论文部分内容阅读
摘要:DNS服务作为Internet应用服务的基础,其安全性直接决定着整个网络的安全性,因此对DNS的安全防护非常重要。本文阐述了DNS的工作原理,分析了其面临的安全风险,提出了DNS安全防护策略,提高DNS的安全性和抗攻击能力。
关键词:DNS;安全风险;防护策略
1引言
域名系统(Domain Name System,DNS)负责域名和IP地址之间的映射,是一个多层次的分布式数据库系统。它是Internet的基础服务,其安全性对整个Internet的安全有着重要的影响。而由于其开放、庞大、复杂的特性以及在设计之初对安全性的考虑不足,再加上人为蓄意的攻击和破坏,DNS面临非常严重的威胁。随着信息高速公路的迅猛发展,非常严重的DNS安全事件时有发生。因此,如何解决DNS安全威胁并寻求相应解决方案是DNS亟待解决的问题。
2DNS工作原理及安全分析
2.1DNS工作原理
DNS的工作原理如图1所示[1]。如果用户需要对域名www.computer.com进行解析,并且本地DNS服务器不是目标域名授权DNS服务器,其缓存中也没有该域名的记录。
DNS服务过程如下:①用户向本地DNS服务器发出DNS查询请求,询问www.computer.com的IP地址。②本地DNS服务器发现没有相应记录,转而向根DNS服务器发出查询包。根DNS服务器接到请求,返回com域的DNS服务器地址给本地DNS服务器。③本地DNS服务器向com域的DNS服务器发出请求。com域服务器返回computer.om 授权域的服务器地址。④本地DNS服务器继续向computer.com域的DNS服务器发出解析请求。⑤computer.com域的DNS服务器向本地DNS服务器返回www.computer.com的IP地址。⑥本地DNS服务器向客户端返回域名解析结果,同时更新自己的缓存记录。
2.2DNS安全风险分析
从DNS服务的工作过程可以看出:①没有合法性验证,客户端无法验证收到的应答内容是否合法,服务器端也无法验证客户端请求是否合法。②确认机制过于简单,由于使用UDP连接,没有三次握手建立连接的过程,这虽加快了数据的传输,但也导致了防御能力差。③DNS服务具有开放性,大多数的DNS服务器没有进行数据加密和访问控制,客户可对各个DNS服务器自由访问。④DNS采用树型结构,便于查询和管理,但单点故障问题明显,安全威胁大[2]。
3DNS面临的安全威胁
3.1拒绝服务攻击
拒绝服务攻击DoS是一种技术含量低但是攻击效果明显的攻击方法。目前针对DoS攻击主要有两种形式:一种是直接攻击,即将DNS服务器作为被攻击对象,由多台攻击主机向所攻击的DNS服务器频繁发送大量的DNS查询请求,最终使该DNS服务器崩溃;另一种是放大式攻击,即利用DNS服务器作为中间的攻击放大器去攻击网络中其他主机。攻击者将自身IP地址伪装为被攻击者的IP地址向多个DNS服务器发送大量查询请求,DNS服务器将大量的查询结果发送给被攻击主机,使被攻击主机无法提供正常的服务。
3.2DNS欺骗
DNS欺骗即域名信息欺骗是最常见的一种DNS攻击方式。DNS数据包头部的标识是用来匹配响应和请求数据包的。在域名解析过程中,客户端将收到的DNS响应数据包的标识和自己发送的查询数据包标识相比较,如若匹配则表明接收到的是自己等待的数据,若不匹配则丢弃。如果能够伪装DNS服务器提前向客户端发送响应数据包,就可以将客户端带到指定的错误网站,实现DNS欺骗。
3.3系统漏洞
DNS服務软件本身存在安全漏洞,导致DNS无法正常提供服务。BIND是最常用的DNS服务软件。2011年3月底,一些院校投诉其DNS解析服务存在故障,经常无法正常解析域名。最后查明是bind 9软件存在条件竞争漏洞导致的。除此之外,DNS服务器自身的安全性也非常重要。目前主流的操作系统如Windows、Linux等均存在不同程度的系统漏洞和安全风险,因此针对操作系统的漏洞防护也是DNS安全防护工作中的重点。
