關(guān)于域名服務(wù)系統(tǒng)風(fēng)險(xiǎn)的調(diào)查報(bào)告國(guó)際經(jīng)濟(jì)與貿(mào)易專業(yè) 李慶生調(diào)查目的及意義：我于2011年3至5月在上海琵西網(wǎng)絡(luò)信息技術(shù)有限公司做畢業(yè)實(shí)習(xí)。我的實(shí)習(xí)的主要內(nèi)容是聯(lián)系國(guó)外的需要注冊(cè)中國(guó)或亞洲境內(nèi)

關(guān)于域名服務(wù)系統(tǒng)風(fēng)險(xiǎn)的調(diào)查報(bào)告

國(guó)際經(jīng)濟(jì)與貿(mào)易專業(yè) 李慶生

調(diào)查目的及意義：

我于2011年3至5月在上海琵西網(wǎng)絡(luò)信息技術(shù)有限公司做畢業(yè)實(shí)習(xí)。我的實(shí)習(xí)的主要內(nèi)容是聯(lián)系國(guó)外的需要注冊(cè)中國(guó)或亞洲境內(nèi)域名的公司，申請(qǐng)作為其代理幫助他們注冊(cè)包括.cn,.hk,.aisa 在內(nèi)的多種域名。主要工作就是聯(lián)系國(guó)外公司的負(fù)責(zé)人，并洽談相關(guān)的代理細(xì)節(jié)問(wèn)題，并完成為其注冊(cè)的相關(guān)步驟。

在實(shí)習(xí)過(guò)程中，結(jié)合自己的實(shí)習(xí)經(jīng)歷及域名服務(wù)行業(yè)的具體情況，做了一個(gè)關(guān)于域名服務(wù)行業(yè)普遍存在的風(fēng)險(xiǎn)的調(diào)查報(bào)告，最后在參考域名行業(yè)知識(shí)的前提下提出了相關(guān)的防范建議。

調(diào)查內(nèi)容：

我國(guó)互聯(lián)網(wǎng)絡(luò)域名服務(wù)系統(tǒng)的相關(guān)風(fēng)險(xiǎn)。

調(diào)查方式：

在調(diào)查的過(guò)程中除了采用我國(guó)互聯(lián)網(wǎng)絡(luò)信息中心的一些統(tǒng)計(jì)數(shù)據(jù)及方法外，還通過(guò)具體的事件案例調(diào)查，一般分析與具體事例相結(jié)合，最后總結(jié)出我國(guó)互聯(lián)網(wǎng)絡(luò)信息域名服務(wù)系統(tǒng)存在的風(fēng)險(xiǎn)。

調(diào)查結(jié)果：

域名服務(wù)包含了權(quán)威域名服務(wù)和遞歸域名服務(wù)，服務(wù)的正確、安全和可靠運(yùn)行對(duì)于整個(gè)互聯(lián)網(wǎng)的發(fā)展和建設(shè)來(lái)說(shuō)至關(guān)重要。分析發(fā)現(xiàn)，國(guó)內(nèi)域名服務(wù)在配置管理和運(yùn)行維護(hù)方面均存在不同程度的安全隱患，域名服務(wù)系統(tǒng)面臨的風(fēng)險(xiǎn)如下：

風(fēng)險(xiǎn)一：信息更改或過(guò)期：各級(jí)域名解析系統(tǒng)通常與域名注冊(cè)、WHOIS 等系統(tǒng)協(xié)調(diào)工作，任一環(huán)節(jié)的漏洞都可能被黑客利用，篡改域名解析數(shù)據(jù)。權(quán)威域名解析服務(wù)的主服務(wù)器或輔服務(wù)器如因配置不當(dāng)，也容易被攻擊，造成權(quán)威解析服務(wù)故障。

