第30卷第12期 咸 寧 學(xué) 院 學(xué) 報 Vo. l 30, N o . 12文章編號:1006-5342(2010) 12-0023-02基于DNS 服務(wù)

第30卷第12期 咸 寧 學(xué) 院 學(xué) 報 Vo. l 30, N o . 12文章編號:1006-5342(2010) 12-0023-02

基于DNS 服務(wù)器漏洞攻擊的防范

厲陽春

(咸寧學(xué)院 計算機科學(xué)與技術(shù)學(xué)院, 湖北 咸寧 437000)

*

摘 要:從DN S 服務(wù)器的工作原理入手, 分析了針對DN S 服務(wù)器漏洞, 攻擊者可以采取的攻擊手段, 提出了相應(yīng)的防范措施.

關(guān)鍵詞:DNS ; 漏洞; 防范中圖分類號:TP309. 20 引 言

在信息化社會中, 信息已成為制約社會發(fā)展、推動社會進步的關(guān)鍵因素之一. 計算機網(wǎng)絡(luò)是目前信息處理的主要環(huán)境和信息傳輸?shù)闹饕d體, 特別是互聯(lián)網(wǎng)的普及, 給我們的信息處理方式帶來了根本的變化. 但互聯(lián)網(wǎng)的/無序、無界、匿名0三大基本特征決定了, 在這種環(huán)境下, 信息的安全越來越得不到保證, 針對信息的各種攻擊行為越來越容易實施, 信息安全受到越來越多的挑戰(zhàn). 信息安全是一個系統(tǒng)問題, 而不是單一的信息本身的問題. 一般認(rèn)為, 系統(tǒng)風(fēng)險是系統(tǒng)脆弱性或漏洞, 以及以系統(tǒng)為目標(biāo)的威脅的總稱[1]. 而系統(tǒng)的脆弱性和系統(tǒng)本身所存在的漏洞, 是信息系統(tǒng)存在風(fēng)險的根本原因. 一個沒有漏洞的系統(tǒng), 再高明的攻擊者也無法侵入該系統(tǒng), 但很遺憾, 現(xiàn)實當(dāng)中這樣的系統(tǒng)并不存在. 安全問題最多的是基于TCP /IP協(xié)議簇的互聯(lián)網(wǎng)及其通信協(xié)議, 本文從互聯(lián)網(wǎng)通信中必不可少的DN S 服務(wù)器的工作原理入手, 針對攻擊者對DN S 服務(wù)器的各種攻擊手段, 提出相應(yīng)的防范措施.

1 DN S 服務(wù)器的工作原理

用戶與因特網(wǎng)上某個主機通信時, 往往使用該主機的域名, 如enxnc . edu . cn , 但信息在實際傳輸時, 用的是32位的IP 地址, 如211. 85. 176. 1, 這主要是因為32的IP 地址很難記憶, 用戶不愿意使用. 域名系統(tǒng)DN S(D o m a i n N am e Syste m ) 就是用來把便于人們使用的域名轉(zhuǎn)換為實際通信用的IP 地址的[2]. DNS 被設(shè)計成為一個聯(lián)機分布式數(shù)據(jù)庫系統(tǒng), 并采用客戶服務(wù)器方式工作, 域名到IP 地址的解析是由分布在因特網(wǎng)上的許多域名服務(wù)器共同完成的. 因特網(wǎng)上的DN S 域名服務(wù)器是按照層次結(jié)構(gòu)安排的, 每一個域名服務(wù)器都只對域名體系中的一部分進行管轄. 根據(jù)域名服務(wù)器所起的作用, 可以把域名服務(wù)器劃分為以下四種不同的類型[2]:

(1) 根域名服務(wù)器:是最高層次的域名服務(wù)器, 也是最重要的域名服務(wù)器, 所有的根域名服務(wù)器都知道所有的頂級域名服務(wù)器的域名和IP 地址.

(2) 頂級域名服務(wù)器:負責(zé)管理在該頂級域名服務(wù)器

文獻標(biāo)識碼:A 注冊的所有二級域名.

(3) 權(quán)限域名服務(wù)器:負責(zé)一個區(qū)的域名服務(wù)器.

(4) 本地域名服務(wù)器:每一個因特網(wǎng)服務(wù)提供者ISP 都可以擁有一個本地域名服務(wù)器.

