網(wǎng)絡(luò)安全2011年6月總第207期Networks SecurityDNS 攻擊和防護何斌穎（云南愛因森軟件職業(yè)學(xué)院摘昆明楊林651701）要DNS 作為因特網(wǎng)重要的服務(wù)器，其安全性和穩(wěn)定性直接關(guān)系到

網(wǎng)絡(luò)安全2011年6月

總第207期Networks Security

DNS 攻擊和防護

何斌穎

（云南愛因森軟件職業(yè)學(xué)院

摘昆明楊林651701）要DNS 作為因特網(wǎng)重要的服務(wù)器，其安全性和穩(wěn)定性直接關(guān)系到服務(wù)質(zhì)量。掌握針對DNS 的攻擊手段及防護方法是非常必要的，安全廠商也為DNS 服務(wù)器的安全提供了很多產(chǎn)品。

關(guān)鍵詞DNS 攻擊手段防護技術(shù)

中圖分類號G250文獻標(biāo)識碼A 文章編號110501-5767

DNS inspection and protection

He Binying

(YunnanEinsun software colledge 651701)

Abstract DNS server is one of the most important servers on Internet,the more stable the more better.There are many production for the DNS server security.

Keywords DNS Web site Inspection Ptotection

一、DNS 基礎(chǔ)概念

DNS ：全稱為Domain Name System ，即域名服務(wù)系統(tǒng)，是互聯(lián)

網(wǎng)的重要基礎(chǔ)設(shè)施，完成了域名到IP 地址的映射功能。IP 地址

作為因特網(wǎng)識別個人電腦和服務(wù)器等網(wǎng)絡(luò)設(shè)備的身份標(biāo)識，大

家都知道其組成是一串阿拉伯?dāng)?shù)字，如：192.168.1.2/24（IPv4），

如果是IPv6則更長，如：2002：DB8：0：0：8：800：200C ：417A 。我

們要記住一個數(shù)字比較容易，但是要長期記住一長串?dāng)?shù)字將對

每個人來說是一個很大的考驗，因此域名服務(wù)器就顯得非常重

要，當(dāng)域名服務(wù)器把一個IP 地址映射成如：www.taobao.com.cn

我們會很容易記住的。我們來看看因特網(wǎng)發(fā)展情況：

圖2DNS 結(jié)構(gòu)圖

接下來我們來看個人用戶訪問因特網(wǎng)的某個網(wǎng)站的整個流

圖1中國網(wǎng)民規(guī)模與普及率

從圖1可以看出來，中國的互聯(lián)網(wǎng)用戶數(shù)量發(fā)展神速，從

2005年到2010年5年間，用戶翻了4倍，達到了4億多。

整個DNS 系統(tǒng)采用分布式多級樹狀結(jié)構(gòu)，1. 用戶，域名查

詢的發(fā)起端；2. 域名緩存服務(wù)器，接受用戶請求；3. 域名服務(wù)器，

包括根域服務(wù)器，提供域名與IP 對應(yīng)信息。圖3DNS 解析舉例·32·辦公自動化雜志

2011年6月

Networks

Security

總第207期

網(wǎng)絡(luò)安全

程，個人用戶訪問某個網(wǎng)站，如：www.test.com ，首先向企業(yè)或電域名服務(wù)器在自信的DNS 服務(wù)器請求www.test.com 的IP 地址，己緩存中進行查找，如果存在則返回地址，否則往上級域名服務(wù)器進行查詢，一直到根域名服務(wù)器；用戶獲得IP 地址后才能繼續(xù)訪問。

我們從以上可以看出DNS 服務(wù)器在網(wǎng)絡(luò)中占有非常重要的作用，不可或缺，因此其安全性顯得非常的重要。但是DNS 由于其技術(shù)原理存在許多的缺點：

1、DNS 主要使用無連接的UDP 協(xié)議明文傳送，很容易偽造投毒

2、INTERNET 的DNS 體系無法承受加密帶來的開銷和技術(shù)升級的成本

3、DNS 服務(wù)器軟件漏洞4、明文傳輸?shù)腄NS 不具備任何保密性

5、DNS 易成為暴露用戶行為的工具6、迭代查詢，對根域與頂級域服務(wù)器依賴非常嚴重大面積網(wǎng)絡(luò)中斷，或者因為DNS 變慢，上網(wǎng)變慢；用戶被欺賬號、密碼）或者中木馬，都會影響到企騙，丟失機密信息（身份、

業(yè)或者運營商的服務(wù)質(zhì)量和信譽，因此保障DNS 服務(wù)器的安全是作為企業(yè)和運營商必不可少的部署設(shè)備和技術(shù)手段之一，保障DNS 服務(wù)器的穩(wěn)定是維護信譽的重要措施。