4DNS防护策略
根据对DNS系统安全的分析和研究,要根本解决DNS遭受的攻击很难实现,但以下几个安全防护策略在一定程度上能有效地提高DNS网络的安全性。
4.1DNS进行内外划分
把DNS服务器划分为内部和外部两部分,并分布在不同的网络,实现对内外解析的不同分工。外部DNS负责对外的正常解析工作;内部DNS系统则专门负责解析内部网络的主机。仅当内部主机要查询Internet上的域名,而内部DNS上没有缓存记录时,内部DNS才将查询任务转发到外部DNS服务器上,由外部DNS服务器完成查询任务,以保护内部DNS服务器免受攻击,同时减少了信息泄漏。
4.2防火墙防护
设置防火墙安全策略,进行包过滤防护。限制访问DNS服务器的网络数据包的类型,实施包过滤的依据主要是端口、IP和流量。端口过滤指仅允许对53端口的访问;IP地址限制指只允许具有合法网段的IP地址用户访问该DNS服务器;流量限制指对每个IP地址的DNS请求报文加以流量限制,禁止大容量DNS报文流入本网络。
4.3系统分担法
分担法是利用主机的cookie缓存功能,采用网状延伸方法将DNS体系单点故障的风险大大降低,改变了原有的主机只能通过查询固定DNS服务器访问Internet的单路径结构,增加了旁路,同时减小DNS服务器的负荷。它弱化DNS功能的策略,将DNS所承担的单点故障风险分散到网络的各个层次,包括主机、其他服务器、路由器等。
5小结
DNS安全是当前网络安全领域的一个重要环节。确保DNS体系的正常运转和安全可靠,不断发现其安全漏洞的同时不断改正,才能使整个网络更加健全和完善。本文提出的DNS防范策略,在某些应用环境中防护效果不够有效。要想真正做到完美,使DNS安全性真正让人放心,还需要继续做更深入的研究。
参考文献:
[1]王利霞.DNS安全现状[J].计算机安全,2011,(1):66-68.
[2]邵明珠.DNS安全分析及防御技术研究[J].河南机电高等专科学校学报,2011,(5):39-41.
关键词:DNS;安全风险;防护策略
1引言
域名系统(Domain Name System,DNS)负责域名和IP地址之间的映射,是一个多层次的分布式数据库系统。它是Internet的基础服务,其安全性对整个Internet的安全有着重要的影响。而由于其开放、庞大、复杂的特性以及在设计之初对安全性的考虑不足,再加上人为蓄意的攻击和破坏,DNS面临非常严重的威胁。随着信息高速公路的迅猛发展,非常严重的DNS安全事件时有发生。因此,如何解决DNS安全威胁并寻求相应解决方案是DNS亟待解决的问题。
2DNS工作原理及安全分析
2.1DNS工作原理
DNS的工作原理如图1所示[1]。如果用户需要对域名www.computer.com进行解析,并且本地DNS服务器不是目标域名授权DNS服务器,其缓存中也没有该域名的记录。
DNS服务过程如下:①用户向本地DNS服务器发出DNS查询请求,询问www.computer.com的IP地址。②本地DNS服务器发现没有相应记录,转而向根DNS服务器发出查询包。根DNS服务器接到请求,返回com域的DNS服务器地址给本地DNS服务器。③本地DNS服务器向com域的DNS服务器发出请求。com域服务器返回computer.om 授权域的服务器地址。④本地DNS服务器继续向computer.com域的DNS服务器发出解析请求。⑤computer.com域的DNS服务器向本地DNS服务器返回www.computer.com的IP地址。⑥本地DNS服务器向客户端返回域名解析结果,同时更新自己的缓存记录。
2.2DNS安全风险分析
