的TTL 值會減小緩存中毒的可能性，但卻極大降低了DNS 域名解析的速度和效率，可謂因噎廢食。對于這一問題，Schuba 等人[27]給出了若干解決方案，主要包括權威性驗證、上下文相關性檢測和限制性使用。通過權威性驗證，由權威名字服務器提供的信息才會被緩存。上下文相關性檢測包括內(nèi)容和查詢類型的相關，保證只有與查詢請求相關的附加信息會被保留。限制性使用則是給緩存的信息加上一些標記，用來標注這些信息在下次解析過程中是否可以使用。Yan Gao等人[28]認為緩存中毒攻擊分為存儲位置干擾(locality-disruption)攻擊和虛假存儲位置(false-locality)攻擊。根據(jù)這兩種攻擊的內(nèi)在特征，提出了基于數(shù)據(jù)流替換算法的檢測方案，不僅能檢測出單獨發(fā)起的攻擊，還能檢測出混合式攻擊，并實現(xiàn)了反污染攻擊原型系統(tǒng)，有效抵制了緩存中毒攻擊。雖然這些方法在不同程度上降低了DNS 的性能并且增加了使用的復雜性，但卻極大加強了DNS 的安全性。

由于動態(tài)更新沒有完整性檢查機制，因此也會帶來緩存不一致等問題。Amir 等人[29]指出動態(tài)更新產(chǎn)生緩存不一致問題，而且更新發(fā)向單獨的主服務器也會加大單點失效的概率，提出用對等服務器結構來代替主從服務器結構。區(qū)更新可以提交給任何一臺服務器，然后通過Spread 組群通信機制迅速傳播復制。這種對等結構減小了整個區(qū)對單一主服務器的依賴。Wilkinson 等人[30]利用SCOLD 系統(tǒng)關鍵組件的間接路由技術來抵制DNS 更新時遭受的分布式拒絕服務(DDoS)攻擊，通過地理位置分散的代理服務器和預備網(wǎng)關在客戶端和目標服務器之間建立間接路由。其代理服務器通常由參與者志愿提供或者由ISP 有償提供，間接路由則用IP 遂道(tunnel)技術來實現(xiàn)。Wang 等人[31]提出基于門限加密的安全DNS 體系結構，來解決區(qū)安全密鑰在線存儲引發(fā)的單點失效問題和管理區(qū)分問題。認為DNS 面臨內(nèi)外兩種攻擊：外部是主名字服務器的單

第9期 王垚等：域名系統(tǒng)安全研究綜述 ·97·

點失效；內(nèi)部是服務器管理員非授權接觸私鑰所造成的信息泄漏。通過引入?yún)^(qū)安全服務器和門限加密算法來構造容侵系統(tǒng)以解決上述問題，但是由于局限于同一局域網(wǎng)并且未采用具有容錯能力的廣播協(xié)議，該方案同樣有產(chǎn)生單點失效的隱患。Steven Cheung [32]提出了基于形式化描述分方法來保護DNS 等關鍵基礎設施。指出DNS 服務器應該只采用與權威源一致的數(shù)據(jù)。利用高級容錯系統(tǒng)在安全策略違規(guī)行為檢測、異常行為部件識別、系統(tǒng)診斷和系統(tǒng)重新配置等方面的特性，設計了DNS wrapper 原型系統(tǒng)來過濾可疑消息報文，有效抵御緩存中毒和DNS 欺騙等攻擊，從而保障了DNS 系統(tǒng)的安全性。

在網(wǎng)絡傳輸方面通常采用SSL 協(xié)議來加強安全性。由于SSL 協(xié)議在銀行、電信等高等級安全應用領域廣泛使用，技術成熟可靠，提供應用級的加密和認證，而且移植方便、代價小，因此在目前情況下比DNSSEC 更具競爭力。Fetzer 等人[33]提出用SSL 協(xié)議來改進目前DNS 的安全狀況，增強基礎設施的可信任性。通過在客戶和服務器之間架設可信代理來完成認證工作，對現(xiàn)有的客戶端和服務器完全透明。并且使用現(xiàn)有SSL 的CA 認證基礎設施，移植代價很小。此外，由于SSL 可以單獨配置，因此需要進行安全加固的實體可以獨立部署而不依賴于其他實體，從而保證了配置的順利實施。這種方案的缺點在于SSL 協(xié)議是面向連接的，建立在TCP 協(xié)議棧之上，因此不適合保護DNS 中廣泛使用的UDP 通信數(shù)據(jù)。并且每個客戶和服務器之間都要搭建隧道，負載較大。