>信息收集DNS 的攻擊分類：

1、傳統(tǒng)DDOS

圖4傳統(tǒng)的DDOS 攻擊

DNS 特定DDOS 攻擊2、

二、DNS 安全威脅

我們來看看幾件造成比較大的影響的域名安全事件：-2009年5月19日，域名免費托管組織DNSPod 遭受

DDoS 攻擊，加上暴風(fēng)影音軟件存在的問題，導(dǎo)致了中國六省長時間斷網(wǎng)事件。

-2009年10月12日，瑞典當(dāng)?shù)貢r間21點45分，由于在日常維護中不正確的軟件升級，頂級域名.se 出現(xiàn)故障，導(dǎo)致整個瑞典互聯(lián)網(wǎng)幾乎完全癱瘓，所有的.se 網(wǎng)站都無法訪問。

-2009年8月26日，波多黎各主要的域名注冊機構(gòu)遭受長達幾個小時的攻擊，造成Google ，M icrosoft ，Yahoo ，Coca-Cola 等多家大公司的網(wǎng)站被重定向到某惡意網(wǎng)站。

-2010年1月12日，知名搜索引擎公司百度DNS 被劫持，造成其網(wǎng)站數(shù)小時內(nèi)無法被訪問。

-2010年3月24日，維基百科Wikimedia 的DNS 在做服務(wù)切換時發(fā)生配置錯誤，致使歐洲用戶數(shù)小時無法訪問維基百科網(wǎng)站。

-2010年8月7日，國際知名DNS 服務(wù)提供者DNS M ade Easy 遭受DDoS 攻擊，造成1.5小時的服務(wù)宕機。分析發(fā)現(xiàn)DDoS 的攻擊流量高達50Gbps ，而針對DNS 的攻擊流量歷史最高為49Gbps 。

DNS 的攻擊有以下幾種方法：

1、DNS 欺騙>緩存投毒>DNS劫持2、拒絕服務(wù)>DDOS攻擊>流量異常3、系統(tǒng)滲透>溢出攻擊

圖6DNS 投毒

DNS 的攻擊不管利用哪種手段，就是消耗服務(wù)器的資源，造成正常網(wǎng)絡(luò)流量服務(wù)滯緩，用戶請求丟失或者不能得到及時的回應(yīng)。

圖5DNS Query Flood 攻擊

3、DNS 投毒

三、DNS 的傳統(tǒng)防護

對DNS 服務(wù)器的防護傳統(tǒng)上有以下幾種方法：1、DNS 擴容，增加DNS QPS

辦公自動化雜志·33·

網(wǎng)絡(luò)安全

2011年6月

總第207期

Networks

Security

2、負載均衡設(shè)備

3、DNS 系統(tǒng)評估和補丁加固4、防火墻

5、安全的DNS BIND 服務(wù)器

6、DNSSEC

傳統(tǒng)的防護手段有不足之處，如：當(dāng)DNS 服務(wù)器服務(wù)能力不足采取擴容的手段，暫時能緩解服務(wù)能力的問題，但是對于攻擊者來說，對付擴容只需加大攻擊流量，調(diào)動更多的肉機和僵尸網(wǎng)絡(luò)即可。對系統(tǒng)進行加固和補丁非常必要，有效加強系統(tǒng)的健壯性；但首先需要維護人員主動發(fā)現(xiàn)漏洞后進行修復(fù)，無法應(yīng)對0day 攻擊，更無法根本解決投毒等攻擊；對DDoS 防護根本不起作用。防火墻等設(shè)備主要定位是企業(yè)網(wǎng)分域隔離，可以對DNS 做ACL 等訪問控制，但對DNS 投毒等專門的攻擊無能為力，相反其連接表等機制本身是DDoS 攻擊的目標(biāo)之一。而負載均衡設(shè)備基本沒有安全功能，所有安全攻擊都可以進入；復(fù)雜的負載均衡分配算法所限，很多時候首先被DDoS 攻癱瘓的不是DNS 服務(wù)器，而是負載均衡設(shè)備自身。目前來講安全DNS 有一定的作用，但是依賴廠商的安全能力，現(xiàn)階段做DNS 服務(wù)器的廠商還沒有一家安全廠商；抗DDoS 很難由DNS 服務(wù)器自身增加模塊進行防護。DNSSEC 有但種種原因?qū)е律胁荒艽笮У慕鉀QDNS 之間安全互信的問題，

規(guī)模統(tǒng)一部署，從攻防角度上，軟件新模塊的引入，本身會增加新的攻擊機會。

2、安全域名緩存

如某廠商的ADS-D 系列的DNS 專項防護系統(tǒng)，內(nèi)置了安全域名緩存模塊，這是DNS 專項防護產(chǎn)品中重要的一項安全技術(shù)。ADS-D 對于旁路鏡像或者分光的DNS 數(shù)據(jù)流量進行解析，在系統(tǒng)中存儲包括客戶端域名查詢過程的相關(guān)信息（如域名、IP 地址、時間、數(shù)量等）、服務(wù)器域名請求過程信息（如迭代服務(wù)器名稱、查詢路徑、結(jié)果信息等）以及包括流量信息等其他DNS 相關(guān)信息，形成DNS 域名安全數(shù)據(jù)緩存數(shù)據(jù)庫，這也是DNS 專項防護設(shè)備同其他非專項防護產(chǎn)品的重要區(qū)別之一。