从DNS服务的工作过程可以看出:①没有合法性验证,客户端无法验证收到的应答内容是否合法,服务器端也无法验证客户端请求是否合法。②确认机制过于简单,由于使用UDP连接,没有三次握手建立连接的过程,这虽加快了数据的传输,但也导致了防御能力差。③DNS服务具有开放性,大多数的DNS服务器没有进行数据加密和访问控制,客户可对各个DNS服务器自由访问。④DNS采用树型结构,便于查询和管理,但单点故障问题明显,安全威胁大[2]。
3DNS面临的安全威胁
3.1拒绝服务攻击
拒绝服务攻击DoS是一种技术含量低但是攻击效果明显的攻击方法。目前针对DoS攻击主要有两种形式:一种是直接攻击,即将DNS服务器作为被攻击对象,由多台攻击主机向所攻击的DNS服务器频繁发送大量的DNS查询请求,最终使该DNS服务器崩溃;另一种是放大式攻击,即利用DNS服务器作为中间的攻击放大器去攻击网络中其他主机。攻击者将自身IP地址伪装为被攻击者的IP地址向多个DNS服务器发送大量查询请求,DNS服务器将大量的查询结果发送给被攻击主机,使被攻击主机无法提供正常的服务。
3.2DNS欺骗
DNS欺骗即域名信息欺骗是最常见的一种DNS攻击方式。DNS数据包头部的标识是用来匹配响应和请求数据包的。在域名解析过程中,客户端将收到的DNS响应数据包的标识和自己发送的查询数据包标识相比较,如若匹配则表明接收到的是自己等待的数据,若不匹配则丢弃。如果能够伪装DNS服务器提前向客户端发送响应数据包,就可以将客户端带到指定的错误网站,实现DNS欺骗。
3.3系统漏洞
DNS服務软件本身存在安全漏洞,导致DNS无法正常提供服务。BIND是最常用的DNS服务软件。2011年3月底,一些院校投诉其DNS解析服务存在故障,经常无法正常解析域名。最后查明是bind 9软件存在条件竞争漏洞导致的。除此之外,DNS服务器自身的安全性也非常重要。目前主流的操作系统如Windows、Linux等均存在不同程度的系统漏洞和安全风险,因此针对操作系统的漏洞防护也是DNS安全防护工作中的重点。
4DNS防护策略
根据对DNS系统安全的分析和研究,要根本解决DNS遭受的攻击很难实现,但以下几个安全防护策略在一定程度上能有效地提高DNS网络的安全性。
4.1DNS进行内外划分
把DNS服务器划分为内部和外部两部分,并分布在不同的网络,实现对内外解析的不同分工。外部DNS负责对外的正常解析工作;内部DNS系统则专门负责解析内部网络的主机。仅当内部主机要查询Internet上的域名,而内部DNS上没有缓存记录时,内部DNS才将查询任务转发到外部DNS服务器上,由外部DNS服务器完成查询任务,以保护内部DNS服务器免受攻击,同时减少了信息泄漏。
4.2防火墙防护
设置防火墙安全策略,进行包过滤防护。限制访问DNS服务器的网络数据包的类型,实施包过滤的依据主要是端口、IP和流量。端口过滤指仅允许对53端口的访问;IP地址限制指只允许具有合法网段的IP地址用户访问该DNS服务器;流量限制指对每个IP地址的DNS请求报文加以流量限制,禁止大容量DNS报文流入本网络。
4.3系统分担法
分担法是利用主机的cookie缓存功能,采用网状延伸方法将DNS体系单点故障的风险大大降低,改变了原有的主机只能通过查询固定DNS服务器访问Internet的单路径结构,增加了旁路,同时减小DNS服务器的负荷。它弱化DNS功能的策略,将DNS所承担的单点故障风险分散到网络的各个层次,包括主机、其他服务器、路由器等。
5小结
DNS安全是当前网络安全领域的一个重要环节。确保DNS体系的正常运转和安全可靠,不断发现其安全漏洞的同时不断改正,才能使整个网络更加健全和完善。本文提出的DNS防范策略,在某些应用环境中防护效果不够有效。要想真正做到完美,使DNS安全性真正让人放心,还需要继续做更深入的研究。
参考文献:
[1]王利霞.DNS安全现状[J].计算机安全,2011,(1):66-68.
[2]邵明珠.DNS安全分析及防御技术研究[J].河南机电高等专科学校学报,2011,(5):39-41.