Paxson 認為針對名字服務器的反射式DoS 攻擊對DNS 構成嚴重威脅[34]。指出了針對DNS 的兩種攻擊策略，同時給出了兩種方法來對抗攻擊，一種是在受害者一方過濾對虛假請求的應答報文，另一種是限制遞歸名字服務器只為本地機器提供服務。Rikitake [35]提出使用T/TCP來作為DNS 的傳輸協(xié)議。然而作為T/TCP協(xié)議中欺騙檢測關鍵點的TAO 測試無法有效抵制惡意攻擊。此外，由于DNS 的查詢和響應報文主要使用UDP 協(xié)議，而UDP 和DNS 協(xié)議本身都沒有提供對請求源的認證，使得名字服務器很容易受到基于欺騙的DoS 攻擊。Guo 等人利用cookie 來檢測DNS 欺騙攻擊[36]。每一個請求發(fā)起者都需要獲得權威名字服務器分發(fā)的唯一cookie 來標識之后的所有通信。由于欺騙請求無法

給出正確的cookie 因而能夠被檢測出來，而且這種方案誤報率很低。然而這些方法均需要修改DNS 的通信機制，并且需要額外的代理部件進行配合，不僅加重了性能負載，也增加了部署復雜性。Ballani 等人[37]的利用緩存服務器中的過期記錄來減輕DoS 造成的影響。由于緩存服務器中的記錄即使過期也不被刪除，因此可以利用這些記錄作為權威名字服務器不可用時的備份記錄?？墒沁@種方案違反了DNS 協(xié)議關于過期記錄的語義，無法得到合理采納。Pappas 等人[38]也是根據(jù)權威名字服務器資源記錄變動不頻繁這一特點，通過設置長時間的TTL 值來增強DNS 抵御DoS 攻擊的能力。實驗表明該方法能夠將DNS 的可用性提高一個數(shù)量級，而且既不需要額外的物理設備，也沒有改變DNS 的傳統(tǒng)協(xié)議設計，然而該方法增加了系統(tǒng)遭受緩存中毒攻擊的風險。其他對DoS 攻擊的檢測方法大多是監(jiān)測DNS 流量突變異常，而沒有發(fā)現(xiàn)網(wǎng)絡進出流量之間表現(xiàn)出來的不平衡性，也沒有研究流量屬性特征進而從數(shù)據(jù)結構角度刻畫流量行為。 4.2 DNS 配置診斷研究

配置錯誤通常包括兩種，一種是由于實現(xiàn)脆弱性引起的，另一種是人為因素造成的。

Vixie [39]致力于糾正DNS 在實現(xiàn)方面的錯誤。在BIND 4.9.3之后增強了對緩存資源記錄的檢查，并且增加了可信性等級機制，即來源可靠的記錄會被優(yōu)先緩存。但是BIND 的漏洞層出不窮，涵蓋各個版本，排在UNIX 及Linux 操作系統(tǒng)相關安全隱患的首位[5]。鑒于此，Bernstein 開發(fā)了djbdns [40]來取代BIND 。djbdns 改正了BIND 實現(xiàn)上的很多錯誤，如非FIFO 緩存數(shù)據(jù)結構、緩沖區(qū)溢出和無法處理未識別記錄類型等，每一個查詢報文的源端口號也是隨機產(chǎn)生，極大提高了DNS 系統(tǒng)的魯棒性。