利用安全域名緩存，可以協(xié)助進行DNS 應(yīng)用層DDoS 攻擊對DNS 的ID/Port等碰撞投毒攻擊的檢測，同時還可以實判斷、

現(xiàn)諸如域名解析加速、Fast Flux 檢測、域名鎖定和控制、域名分析、域名保護、重點域名容災(zāi)等功能，從而實現(xiàn)域名容錯類安全問題的防護。

3、DNS 投毒檢控

DNS 投毒是繼DDoS 之后的，DNS 服務(wù)器面臨的第二大安全威脅，現(xiàn)階段DNS 投毒包括如ID 檢查機制投毒、源端口非隨生日攻擊投毒、粘合投毒等各種攻擊手法，綠盟科技機性投毒、

的ADS-D 系列的DNS 專項防護系統(tǒng)利用安全域名緩存、緩存鎖定機制、以及特征庫識別等方式可以有效的檢測、防御DNS 投毒過程，從而為DNS 的域名安全和正確解析提供保障。

4、DNS 監(jiān)控模塊

DNS 監(jiān)控模塊可以讓DNS 服務(wù)器的運維人員輕松的獲取DNS 的運行信息，并隨時分析DNS 運行中的安全威脅趨勢變從而全面掌控DNS 的運行安全化，接受DNS 安全事件的告警，

問題。其監(jiān)控內(nèi)容包括DNS 查詢監(jiān)控和報表、DNS 回應(yīng)監(jiān)控和報表、DNS 查詢類型的監(jiān)控報表、DNS 流量監(jiān)控和報表、接口監(jiān)DNS TOPN 查詢、異常流量檢測、投毒監(jiān)測、Fast-Flux 控和報表、監(jiān)測報告、cache 命中率統(tǒng)計、某時間段內(nèi)域名-IP 數(shù)據(jù)報告等。

除了可以實現(xiàn)上述安全機制外，利用安全域名緩存的數(shù)據(jù)信息，DNS 監(jiān)控模塊可以進一步分析實現(xiàn)域名數(shù)據(jù)發(fā)掘，例如某網(wǎng)站的訪問傾向性和訪問統(tǒng)計等，為分析用戶上網(wǎng)行為特征、未來的廣告推送、網(wǎng)站改進等增值業(yè)務(wù)提供數(shù)據(jù)支撐。

損失，因此壓縮方案必須選擇無損的。如果在基于網(wǎng)絡(luò)傳輸功率和物理存儲器的限制，則只需要的系統(tǒng)中，受到諸如帶寬、保證文本可讀性，使用有損壓縮來提高壓縮比。COT 方法提供了有損和無損自由選擇的靈活度。

四、安全產(chǎn)品廠商的DNS 防護技術(shù)

DNS 安全防護應(yīng)該是一個系統(tǒng)的、全方位的概念，延事件軸，可以分為采用事前評估加固、事中實時防御、事后分析取證的三個階段。從縱深防護來說，如下圖，從物理層到應(yīng)用數(shù)據(jù)層，以及安全評估、安全防護和安全運維的多個維度。

五、DNS 安全產(chǎn)品的部署方式

圖7DNS 安全防護體系

這些技術(shù)主要包括：

1、DNS 專項DDoS 防護模塊

在5.19的全國性的DNS 中斷事件之后，大量新型的針對DNS 的DDoS 攻擊開始出現(xiàn)，例如偽造源IP DNS 攻擊、DNS 畸形包DoS 攻擊、隨機域名DNS Query Flood 等攻擊，這類攻擊通常流量非常小，攻擊特征不明顯，對于廣泛部署于城域網(wǎng)的DDoS 流量清洗系統(tǒng)來說，其部署位置的限制，很難有效的處理此類DDoS 攻擊。但是這種攻擊對于DNS 服務(wù)器來說，由于自身的查詢?nèi)萘坑邢?，這些小流量的DNS 專項攻擊則可以產(chǎn)生同大流量攻擊同等的效果。

專項防護產(chǎn)品可以支持串聯(lián)模式，也可以支持旁路部署方式。特別是旁路部署模式可以避免引入新設(shè)備造成的軟件和硬件故障點的問題。在正常情況下，DNS 安全產(chǎn)品主要用來作為安全監(jiān)控設(shè)備，一旦發(fā)生安全問題，可以由管理員手工或者自動的方式將DNS 流量牽引到DNS 安全防護設(shè)備上，并進行威脅的清除和清洗。

參考文獻

[1]ADS-D 產(chǎn)品白皮書.

[2]綠盟科技發(fā)力DNS 防護布局域名安全[J].軟件和信息服務(wù)201011期. 作者簡介

何斌穎（1974~），女，講師。

·34·辦公自動化雜志