保护DNS的安全

申请免费试用、咨询电话：400-8352-114

2009年5月19日19点左右，江苏、安徽、广西、海南、甘肃、浙江等6省网络用户访问网站速度突然变慢甚至无法访问。5月20日，广东省也出现类似情况。连续两天国内出现大面积断网事件，引起有关部门的高度重视。经查，事故的原因是一台承担域名解析任务的DNS服务器受到了攻击。这起事件再次提醒我们域名系统的脆弱性。

6省断网源于DNS

据媒体报道，5月19日～20日的网络瘫痪起因是网络私服之间的竞争。为了威慑同行，一个私服的拥有者向为不少私服提供域名解析的DNSPod服务器发起了攻击，其目的是让这台服务器瘫痪，从而使得用户将无法找到与之有竞争关系的私服。

位于常州电信某机房的这台DNS服务器采用的是国内一款免费DNS(域名系统)产品DNSPod，它同时为电信、网通、教育网服务器的网站提供域名解析，让电信用户访问电信的服务器，网通的用户访问网通的服务器，达到互联互通的效果。暴风影音也是DNSPod服务对象之一。由于域名服务商DNSPod的DNS服务器遭遇恶意攻击最终瘫痪，使得其服务对象暴风影音等网站用户提交的访问无法找到正确服务器，访问申请大量积累导致电信网络无法处理，最终引发网络瘫痪。

之所以这台DNS服务器受到攻击就会“闹出如此大的动静”，是由DNS在互联网体系中的重要地位所决定的。DNS是为Internet上的主机分配域名地址（如泛普软件www.ccw.com.cn）和IP（如119.254.2.*）地址的系统。它的作用，简单地说，就是当我们在浏览器中输入域名地址时，该系统会自动把域名地址转为IP地址。只要是有一定网络规模的组织以及Internet的服务提供商都要部署DNS，正是由于DNS在Internet网络中的这种地位，不法用户或者黑客只要攻击DNS服务器使其无法正常工作，就可让大量用户无法正常使用网络，就如5月份的6省断网事件一样。

脆弱的系统难抵网络威胁

DNS最早是由保罗·莫卡派乔斯（Paul Mockapetris）于1983年发明的，由于受当时条件限制，其系统设计存在很多缺陷:

1. 单点故障。DNS采用层次化的树形结构，由树叶走向树根就可以形成—个全域名（Fully Qualified Domain Name，FQDN），DNS服务器作为该FQDN唯一对外的域名数据库和对内部提供递归域名查询的系统，其安全和稳定就存在单点故障风险。

2. 无认证机制。DNS没有提供认证机制，查询者在收到应答时无法确认应答信息的真假，黑客可以将一个虚假的IP地址作为应答信息返回给请求者，从而引发DNS欺骗。

3. DNS本身的漏洞。DNS是域名软件，它在提供高效服务的同时也存在许多安全性漏洞。现已证明在DNS版本4和8上存在缺陷，攻击者利用这些缺陷能成功地进行DNS欺骗攻击。

而另一方面，DNS又面临着来自网络的各种威胁，黑客利用DNS协议或者软件设计的漏洞，通过网络向DNS发起攻击以达到非法目的。攻击主要包括如下几种:

1. 内部攻击。攻击者在非法或合法地控制一台DNS服务器后，可以直接操作域名数据库，修改指定域名所对应的IP，当客户发出对指定域名的查询请求后，将得到伪造的IP地址。

2. 序列号攻击。DNS协议格式中定义了用来匹配请求数据包和响应数据报序列ID，欺骗者利用序列号伪装成DNS服务器向客户端发送DNS响应数据包，在DNS服务器发送的真实DNS响应数据报之前到达客户端，从而将客户端带到攻击者所希望的网站，进行DNS欺骗。

3. 信息插入攻击。攻击者可以在DNS应答报文中随意添加某些信息，指示权威域名服务器的域名及IP，如果在被影响的域名服务器上查询该域的请求都会被转向攻击者所指定的域名服务器上去，从而威胁到网络数据的完整性。

4. 缓存中毒。DNS使用超高速缓存，当一个名字服务器收到有关域名和IP的映射信息时，它会将该信息存放在高速缓存中。这种映射表是动态更新的，但刷新有一个周期，假冒者如果在下次更新之前成功修改了这个映射表，就可以进行DNS欺骗。

5. 信息泄漏。DNS的缺省设置允许任何人进行区传送(区传送一般用于主服务器和辅服务器之间的数据同步)，而区传送可能会造成信息泄漏。

6. 不安全的动态更新。随着动态主机配置协议（DHCP）的出现，客户计算机由DHCP服务器动态分配IP地址，使原来手工更新其A（Address）记录和PTR（反向解析）记录变得很难管理，为此提出了DNS的动态更新，即DNS客户端在IP地址或名称出现更改的任何时候都可利用DNS服务器来注册和动态更新其资源记录。但黑客可以利用IP欺骗伪装成DNS服务器信任的主机对区数据进行添加、删除和替换。

如何保护好自己的DNS

为了保护好企业自己的DNS系统，这里提出如下建议:

1. 配置辅助域名服务器进行冗余备份。辅助服务器可从主服务器中复制一整套域信息。

2. 配置高速缓存服务器缓解DNS访问压力。高速缓存服务器可运行域名服务器软件，但是没有域名数据库软件。它从某个远程服务器取得每次域名服务器查询的结果，将它放在高速缓存中，以后查询相同的信息时就可以直接回答。

3. 配置DNS负载均衡。DNS负载均衡技术是在DNS服务器中为同一个主机名配置多个IP地址，在应答DNS查询时，将以DNS文件中主机记录的IP地址按顺序返回不同的解析结果，从而将客户端的访问引导到不同的机器上去，达到负载均衡的目的。

4. 使用工具进行DNS配置文件检查。有一些工具可以检查DNS配置文件，如开源软件Dlint，可以检查配置文件是否存在拼写错误，检查配置文件中是否有A（Address）记录的主机名称都有配套的PTR（反向解析）记录等。