如何让IaaS服务免受DNS漏洞的威胁？

申请免费试用、咨询电话：400-8352-114

本文是关于云安全技术应用指南系列中的第六篇，我们集中讨论域名系统（DNS）的漏洞，以及它们是如何对基础设施即服务（IaaS）产品产生负面影响的。

我们之前的文章主要涉及IaaS受到底层操作系统与服务的威胁和来自于远程管理解决方案的威胁，而本文将阐述域名系统以及受损IP地址解析或错误数据反馈是如何对IaaS产品构成威胁的。

快速DNS入门

域名系统（DNS）将某一域名翻解析IP地址。为了访问互联网上的一台服务器，您需要知道其IP地址，而对于人们来说他们相对更易于记住一个域名（例如www.techtarget.com），而不是记住一个IP地址（例如，192.168.134.235）。DNS就提供了这样一个翻译服务。它使用有层次的服务器和域名拥有者（即那些拥有DNS域名的人或组织），提供将这些域名与IP地址的“权威”影射。作为系统的一部分，还有一些帮助分担域名解析请求的二级服务器和缓存服务器。

另外一个需要指出的事实是，主查询响应请求完成后所使用的用户数据报协议（UDP）在默认情况下是非安全、无国籍、不可靠的。

有哪些来自DNS的威胁会影响IaaS服务？

由于我们依赖于DNS来帮我们进行域名与IP地址之间的影射，那么我们在可能的情况下都必须注意和减轻任何阻止解析或错误数据反馈的情况。而后者可以称得上是要解决的最大威胁。让我们来看看这个例子：

您希望管理您的IaaS服务器，其DNS名称是server.example.com。您打开您的远程管理工具并启动一个对话。您的客户端向DNS服务器查询“解析”域名server.example.com并返回IP地址。同时，攻击者已设立了一个恶意的DNS服务器用于查找DNS查询并响应其所控制系统的IP地址。然后您的客户端连接到返回的IP地址（恶意服务器）。攻击者就能够尝试攻击您客户端。

在这方面，主要有四种DNS威胁会影响IaaS服务：

缓存中毒：当一个DNS服务器没有域名-IP影射信息时，它必须找到另外一个拥有这些信息的DNS服务器。当它接收到回答时，它通常将该信息存放于缓存中以便于之后再次使用（有超时和限制，但它们作用有限）。缓存中毒就是指服务器接收到包含错误信息的回答。恶意缓存中毒也称为DNS欺骗。

不安全的动态更新：这是另外一个将恶意数据带入DNS服务器的机制，然后再对该信息的任意查询返回恶意数据。其效果类似于缓存中毒。

信息泄露：一个攻击者执行DNS区域传输以获取DNS域名，计算机名和IP地址，以便于识别敏感的网络资源。

服务堵塞：一个攻击者采用递归查询的方式攻击DNS服务器，使它们无法对正常合法的查询做出响应。如果没有了域名-IP的解析服务，您将无法访问您的IaaS资源。

如何应对

如果用户控制了DNS服务器，可以采用手工操作减轻这些威胁，或是可能需要由供应商来处理。以下是我对于缓解威胁的若干建议：

只使用IP地址或一个本地主机文件： 如果您不使用DNS进行域名-IP的解析，那么以上所述的DNS问题就变得无关重要。虽然这似乎不切实际，但是如果您拥有的IaaS数量有限，且可以指定静态IP，这是一个现实的解决方案。

随机事务ID：确保DNS服务器具有一个适当的随机事务ID（最新的DNS服务器就是这么做的）。每一个DNS查询都被分配一个ID，其值的随机性将使攻击更难以执行。

源端口随机化：配置您的DNS服务器使用“查询源端口随机化”。攻击者将需要知道事务ID以及事务发送的端口（即随机源端口将不一定是53）。请注意，这可能会影响防火墙规则。

安全动态更新：配置您的DNS服务器和客户端只接收安全动态更新。您也可以限制动态更新源的IP地址范围。

限制区域传输：这将阻止攻击者轻易地收集您的IaaS IP和主机名信息。

总结

DNS是一个基础性的互联网协议。互联网及其上的所有服务在缺乏DNS的情况下都不能充分发挥作用。但是如同电力一样，在不出现故障的情况下人们似乎并不觉得其存在。在使用IaaS时，时刻谨记保持这种服务的重要性及其周围安全问题。