許多DNS 管理員缺乏DNS 系統(tǒng)的理論知識和實際經(jīng)驗。由于缺乏系統(tǒng)的文檔和自動配置管理工具，人為錯誤配置導致了很多攻擊和故障，如無用授權和冗余降低，因此對配置錯誤檢測工具的需求尤為迫切。目前有幾種DNS 配置錯誤檢測工具[41~45]，但是它們只能檢測DNS 系統(tǒng)中的錯誤子集，例如識別資源記錄錯誤等具體問題，而且這些檢測工具只有一個探測點，無法識別出需要分布檢測才能發(fā)現(xiàn)的錯誤。為了解決這個問題，Pappas 等人[46]將DNS 配置賦予兩種屬性：連續(xù)性和獨立性，認為配置錯誤就是對這兩種屬性的破壞。他們

·98· 通 信 學 報 第28卷

利用多個探測點對DNS 的配置錯誤進行檢測，并提供了可視化檢測工具。清華大學韓殿飛等人[47]對中國域名服務器的幾類配置錯誤進行了測量與分析，發(fā)現(xiàn)這些問題同樣廣泛存在，實驗結果表明.cn 域中30以上的區(qū)都存在配置問題，對中國互聯(lián)網(wǎng)的性能和魯棒性構成了較大威脅。此外，dnsproxy [48]和dnstop [49]也可以很有效地檢測配置錯誤。dnsproxy 運行于防火墻或防火墻內(nèi)的可信主機上。它將域名空間分割為若干領域(Realm)，每個領域由若干名字服務器來提供服務。根據(jù)查詢的域名，dnsproxy 會將請求分配到相應的領域來查詢，對結果進行一致性檢驗和過濾并記錄潛在攻擊和錯誤配置的日志。dnstop 則采用BPF 接口對DNS 查詢報文進行分析統(tǒng)計，可以有效地檢測偽造的A 類型查詢、重復查詢和無效TLD 查詢等錯誤報文。臺灣交通大學陳昌盛等人[50]利用本體論來描述DNS 系統(tǒng)，設計了基于本體論和知識系統(tǒng)的DNS 配置檢測和管理工具iDNS-MS [51]，包括DNS 配置和維護、DNS 調(diào)試、DNS 流量異常監(jiān)測、DNS 注冊和DNS 教學等子系統(tǒng)，從而有效降低了系統(tǒng)管理員的工作負擔。

4.3 DNS 管理和維護研究

作為大規(guī)模分布式系統(tǒng)，DNS 的可管理性(manageability)、可控性(controllability)和可維護(maintainability)是十分重要的。除了對DNS 協(xié)議安全性的研究之外，很多文章在現(xiàn)有基礎上提出了一些安全建議，主要是及時升級服務器軟件、嚴格配置DNS 系統(tǒng)等被動消極的防御手段[52]，對于DNS 欺騙等一些難以避免的攻擊則缺乏必要的檢測方法和防范措施。

使用分離式DNS(split DNS)[53]是比較常見的管理方式。利用視圖將域名空間分割為內(nèi)部域和外部域，從而避免由于雙向DNS 數(shù)據(jù)不加限制地穿過防火墻所帶來的安全隱患。內(nèi)部域的客戶可以使用私有地址和遞歸查詢內(nèi)部域名，無法解析的查詢通過轉發(fā)交由外部域的名字服務器處理。外部域只包含對外公開的區(qū)數(shù)據(jù)，使得在互聯(lián)網(wǎng)上的暴露最小化。這種方案缺點是配置不當可能會使內(nèi)部私有地址泄漏從而給互聯(lián)網(wǎng)名字空間造成污染[20]。

另一種方法是依賴SNMP 的MIB(management information base，管理信息庫) 來對DNS 進行管理。將各種不同的DNS 功能劃分為兩個非重疊類：解析器功能和名字服務器功能，用相應的實體來表示

解析器和名字服務器，并根據(jù)DNS 規(guī)范、配置文件和現(xiàn)有的DNS 管理工具的使用經(jīng)驗創(chuàng)建相應的對象進行協(xié)議描述。但是它主要是對DNS 流量進行審計，很難識別DNS 的配置錯誤。

在目前的DNS 系統(tǒng)中，域名擁有者既要提供域名解析服務，又要維護自己的名字服務器，使得服務和管理耦合在一起，不但加大了管理難度，而且由于管理者專業(yè)水平參差不齊，極大增加了服務器被攻擊的風險。因此，研究者通過改變DNS 層次式管理架構(hierarchy structure)來解決這一固有問題，多是利用P2P 網(wǎng)絡特有的扁平結構(flat structure) 進行替代，主要的方案包括DDNS [54]和CoDoNS [55]。