風(fēng)險(xiǎn)二：DNS 系統(tǒng)應(yīng)用程序崩潰：域名解析服務(wù)系統(tǒng)所用軟件極其重要，如因配置不當(dāng)或升級(jí)延遲，軟件存在的漏洞容易被黑客利用。近年來(lái)開(kāi)源軟件BIND 被廣泛使用，一旦該軟件出現(xiàn)嚴(yán)重安全漏洞，互聯(lián)網(wǎng)服務(wù)體系將面臨災(zāi)難性崩潰。 風(fēng)險(xiǎn)三：域名劫持（Domain Name Hijacking ）：通過(guò)各種攻擊手段控制了域名管理密碼和域名管理郵箱，然后將該域名的NS 紀(jì)錄指向到黑客可以控制的DNS 服務(wù)器，然后通過(guò)在該DNS 服務(wù)器上添加相應(yīng)域名紀(jì)錄，從而使網(wǎng)民訪問(wèn)該域名時(shí)，進(jìn)入了黑客所指向的內(nèi)容。值得注意的是：域名被劫持后，不僅網(wǎng)站內(nèi)容會(huì)被改變，甚至?xí)?dǎo)致域名所有權(quán)也旁落他人。如果是國(guó)內(nèi)的CN 域名被劫持，還可以通過(guò)和注冊(cè)服務(wù)商或注冊(cè)管理機(jī)構(gòu)聯(lián)系，較快地拿回控制權(quán)。如果是國(guó)際域名被劫持，而且又是通過(guò)國(guó)際注冊(cè)商注冊(cè)，那么其復(fù)雜的解決流程，再加上非本地化的服務(wù)，會(huì)使得奪回域名變得異常復(fù)雜。

風(fēng)險(xiǎn)四：中間人攻擊（Man in the Middle Attack）：中間人攻擊，是攻擊者冒充域名服務(wù)器的一種欺騙行為，它主要用于向主機(jī)提供錯(cuò)誤DNS 信息。中間人攻擊大多數(shù)本質(zhì)都是被動(dòng)，其檢測(cè)和防御十分困難。

風(fēng)險(xiǎn)五：NSEC 游走：早期的DNSSec 使用NSEC 方案，會(huì)造成區(qū)文件被遍歷、枚舉，從而泄露所管理的域名解析數(shù)據(jù)，既是商業(yè)數(shù)據(jù)的泄露，也容易成為黑客攻擊的靶子。

風(fēng)險(xiǎn)六：分布式拒絕服務(wù)攻擊（DDoS Attack ）：DDoS 攻擊手段是在傳統(tǒng)的DoS 攻擊基礎(chǔ)之上產(chǎn)生的更有效的攻擊方式。其攻擊手段往往是攻擊者組織大量的傀儡機(jī)同時(shí)向域名服務(wù)器發(fā)送大量查詢報(bào)文，這些報(bào)文看似完全符合規(guī)則，但往往需要DNS 服務(wù)器花費(fèi)大量時(shí)間進(jìn)行查詢，從而使DNS 癱瘓。2009年5月19日全國(guó)大面積斷網(wǎng)事件起因即為DDoS 攻擊。

風(fēng)險(xiǎn)七：緩存窺探（Cache Snooping）：DNS 緩存窺探是一個(gè)確定某一個(gè)資源記錄是否存在于一個(gè)特定的DNS 緩存中的過(guò)程。通過(guò)這個(gè)過(guò)程攻擊者可以得到一些信息，例如解析器處理了哪些域名查詢。攻擊者通常利用緩存窺探尋找可攻擊對(duì)象。

風(fēng)險(xiǎn)八：緩存中毒（或DNS 欺騙）（Cache Poisoning or DNS Spoofing）：通過(guò)向DNS 服務(wù)器注入非法網(wǎng)絡(luò)域名地址實(shí)現(xiàn)緩存中毒攻擊，對(duì)該類安全威脅的檢測(cè)十分困難。利用該漏洞輕則可以讓用戶無(wú)法打開(kāi)網(wǎng)頁(yè)，重則是網(wǎng)絡(luò)釣魚(yú)和金融詐騙，給受害者造成巨大損失。由于軟件實(shí)現(xiàn)技術(shù)水平參差不齊，端口、報(bào)文ID 隨機(jī)算法落后的域名服務(wù)器容易遭受緩存中毒攻擊。

風(fēng)險(xiǎn)九：DNS 放大、反射攻擊：目前的DDoS 攻擊通常與“DNS 放大攻擊”和“DNS 反射攻擊”配合實(shí)施。在這兩類攻擊中，DNS 服務(wù)器往往不受攻擊目標(biāo)，而是充當(dāng)了無(wú)辜的被利用者的角色。這種攻擊向互聯(lián)網(wǎng)上的一系列無(wú)辜的第三方DNS 服務(wù)器發(fā)送小的和欺騙性的詢問(wèn)信息。這些DNS 服務(wù)器隨后將向表面上是提出查詢的那臺(tái)服務(wù)器發(fā)回大量的回復(fù)，導(dǎo)致通訊流量的放大并且最終導(dǎo)致攻擊目標(biāo)癱瘓。提供遞歸域名解析服務(wù)的主體需要控制服務(wù)范圍，盡可能的避免提供開(kāi)放遞歸服務(wù)，并借助于流量分析監(jiān)測(cè)等手段發(fā)現(xiàn)潛在的DDos 攻。

