DNS 安全问题及防范方案 06 网络 1 班 杨晔 06139009 一、引言 DNS 服务是 Internet 的基本支撑,其安全问题具有举足轻重的地位
如今,DNS 正面临拒绝服务、缓冲区中毒、区域信息的泄露等众多威胁
2009 年 5 月 19 日晚,黑客通过僵尸网络控制下的 DDoS攻击,致使我国江苏、安徽、广西、海南、甘肃、浙江等省在内的 23 个省出现罕见的断网故障,即“5〃19 断网事件”
在这一事件中,DNS 服务的脆弱性是问题产生的关键
这一事件说明:作为互联网基础服务的 DNS,每天都有海量的域名解析信息产生,其个体的安全性已经直接影响着互联网的安全
本文分析了 DNS 服务所面临的安全问题,并提出了相应的一些解决或者防范方案
二、DNS 存在的安全问题 1、DNS 自身的不安全因素 DNS 由于早期设计上的缺陷为日后的应用埋下了安全隐患
因为过于强调对网络的适应性,采用了面向非连接的UDP 协议,但 UDP 协议本身是不安全的
而且从体系结构上来看,DNS 采用树形结构,虽然便于查询操作,但是单点故障非常明显,也使得安全威胁加剧
另外,绝大多数 DNS 服务器都是基于 BIND 这个软件,但是 BIND 在提供高效服务的同时也存在着众多的安全性漏洞
这里构成严重威胁的主要有两种漏洞: 一种是缓冲区溢出漏洞,如 BIND4 和 BIND8 中存在一个远程缓冲溢出缺陷,该缺陷使得攻击者可以在 DNS 上运行任意指令
另一种是拒绝服务漏洞,受攻击后 DNS 服务器不能提供正常服务,使得其所辖的子网无法正常工作
2、DNS 服务面临的攻击 2
1 拒绝服务攻击 DNS 服务器的关键地位使它成为网络攻击的显著目标,加上其对拒绝服务攻击没有防御能力,所以在现有的树状结构下,一旦 DNS 服务器不能提供服务,其所辖的子域都无法解析域名,仅能通过难以记忆