DDNS 采用基于Chord [56]的P2P 分布式哈希表(DHT, distributed hash table)來提供名字解析服務，繼承了Chord 的容錯能力和負載均衡特性，同時也消除了目前DNS 系統(tǒng)中存在的管理問題。把資源記錄整合為RRSet ，由所有者簽名后插入DHash 中，客戶端使用時同樣要驗證簽名。然而DDNS 中存在DoS 的可能，即Chord 網(wǎng)絡空間被域名所有者插入大量記錄而耗光。此外分布式哈希表不足以服務于DNS ，因為很多功能需要在客戶端實現(xiàn)，一旦更改，則需要所有客戶端進行更新。CoDoNS 系統(tǒng)則保留了傳統(tǒng)DNS 設計中的成功之處，如層次化結構的獨立管理和通用的數(shù)據(jù)庫接口，并與目前的DNS 系統(tǒng)完全兼容，可以實現(xiàn)平滑過渡。CoDoNS 由遍布全球的節(jié)點構成P2P 自組織覆蓋網(wǎng)絡(overlay)，通過家節(jié)點(home node)保存域名記錄，并在鄰居節(jié)點上緩存。如果家節(jié)點失效，則最相鄰的鄰居節(jié)點會取而代之成為新的家節(jié)點。利用P2P 網(wǎng)絡自組織性和自適應性的優(yōu)勢，CoDoNS 可以很好地抵御DoS 攻擊，動態(tài)地進行負載均衡，從而有效避免了單點失效問題。此外，CoDoNS 中的名字記錄通過自我驗證可以有效地防止被篡改，并且通過加密授權使得每個具有有效名字記錄的節(jié)點可以為其他節(jié)點提供權威的名字記錄，從而打破了名字空間管理員對資源的壟斷，實現(xiàn)了域名空間管理與域名解析的有效分離。但是由于缺乏必要的激勵機制，P2P 網(wǎng)絡中搭便車(free riding)的現(xiàn)象普遍存在，成為制約這類方案實施的瓶頸。清華大學李丹等人[57]對互聯(lián)網(wǎng)名字空間結構及解析服務進行了深入研究，分析了當前的互聯(lián)網(wǎng)名字空間結構及其解析服務存在的問題，并對目前的各種互聯(lián)網(wǎng)名字空間改進方

第9期 王垚等：域名系統(tǒng)安全研究綜述 ·99·

案進行了分類、綜述與比較，指出目前的DNS 系統(tǒng)存在著記錄更新速度慢、服務模式單一、資源描述能力不夠強、配置易出錯等缺點, 分析并比較了許多對DNS 進行補充和改進的方案, 包括URN [58]、INS [59]和CoDoNS 。

4.4 DNS 安全技術研究譜系

通過對DNS 安全技術發(fā)展歷程的分析，可以形成DNS 安全技術研究譜系圖，如圖4所示。按照協(xié)議安全性、配置診斷、管理和維護將DNS 安全技術研究分為3大類，其中白色方框表示安全技術所屬類別，深色方框為具體安全技術，從圖中可以更加直觀地了解具體安全技術的發(fā)展歷程，為今后DNS 安全技術研究和發(fā)展指明方向。

5 未來研究工作展望

作為大規(guī)模分布式網(wǎng)絡，DNS 可以抽象為一個有向圖。名字服務器和解析器構成圖的節(jié)點，而名字服務器和解析器之間的路由則構成了有向圖的邊。因此，加強DNS 的安全性就是要加強這些節(jié)點和邊的安全性。節(jié)點的安全主要通過安全評估來保證，包括安全漏洞掃描和權威名字服務器可用性測量；邊的安全性則體現(xiàn)在關鍵路由發(fā)現(xiàn)和保護上。此外，DNSSEC 有效配置與平滑過渡、DNS 配置錯誤檢測以及對DNS 攻擊的檢測和防御等問題也是未來研究的熱點問題。 5.1 DNS 系統(tǒng)安全評估

