第30卷第12期 咸 寧 學 院 學 報 Vo. l 30, N o . 12文章編號:1006-5342(2010) 12-0023-02基于DNS 服務

第30卷第12期 咸 寧 學 院 學 報 Vo. l 30, N o . 12文章編號:1006-5342(2010) 12-0023-02

基于DNS 服務器漏洞攻擊的防范

厲陽春

(咸寧學院 計算機科學與技術學院, 湖北 咸寧 437000)

*

摘 要:從DN S 服務器的工作原理入手, 分析了針對DN S 服務器漏洞, 攻擊者可以采取的攻擊手段, 提出了相應的防范措施.

關鍵詞:DNS ; 漏洞; 防范中圖分類號:TP309. 20 引 言

在信息化社會中, 信息已成為制約社會發(fā)展、推動社會進步的關鍵因素之一. 計算機網(wǎng)絡是目前信息處理的主要環(huán)境和信息傳輸?shù)闹饕d體, 特別是互聯(lián)網(wǎng)的普及, 給我們的信息處理方式帶來了根本的變化. 但互聯(lián)網(wǎng)的/無序、無界、匿名0三大基本特征決定了, 在這種環(huán)境下, 信息的安全越來越得不到保證, 針對信息的各種攻擊行為越來越容易實施, 信息安全受到越來越多的挑戰(zhàn). 信息安全是一個系統(tǒng)問題, 而不是單一的信息本身的問題. 一般認為, 系統(tǒng)風險是系統(tǒng)脆弱性或漏洞, 以及以系統(tǒng)為目標的威脅的總稱[1]. 而系統(tǒng)的脆弱性和系統(tǒng)本身所存在的漏洞, 是信息系統(tǒng)存在風險的根本原因. 一個沒有漏洞的系統(tǒng), 再高明的攻擊者也無法侵入該系統(tǒng), 但很遺憾, 現(xiàn)實當中這樣的系統(tǒng)并不存在. 安全問題最多的是基于TCP /IP協(xié)議簇的互聯(lián)網(wǎng)及其通信協(xié)議, 本文從互聯(lián)網(wǎng)通信中必不可少的DN S 服務器的工作原理入手, 針對攻擊者對DN S 服務器的各種攻擊手段, 提出相應的防范措施.

1 DN S 服務器的工作原理

用戶與因特網(wǎng)上某個主機通信時, 往往使用該主機的域名, 如enxnc . edu . cn , 但信息在實際傳輸時, 用的是32位的IP 地址, 如211. 85. 176. 1, 這主要是因為32的IP 地址很難記憶, 用戶不愿意使用. 域名系統(tǒng)DN S(D o m a i n N am e Syste m ) 就是用來把便于人們使用的域名轉換為實際通信用的IP 地址的[2]. DNS 被設計成為一個聯(lián)機分布式數(shù)據(jù)庫系統(tǒng), 并采用客戶服務器方式工作, 域名到IP 地址的解析是由分布在因特網(wǎng)上的許多域名服務器共同完成的. 因特網(wǎng)上的DN S 域名服務器是按照層次結構安排的, 每一個域名服務器都只對域名體系中的一部分進行管轄. 根據(jù)域名服務器所起的作用, 可以把域名服務器劃分為以下四種不同的類型[2]:

(1) 根域名服務器:是最高層次的域名服務器, 也是最重要的域名服務器, 所有的根域名服務器都知道所有的頂級域名服務器的域名和IP 地址.

(2) 頂級域名服務器:負責管理在該頂級域名服務器

文獻標識碼:A 注冊的所有二級域名.

(3) 權限域名服務器:負責一個區(qū)的域名服務器.

(4) 本地域名服務器:每一個因特網(wǎng)服務提供者ISP 都可以擁有一個本地域名服務器.

域名到I P 地址的解析分兩種:

(1) 遞歸查詢:用戶主機向本地域名服務器的查詢一般采用遞歸查詢. 當用戶主機向本地域名服務器發(fā)出查詢請求, 如果本地域名服務器知道被查詢的域名的IP , 則直接將該IP 發(fā)回給用戶主機, 完成查詢過程; 否則如果本地域名服務器不知道被查詢的域名的IP 地址, 那么本地域名服務器就替代該主機向其他根域名服務器繼續(xù)發(fā)出查詢請求(即繼續(xù)查詢), 而不是讓該主機自己進行下一步的查詢. 因此, 遞歸查詢返回的查詢結果或者是所要查詢的IP 地址, 或者是報告錯誤, 表示無法查詢到所需的IP 地址. (2) 迭代查詢:本地域名服務器向根域名服務器發(fā)出查詢請求時, 一般采用迭代查詢. 當根域名服務器收到本地域名服務器發(fā)出的查詢請求時, 要么給出所要查詢的IP 地址, 要么告訴本地域名服務器:/你下一步應當向哪一個域名服務器進行查詢0, 然后讓本地域名服務器進行后續(xù)的查詢(而不是替本地域名服務器進行后續(xù)的查詢).

