DNS攻击和防护

网络安全2011年6月总第207期Networks SecurityDNS 攻击和防护何斌颖（云南爱因森软件职业学院摘昆明杨林651701）要DNS 作为因特网重要的服务器，其安全性和稳定性直接关系到

网络安全2011年6月

总第207期Networks Security

DNS 攻击和防护

何斌颖

（云南爱因森软件职业学院

摘昆明杨林651701）要DNS 作为因特网重要的服务器，其安全性和稳定性直接关系到服务质量。掌握针对DNS 的攻击手段及防护方法是非常必要的，安全厂商也为DNS 服务器的安全提供了很多产品。

关键词DNS 攻击手段防护技术

中图分类号G250文献标识码A 文章编号110501-5767

DNS inspection and protection

He Binying

(YunnanEinsun software colledge 651701)

Abstract DNS server is one of the most important servers on Internet,the more stable the more better.There are many production for the DNS server security.

Keywords DNS Web site Inspection Ptotection

一、DNS 基础概念

DNS ：全称为Domain Name System ，即域名服务系统，是互联

网的重要基础设施，完成了域名到IP 地址的映射功能。IP 地址

作为因特网识别个人电脑和服务器等网络设备的身份标识，大

家都知道其组成是一串阿拉伯数字，如：192.168.1.2/24（IPv4），

如果是IPv6则更长，如：2002：DB8：0：0：8：800：200C ：417A 。我

们要记住一个数字比较容易，但是要长期记住一长串数字将对

每个人来说是一个很大的考验，因此域名服务器就显得非常重

要，当域名服务器把一个IP 地址映射成如：www.taobao.com.cn

我们会很容易记住的。我们来看看因特网发展情况：

图2DNS 结构图

接下来我们来看个人用户访问因特网的某个网站的整个流

图1中国网民规模与普及率

从图1可以看出来，中国的互联网用户数量发展神速，从

2005年到2010年5年间，用户翻了4倍，达到了4亿多。

整个DNS 系统采用分布式多级树状结构，1. 用户，域名查

询的发起端；2. 域名缓存服务器，接受用户请求；3. 域名服务器，

包括根域服务器，提供域名与IP 对应信息。图3DNS 解析举例·32·办公自动化杂志

2011年6月

Networks

Security

总第207期

网络安全

程，个人用户访问某个网站，如：www.test.com ，首先向企业或电域名服务器在自信的DNS 服务器请求www.test.com 的IP 地址，己缓存中进行查找，如果存在则返回地址，否则往上级域名服务器进行查询，一直到根域名服务器；用户获得IP 地址后才能继续访问。

我们从以上可以看出DNS 服务器在网络中占有非常重要的作用，不可或缺，因此其安全性显得非常的重要。但是DNS 由于其技术原理存在许多的缺点：

1、DNS 主要使用无连接的UDP 协议明文传送，很容易伪造投毒

2、INTERNET 的DNS 体系无法承受加密带来的开销和技术升级的成本

3、DNS 服务器软件漏洞4、明文传输的DNS 不具备任何保密性

5、DNS 易成为暴露用户行为的工具6、迭代查询，对根域与顶级域服务器依赖非常严重大面积网络中断，或者因为DNS 变慢，上网变慢；用户被欺账号、密码）或者中木马，都会影响到企骗，丢失机密信息（身份、

业或者运营商的服务质量和信誉，因此保障DNS 服务器的安全是作为企业和运营商必不可少的部署设备和技术手段之一，保障DNS 服务器的稳定是维护信誉的重要措施。

>信息收集DNS 的攻击分类：

1、传统DDOS

图4传统的DDOS 攻击

DNS 特定DDOS 攻击2、

二、DNS 安全威胁

我们来看看几件造成比较大的影响的域名安全事件：-2009年5月19日，域名免费托管组织DNSPod 遭受

DDoS 攻击，加上暴风影音软件存在的问题，导致了中国六省长时间断网事件。

-2009年10月12日，瑞典当地时间21点45分，由于在日常维护中不正确的软件升级，顶级域名.se 出现故障，导致整个瑞典互联网几乎完全瘫痪，所有的.se 网站都无法访问。

-2009年8月26日，波多黎各主要的域名注册机构遭受长达几个小时的攻击，造成Google ，M icrosoft ，Yahoo ，Coca-Cola 等多家大公司的网站被重定向到某恶意网站。

-2010年1月12日，知名搜索引擎公司百度DNS 被劫持，造成其网站数小时内无法被访问。

-2010年3月24日，维基百科Wikimedia 的DNS 在做服务切换时发生配置错误，致使欧洲用户数小时无法访问维基百科网站。

-2010年8月7日，国际知名DNS 服务提供者DNS M ade Easy 遭受DDoS 攻击，造成1.5小时的服务宕机。分析发现DDoS 的攻击流量高达50Gbps ，而针对DNS 的攻击流量历史最高为49Gbps 。