域名到I P 地址的解析分兩種:

(1) 遞歸查詢:用戶主機向本地域名服務(wù)器的查詢一般采用遞歸查詢. 當(dāng)用戶主機向本地域名服務(wù)器發(fā)出查詢請求, 如果本地域名服務(wù)器知道被查詢的域名的IP , 則直接將該IP 發(fā)回給用戶主機, 完成查詢過程; 否則如果本地域名服務(wù)器不知道被查詢的域名的IP 地址, 那么本地域名服務(wù)器就替代該主機向其他根域名服務(wù)器繼續(xù)發(fā)出查詢請求(即繼續(xù)查詢), 而不是讓該主機自己進行下一步的查詢. 因此, 遞歸查詢返回的查詢結(jié)果或者是所要查詢的IP 地址, 或者是報告錯誤, 表示無法查詢到所需的IP 地址. (2) 迭代查詢:本地域名服務(wù)器向根域名服務(wù)器發(fā)出查詢請求時, 一般采用迭代查詢. 當(dāng)根域名服務(wù)器收到本地域名服務(wù)器發(fā)出的查詢請求時, 要么給出所要查詢的IP 地址, 要么告訴本地域名服務(wù)器:/你下一步應(yīng)當(dāng)向哪一個域名服務(wù)器進行查詢0, 然后讓本地域名服務(wù)器進行后續(xù)的查詢(而不是替本地域名服務(wù)器進行后續(xù)的查詢).

為了提高DNS 查詢效率, 并減輕根域名服務(wù)器的負荷和減少因特網(wǎng)上的DNS 查詢報文數(shù)量, 在域名服務(wù)器中廣泛使用了高速緩存, 用來存放最近查詢過的域名以及從何處獲得域名映射信息的記錄.

2 針對DN S 服務(wù)器的攻擊手段

目前, 攻擊者對DN S 服務(wù)器的攻擊主要有三種方式:地址欺騙、遠程漏洞入侵、拒絕服務(wù).

(1) DN S 服務(wù)器入侵攻擊:目前DN S 協(xié)議的實現(xiàn)軟件是開源的BI ND 服務(wù)器軟件, 與其他很多軟件一樣, B I ND 的許多版本存在各種各樣的漏洞, 攻擊者可以利用這些漏洞遠程入侵B I ND 服務(wù)器所在的主機, 并以管理員身份執(zhí)行任意命令. 這種攻擊的危害性很大, 攻擊者不僅可以獲得DN S 服務(wù)器上所有授權(quán)區(qū)域內(nèi)的數(shù)據(jù)信息, 甚至可以直接修改授權(quán)區(qū)域內(nèi)的任意數(shù)據(jù), 為其它攻擊做好準(zhǔn)備.

:

24咸寧學(xué)院學(xué)報 第30卷

(2) 地址欺騙攻擊:攻擊者首先利用BI ND 軟件存在的

BIND 軟件可以通過設(shè)置允許對進行遞歸查詢的IP 地址作出限制, 如果遞歸查詢請求來自不允許的I P 地址, 則B I ND

服務(wù)器軟件將此查詢以非遞歸查詢方式對待. 在配置文件中使用a llo w -recursion 命令實現(xiàn)這個功能, 例如:Options {

all ow -recursion{211. 85. 176. 40; };};

這條命令定義了允許進行遞歸查詢的一個IP 地址211. 85. 176. 40. (4) 限制區(qū)域傳輸. 區(qū)域傳輸用于主DN S 服務(wù)器和輔DN S 服務(wù)器之間的數(shù)據(jù)同步, 當(dāng)主DN S 服務(wù)器對其所管理的授權(quán)區(qū)域內(nèi)的數(shù)據(jù)進行改動后, 輔DN S 服務(wù)器按照規(guī)定的時間間隔使用區(qū)域傳輸從主DNS 服務(wù)器獲取改動后的信息, 然后刷新自己相應(yīng)區(qū)域內(nèi)的數(shù)據(jù). 如果主DN S 服務(wù)器被攻擊者所利用或被冒充, 則輔DN S 服務(wù)器中的數(shù)據(jù)就有可能錯誤. 因此, 正常情況下, 應(yīng)該只允許信任的輔DN S 服務(wù)器和主服務(wù)器進行區(qū)域傳輸. 但BI N D 軟件的默認(rèn)配置允許任何主機進行區(qū)域傳輸, 因此, 必須在配置文件中加以限制, 可以通過在配置文件na m ed . conf 中使用命令a ll ow -transfer 來限制允許區(qū)域傳輸?shù)闹鳈C. 例如:

Options{

A ll ow -transfe r{ 211. 85. 176. 1; 211. 85. 191. 0/24; };

};

以上配置只允許地址為211. 85. 176. 1和位于網(wǎng)段211. 85. 191. 0/24內(nèi)的主機進行區(qū)域傳輸. 4 結(jié) 語

為了保證DNS 服務(wù)器的安全運行, 不僅要使用可靠的服務(wù)器軟件, 而且要對DN S 服務(wù)器進行正確的配置, 同時還要跟蹤服務(wù)器軟件和操作系統(tǒng)的各種漏洞, 及時為發(fā)現(xiàn)的漏洞打補丁或進行升級.