防范建議：

一、確保域名解析服務(wù)的獨(dú)立性，運(yùn)行域名解析服務(wù)的服務(wù)器上不能同時(shí)開(kāi)啟其他端口的服務(wù)。權(quán)威域名解析服務(wù)和遞歸域名解析服務(wù)需要在不同的服務(wù)器上獨(dú)立提供。

二、采用安全的操作系統(tǒng)平臺(tái)和域名解析軟件，并關(guān)注軟件商發(fā)布的最新安全漏洞，定期升級(jí)軟件系統(tǒng)。

三、選擇安全性高、服務(wù)便捷的域名注冊(cè)服務(wù)機(jī)構(gòu)和域名注冊(cè)管理機(jī)構(gòu)；隱藏域名解析軟件及操作系統(tǒng)等版本信息；限制域名區(qū)文件的傳送權(quán)限；

四、使用入侵檢測(cè)系統(tǒng)，盡可能的檢測(cè)出中間人攻擊行為；需對(duì)域名服務(wù)器邊界網(wǎng)絡(luò)設(shè)備的流量、數(shù)據(jù)包進(jìn)行監(jiān)控，監(jiān)控方式可基于監(jiān)聽(tīng)、SNMP 、NetFlow 等網(wǎng)管技術(shù)和協(xié)議；對(duì)域名服務(wù)協(xié)議是否正常進(jìn)行監(jiān)控，即利用對(duì)應(yīng)的服務(wù)協(xié)議或采用相應(yīng)的測(cè)試工具向服務(wù)端口發(fā)起模擬請(qǐng)求，分析服務(wù)器返回的結(jié)果，以判

斷當(dāng)前服務(wù)是否正常以及內(nèi)存數(shù)據(jù)是否變動(dòng)。在條件允許的情況下，在不同網(wǎng)絡(luò)內(nèi)部部署多個(gè)探測(cè)點(diǎn)分布式監(jiān)控；部署實(shí)施DNSSec ；

五、采用NSEC3方案解決該問(wèn)題；

六、提供域名服務(wù)的服務(wù)器數(shù)量應(yīng)不低于2臺(tái)，建議獨(dú)立的名字服務(wù)器數(shù)量為5臺(tái)。并且建議將服務(wù)器部署在不同的物理網(wǎng)絡(luò)環(huán)境中；限制遞歸服務(wù)的服務(wù)范圍；利用流量分析等工具檢測(cè)出DDoS 攻擊行為，以便及時(shí)采取應(yīng)急措施；在域名服務(wù)系統(tǒng)周圍部署抗攻擊設(shè)備，應(yīng)對(duì)這類型的攻擊；

七、限制遞歸服務(wù)的服務(wù)范圍，僅允許特定網(wǎng)段的用戶使用遞歸服務(wù)。

八、對(duì)重要域名的解析結(jié)果進(jìn)行重點(diǎn)監(jiān)測(cè)，一旦發(fā)現(xiàn)解析數(shù)據(jù)有變化能夠及時(shí)給出告警提示；部署實(shí)施DNSSec ；

九、利用流量分析等工具檢測(cè)出攻擊行為；在域名服務(wù)系統(tǒng)周圍部署抗攻擊設(shè)備，應(yīng)對(duì)這類型的攻擊；

此外，為了加強(qiáng)域名服務(wù)的安全可靠性，域名服務(wù)部署時(shí)，需要考慮單節(jié)點(diǎn)故障問(wèn)題。所涉及的路由器、交換機(jī)等均需要有冗余備份能力，建立完善的數(shù)據(jù)備份機(jī)制和日志管理系統(tǒng)。應(yīng)保留最新的3個(gè)月的全部解析日志。并且建議對(duì)重要的域名信息系統(tǒng)采取7×24的維護(hù)機(jī)制保障。應(yīng)急響應(yīng)到場(chǎng)時(shí)間不能遲于30分鐘。