DNS 的攻击有以下几种方法：

1、DNS 欺骗>缓存投毒>DNS劫持2、拒绝服务>DDOS攻击>流量异常3、系统渗透>溢出攻击

图6DNS 投毒

DNS 的攻击不管利用哪种手段，就是消耗服务器的资源，造成正常网络流量服务滞缓，用户请求丢失或者不能得到及时的回应。

图5DNS Query Flood 攻击

3、DNS 投毒

三、DNS 的传统防护

对DNS 服务器的防护传统上有以下几种方法：1、DNS 扩容，增加DNS QPS

办公自动化杂志·33·

网络安全

2011年6月

总第207期

Networks

Security

2、负载均衡设备

3、DNS 系统评估和补丁加固4、防火墙

5、安全的DNS BIND 服务器

6、DNSSEC

传统的防护手段有不足之处，如：当DNS 服务器服务能力不足采取扩容的手段，暂时能缓解服务能力的问题，但是对于攻击者来说，对付扩容只需加大攻击流量，调动更多的肉机和僵尸网络即可。对系统进行加固和补丁非常必要，有效加强系统的健壮性；但首先需要维护人员主动发现漏洞后进行修复，无法应对0day 攻击，更无法根本解决投毒等攻击；对DDoS 防护根本不起作用。防火墙等设备主要定位是企业网分域隔离，可以对DNS 做ACL 等访问控制，但对DNS 投毒等专门的攻击无能为力，相反其连接表等机制本身是DDoS 攻击的目标之一。而负载均衡设备基本没有安全功能，所有安全攻击都可以进入；复杂的负载均衡分配算法所限，很多时候首先被DDoS 攻瘫痪的不是DNS 服务器，而是负载均衡设备自身。目前来讲安全DNS 有一定的作用，但是依赖厂商的安全能力，现阶段做DNS 服务器的厂商还没有一家安全厂商；抗DDoS 很难由DNS 服务器自身增加模块进行防护。DNSSEC 有但种种原因导致尚不能大效的解决DNS 之间安全互信的问题，

规模统一部署，从攻防角度上，软件新模块的引入，本身会增加新的攻击机会。

2、安全域名缓存

如某厂商的ADS-D 系列的DNS 专项防护系统，内置了安全域名缓存模块，这是DNS 专项防护产品中重要的一项安全技术。ADS-D 对于旁路镜像或者分光的DNS 数据流量进行解析，在系统中存储包括客户端域名查询过程的相关信息（如域名、IP 地址、时间、数量等）、服务器域名请求过程信息（如迭代服务器名称、查询路径、结果信息等）以及包括流量信息等其他DNS 相关信息，形成DNS 域名安全数据缓存数据库，这也是DNS 专项防护设备同其他非专项防护产品的重要区别之一。

利用安全域名缓存，可以协助进行DNS 应用层DDoS 攻击对DNS 的ID/Port等碰撞投毒攻击的检测，同时还可以实判断、

现诸如域名解析加速、Fast Flux 检测、域名锁定和控制、域名分析、域名保护、重点域名容灾等功能，从而实现域名容错类安全问题的防护。

3、DNS 投毒检控

DNS 投毒是继DDoS 之后的，DNS 服务器面临的第二大安全威胁，现阶段DNS 投毒包括如ID 检查机制投毒、源端口非随生日攻击投毒、粘合投毒等各种攻击手法，绿盟科技机性投毒、

的ADS-D 系列的DNS 专项防护系统利用安全域名缓存、缓存锁定机制、以及特征库识别等方式可以有效的检测、防御DNS 投毒过程，从而为DNS 的域名安全和正确解析提供保障。

4、DNS 监控模块

DNS 监控模块可以让DNS 服务器的运维人员轻松的获取DNS 的运行信息，并随时分析DNS 运行中的安全威胁趋势变从而全面掌控DNS 的运行安全化，接受DNS 安全事件的告警，

问题。其监控内容包括DNS 查询监控和报表、DNS 回应监控和报表、DNS 查询类型的监控报表、DNS 流量监控和报表、接口监DNS TOPN 查询、异常流量检测、投毒监测、Fast-Flux 控和报表、监测报告、cache 命中率统计、某时间段内域名-IP 数据报告等。

除了可以实现上述安全机制外，利用安全域名缓存的数据信息，DNS 监控模块可以进一步分析实现域名数据发掘，例如某网站的访问倾向性和访问统计等，为分析用户上网行为特征、未来的广告推送、网站改进等增值业务提供数据支撑。

损失，因此压缩方案必须选择无损的。如果在基于网络传输功率和物理存储器的限制，则只需要的系统中，受到诸如带宽、保证文本可读性，使用有损压缩来提高压缩比。COT 方法提供了有损和无损自由选择的灵活度。

四、安全产品厂商的DNS 防护技术

DNS 安全防护应该是一个系统的、全方位的概念，延事件轴，可以分为采用事前评估加固、事中实时防御、事后分析取证的三个阶段。从纵深防护来说，如下图，从物理层到应用数据层，以及安全评估、安全防护和安全运维的多个维度。

五、DNS 安全产品的部署方式

图7DNS 安全防护体系

这些技术主要包括：

1、DNS 专项DDoS 防护模块

在5.19的全国性的DNS 中断事件之后，大量新型的针对DNS 的DDoS 攻击开始出现，例如伪造源IP DNS 攻击、DNS 畸形包DoS 攻击、随机域名DNS Query Flood 等攻击，这类攻击通常流量非常小，攻击特征不明显，对于广泛部署于城域网的DDoS 流量清洗系统来说，其部署位置的限制，很难有效的处理此类DDoS 攻击。但是这种攻击对于DNS 服务器来说，由于自身的查询容量有限，这些小流量的DNS 专项攻击则可以产生同大流量攻击同等的效果。

专项防护产品可以支持串联模式，也可以支持旁路部署方式。特别是旁路部署模式可以避免引入新设备造成的软件和硬件故障点的问题。在正常情况下，DNS 安全产品主要用来作为安全监控设备，一旦发生安全问题，可以由管理员手工或者自动的方式将DNS 流量牵引到DNS 安全防护设备上，并进行威胁的清除和清洗。

参考文献

[1]ADS-D 产品白皮书.

[2]绿盟科技发力DNS 防护布局域名安全[J].软件和信息服务201011期. 作者简介

何斌颖（1974~），女，讲师。

·34·办公自动化杂志