參考文獻:

[1]姚小蘭. 網(wǎng)絡(luò)安全管理與技術(shù)防護[M].北京:北京理工大學(xué)出版社, 2002.

[2]謝希仁. 計算機網(wǎng)絡(luò)[M ]1第5版1北京:電子工業(yè)出版社, 2008.

[3]俞承杭. 計算機網(wǎng)絡(luò)安全與信息安全技術(shù)[M].北京:機械工業(yè)出版社, 2009.

各種漏洞攻擊并控制一個或多個在Inte rnet 上正式運行的DN S 服務(wù)器; 第二步攻擊者重新指定這些服務(wù)器負責(zé)解析的區(qū)域, 使被攻擊者控制的某一個DNS 服務(wù)器負責(zé)解析攻擊者將要攻擊的目標(biāo)主機所在的區(qū)域; 第三步, 攻擊者在這些服務(wù)器中加入大量偽造的數(shù)據(jù); 第四步攻擊者向受害者主機所在的DN S 服務(wù)器發(fā)送一個查詢請求, 從而引誘受害者的DN S 服務(wù)器去查詢被攻擊者控制的DN S 服務(wù)器, 由于這些服務(wù)器中包含了那些偽造的數(shù)據(jù), 受害者的DN S 服務(wù)器在收到查詢結(jié)果后, 要將查詢結(jié)果進行緩存, 這樣也就緩存了偽造的數(shù)據(jù). 那么當(dāng)其他正常用戶向該DN S 服務(wù)器發(fā)出查詢請求時, 該DN S 服務(wù)器就會將錯誤的地址告訴用戶主機. 例如:假設(shè)清華大學(xué)網(wǎng)站的IP 地址是202. 96. 158. 10, 但被攻擊者所控制的DN S 服務(wù)器中被修改為211. 85. 176. 1, 并且, 該條記錄被緩存在某一用戶所在的本地域名服務(wù)器中, 則, 在該區(qū)域中的正常用戶要訪問清華大學(xué)時, 清華大學(xué)的域名就被解析成211. 85. 176. 1, 自然也就不會指向清華大學(xué)而指向了211. 85. 176. 1所代表的位置.

(3) 拒絕服務(wù)攻擊:這種攻擊針對DN S 服務(wù)器軟件本身, 通常利用服務(wù)器中的軟件中的漏洞, 導(dǎo)致DN S 服務(wù)器崩潰或拒絕服務(wù). 這種攻擊比較容易防范, 只要為各種軟件安裝相應(yīng)的補丁程序或更新軟件[3]. 3 防范措施

從上面所述的三種主要攻擊方式來看, 攻擊者主要是利用了DN S 服務(wù)器本身的漏洞及DN S 的工作原理來實施攻擊的, 因此防范也相應(yīng)地從加強服務(wù)器本身的防御能力以及改進服務(wù)器工作過程中不合理的方面入手.

(1) 使用最新版本的DN S 服務(wù)器軟件. 當(dāng)前BI ND 軟件的最新版本為B I ND 9. 6. 0-P1. 當(dāng)然, 其他運行在DN S 服務(wù)器上的軟件也應(yīng)該使用最新版本的. 使用最新版本的各種軟件能夠有效地抵抗利用軟件漏洞進行攻擊的行為. 當(dāng)然, 這樣做并不意味著DN S 服務(wù)器的徹底安全, 因為任何軟件都可能存在著漏洞, 只是可能還沒有被發(fā)現(xiàn)而已.

(2) 關(guān)閉遞歸查詢功能. 如果可能, 應(yīng)關(guān)閉BI ND 服務(wù)軟件的遞歸查詢功能. 關(guān)閉了BIND 的遞歸查詢功能后就使DN S 服務(wù)器進行被動模式, 即它絕不會向外部的DN S 發(fā)送查詢請求, 只會回答對自己的授權(quán)域的查詢請求, 因此不會緩存任何外部的數(shù)據(jù), 也就不可能遭受地址欺騙攻擊. 當(dāng)然, 采用這種方法, 會對正常用戶的一些正常請求得不到滿足, 影響系統(tǒng)的功能. 如果不能關(guān)閉遞歸查詢, 可以使用下面的方法.

(3) 限制對DNS 進行遞歸查詢的IP 地址. 高版本的