DNS 安全評估主要是根據(jù)“木桶原理”對DNS

系統(tǒng)安全方面進行測評，發(fā)現(xiàn)DNS 系統(tǒng)中存在的薄弱環(huán)節(jié)。另外要對特定DNS 系統(tǒng)請求進行監(jiān)測，統(tǒng)計其中無效DNS 請求，分析其對DNS 系統(tǒng)的影響。具體評估方法包括安全漏洞掃描和權威名字服務器分布探測。

DNS 服務器是DNS 系統(tǒng)中最為重要的環(huán)節(jié)，BIND 是目前互聯(lián)網(wǎng)上廣泛使用的DNS 服務器軟件，其最新版本為9.4.0，新版本修正了很多已知的DNS 漏洞。但是之前的版本在網(wǎng)絡上仍然大量存在，在不同程度上存在著脆弱性，容易受到緩存中毒及域名欺騙攻擊。而安全漏洞掃描是通過發(fā)探測報文的方法來搜集目標DNS 服務器相關信息以及存在的安全隱患，形成相應的漏洞評估報告，協(xié)助和指導相關管理人員更新升級軟件版本，消除安全隱患。

此外，DNS 名字服務器使用冗余機制來提高服務的穩(wěn)定性和健壯性。重要的組織機構都配有多臺名字服務器提供服務，通常由一臺主名字服務器和多臺輔名字服務器組成。一旦主名字服務器出現(xiàn)故障，則由輔名字服務器接管，從而保證服務不被中斷。然而目前很多機構將全部名字服務器部署在同一子網(wǎng)內(nèi)，一旦其所處網(wǎng)絡出現(xiàn)故障，將導致整個服務癱瘓。名字服務器分布探測就是探測目標域名的權威名字服務器的真實情況，包括服務器個數(shù)、IP 地址和部署地點等信息，并以此來判斷其是否存在單點失效的風險。這種探測需要支持多點探測來保證測量的準確性[60]。

圖4 DNS安全技術研究譜系圖

·100· 通 信 學 報 第28卷

5.2 DNS 系統(tǒng)關鍵路由發(fā)現(xiàn)和保護

DNS 名字服務器用來對外提供域名解析服務。如何對名字服務器進行管理，確保其高效有序的使用和運轉是目前面臨的重要問題。對名字服務器進行有效管理，就必然要對服務器工作狀況進行調(diào)查和分析，弄清網(wǎng)絡中的報文究竟源自哪里，要訪問的是哪些網(wǎng)站的信息，各類網(wǎng)站被訪問的頻率如何以及所訪問的名字服務器分布情況。其服務對象可能遍布全球各地，因此從不同的客戶端到達服務器的路由也就千差萬別。但是一般情況下，絕大部分路由都會在最后幾跳匯接到一段比較固定的路由上，特別對根和頂級域名服務器更是如此。這段固定的路由稱為關鍵路由。這些關鍵路由是通往DNS 服務器的必經(jīng)之路，一旦出現(xiàn)問題，將導致與之相連的服務器全面失效，因此要對這些關鍵路由實施特殊的保護。

保護關鍵路由的首要問題是如何發(fā)現(xiàn)它們。關鍵路由發(fā)現(xiàn)需要對目標名字服務器進行分布式路由探測，然后將探測結果進行分析和綜合，最終找到大部分路由的匯接點。探測結果的準確性依賴于測試機的分布情況，測試機分布越廣泛，探測結果就越準確。通過對DNS 系統(tǒng)的關鍵路由進行發(fā)現(xiàn)和保護，能夠有效分析造成網(wǎng)絡時延的成因并定位故障點，極大改善整個Internet 的性能和DNS 的服務質量(QoS)，并對互聯(lián)網(wǎng)基礎設施的規(guī)劃建設和安全防護起到很好的指導作用。 5.3 DNS 異常檢測和安全防護

