DNS 安全问题及防范方案 06 网络 1 班 杨晔 06139009 一、引言 DNS 服务是 Internet 的基本支撑,其安全问题具有举足轻重的地位。如今,DNS 正面临拒绝服务、缓冲区中毒、区域信息的泄露等众多威胁。 2009 年 5 月 19 日晚,黑客通过僵尸网络控制下的 DDoS攻击,致使我国江苏、安徽、广西、海南、甘肃、浙江等省在内的 23 个省出现罕见的断网故障,即“5〃19 断网事件”。在这一事件中,DNS 服务的脆弱性是问题产生的关键。这一事件说明:作为互联网基础服务的 DNS,每天都有海量的域名解析信息产生,其个体的安全性已经直接影响着互联网的安全。 本文分析了 DNS 服务所面临的安全问题,并提出了相应的一些解决或者防范方案。 二、DNS 存在的安全问题 1、DNS 自身的不安全因素 DNS 由于早期设计上的缺陷为日后的应用埋下了安全隐患。因为过于强调对网络的适应性,采用了面向非连接的UDP 协议,但 UDP 协议本身是不安全的。而且从体系结构上来看,DNS 采用树形结构,虽然便于查询操作,但是单点故障非常明显,也使得安全威胁加剧。 另外,绝大多数 DNS 服务器都是基于 BIND 这个软件,但是 BIND 在提供高效服务的同时也存在着众多的安全性漏洞。这里构成严重威胁的主要有两种漏洞: 一种是缓冲区溢出漏洞,如 BIND4 和 BIND8 中存在一个远程缓冲溢出缺陷,该缺陷使得攻击者可以在 DNS 上运行任意指令。 另一种是拒绝服务漏洞,受攻击后 DNS 服务器不能提供正常服务,使得其所辖的子网无法正常工作。 2、DNS 服务面临的攻击 2.1 拒绝服务攻击 DNS 服务器的关键地位使它成为网络攻击的显著目标,加上其对拒绝服务攻击没有防御能力,所以在现有的树状结构下,一旦 DNS 服务器不能提供服务,其所辖的子域都无法解析域名,仅能通过难以记忆的 IP 地址访问网络,对多数网络用户而言,无法接入网络,甚至还会被利用来对其他主机进行反弹式 DDo S 攻击。 2.2 缓冲区中毒 DNS 为了提高查询的效率,采用缓存机制,在 DNS 缓存数据还没有过期之前,在 DNS 的缓存区中已存在的记录一旦被库户查询,DNS 服务器将把缓存区中的记录直接返回客户。DNS 缓存区中毒就是利用了 DNS 的缓存机制,在缓存区中存入错误的数据使其被其他查询客户所获得。在缓存数据的生存期内,缓存区中毒的机器又可能将错误的数据传播出去,导致更多的服务器缓存中毒。如果减少缓存数据的生存期,可以减少...