異常檢測是網(wǎng)絡安全保障措施的重要組成部分，有利于及時發(fā)現(xiàn)網(wǎng)絡異常行為，快速檢測和定位網(wǎng)絡故障和性能問題所在，指導網(wǎng)絡管理者采取措施加以解決從而避免或減輕故障和攻擊造成的影響，對保障網(wǎng)絡服務質量、提高網(wǎng)絡的可用性及維護網(wǎng)絡的可靠性具有重要意義。現(xiàn)實網(wǎng)絡中存在兩種異常行為，一種是由惡意攻擊引起的，一種是系統(tǒng)在軟件設計、編碼和系統(tǒng)配置過程中的脆弱性所導致的?？梢酝ㄟ^基于流量 (volume)和報文載荷(payload)特征的方法進行檢測。DNS 系統(tǒng)采用層次化體系結構，由作為客戶端的解析器、本地名字服務器和全局名字服務器構成，因此其業(yè)務量模型為層級式客戶/服務器業(yè)務量模型，其中的業(yè)務量具有層次性，底層名字服務器完成中繼功能，既可能是數(shù)據(jù)源也可能是數(shù)據(jù)宿。同時，傳統(tǒng)的客戶/服務器業(yè)務量模型具有不對稱性，即服務器到客戶端的流

量較大，而在DNS 協(xié)議中查詢和響應報文尺寸相差不大，并沒有明顯的流量差異，因此基于流量統(tǒng)計的傳統(tǒng)檢測方法并不適用于大規(guī)模網(wǎng)絡環(huán)境下DNS 異常的檢測和識別。此外，目前通用的異常檢測方法多為流量異常(volume anomaly)檢測，對沒有明顯攻擊特征的名字服務器端口掃描等攻擊束手無策。 針對DNS 名字服務器的端口掃描攻擊具有很強的隱蔽性，不像DDoS 攻擊那樣產(chǎn)生額外的流量，并且攻擊報文和正常報文在結構上差異很小，但是端口掃描攻擊在結構上會表現(xiàn)出業(yè)務量異常(traffic anomaly)，因此，針對DNS 端口掃描等隱蔽性攻擊開展專門的檢測技術研究非常必要。

安全防護技術是保證網(wǎng)絡信息系統(tǒng)保密性、完整性、可用性、可控性和不可否認性的綜合技術。隨著網(wǎng)絡規(guī)模極速增長，安全等級不斷提升，安全防護技術得到長足發(fā)展，目前以可生存性增強、容錯和容侵等技術為核心的第三代安全技術逐漸成為研究熱點。與此同時，域名系統(tǒng)的角色重要性和安全欠缺性矛盾日益嚴重，絕大部分的名字服務器依然暴露在各種威脅之中，嚴重威脅互聯(lián)網(wǎng)的整體安全性。目前對網(wǎng)絡攻擊和破壞行為的對抗效果并不理想，大多只能抵御已知攻擊，缺少對域名系統(tǒng)故障和人為操作失誤等因素的處理，在體系結構上多是外在附加的被動防御，未能解決脆弱性的本源問題，無法應對具有隨機多變和和傳播隱蔽等特點的攻擊和破壞行為。因此，如何將安全防護技術系統(tǒng)應用到DNS 這一關鍵基礎設施成為互聯(lián)網(wǎng)安全領域亟待解決的研究課題。 5.4 DNS 攻擊反向追蹤

反向追蹤技術用來追蹤和定位攻擊者所在的位置，能夠找到攻擊數(shù)據(jù)的源頭，對于盡快恢復正常的網(wǎng)絡功能、阻止攻擊再次發(fā)生以及最終讓攻擊者受到應有懲罰來說至關重要。網(wǎng)絡犯罪之所以如此猖獗，在很大程度上是由于網(wǎng)絡的開放性使得對攻擊者的追蹤和懲罰難以實施，無法形成強大的網(wǎng)絡威懾力，致使攻擊者肆無忌憚地進行破壞。反向追蹤技術可以從源頭上消除攻擊并最終形成網(wǎng)絡威懾力。到目前為止已經(jīng)出現(xiàn)了很多反向追蹤技術，如鏈路測試(link testing)、報文記錄(logging)、ICMP 追蹤(ICMP traceback)和報文標記 (packet marking) 等。這些追蹤機制優(yōu)缺點并存，沒有一種解決方案可以實現(xiàn)有效追蹤方法規(guī)定的全部需求。這些追蹤方案需要在大部分互聯(lián)網(wǎng)基礎設施中的