為了提高DNS 查詢效率, 并減輕根域名服務器的負荷和減少因特網(wǎng)上的DNS 查詢報文數(shù)量, 在域名服務器中廣泛使用了高速緩存, 用來存放最近查詢過的域名以及從何處獲得域名映射信息的記錄.

2 針對DN S 服務器的攻擊手段

目前, 攻擊者對DN S 服務器的攻擊主要有三種方式:地址欺騙、遠程漏洞入侵、拒絕服務.

(1) DN S 服務器入侵攻擊:目前DN S 協(xié)議的實現(xiàn)軟件是開源的BI ND 服務器軟件, 與其他很多軟件一樣, B I ND 的許多版本存在各種各樣的漏洞, 攻擊者可以利用這些漏洞遠程入侵B I ND 服務器所在的主機, 并以管理員身份執(zhí)行任意命令. 這種攻擊的危害性很大, 攻擊者不僅可以獲得DN S 服務器上所有授權區(qū)域內(nèi)的數(shù)據(jù)信息, 甚至可以直接修改授權區(qū)域內(nèi)的任意數(shù)據(jù), 為其它攻擊做好準備.

:

24咸寧學院學報 第30卷

(2) 地址欺騙攻擊:攻擊者首先利用BI ND 軟件存在的

BIND 軟件可以通過設置允許對進行遞歸查詢的IP 地址作出限制, 如果遞歸查詢請求來自不允許的I P 地址, 則B I ND

服務器軟件將此查詢以非遞歸查詢方式對待. 在配置文件中使用a llo w -recursion 命令實現(xiàn)這個功能, 例如:Options {

all ow -recursion{211. 85. 176. 40; };};

這條命令定義了允許進行遞歸查詢的一個IP 地址211. 85. 176. 40. (4) 限制區(qū)域傳輸. 區(qū)域傳輸用于主DN S 服務器和輔DN S 服務器之間的數(shù)據(jù)同步, 當主DN S 服務器對其所管理的授權區(qū)域內(nèi)的數(shù)據(jù)進行改動后, 輔DN S 服務器按照規(guī)定的時間間隔使用區(qū)域傳輸從主DNS 服務器獲取改動后的信息, 然后刷新自己相應區(qū)域內(nèi)的數(shù)據(jù). 如果主DN S 服務器被攻擊者所利用或被冒充, 則輔DN S 服務器中的數(shù)據(jù)就有可能錯誤. 因此, 正常情況下, 應該只允許信任的輔DN S 服務器和主服務器進行區(qū)域傳輸. 但BI N D 軟件的默認配置允許任何主機進行區(qū)域傳輸, 因此, 必須在配置文件中加以限制, 可以通過在配置文件na m ed . conf 中使用命令a ll ow -transfer 來限制允許區(qū)域傳輸?shù)闹鳈C. 例如:

Options{

A ll ow -transfe r{ 211. 85. 176. 1; 211. 85. 191. 0/24; };

};

以上配置只允許地址為211. 85. 176. 1和位于網(wǎng)段211. 85. 191. 0/24內(nèi)的主機進行區(qū)域傳輸. 4 結 語

為了保證DNS 服務器的安全運行, 不僅要使用可靠的服務器軟件, 而且要對DN S 服務器進行正確的配置, 同時還要跟蹤服務器軟件和操作系統(tǒng)的各種漏洞, 及時為發(fā)現(xiàn)的漏洞打補丁或進行升級.

參考文獻:

[1]姚小蘭. 網(wǎng)絡安全管理與技術防護[M].北京:北京理工大學出版社, 2002.

[2]謝希仁. 計算機網(wǎng)絡[M ]1第5版1北京:電子工業(yè)出版社, 2008.

[3]俞承杭. 計算機網(wǎng)絡安全與信息安全技術[M].北京:機械工業(yè)出版社, 2009.

各種漏洞攻擊并控制一個或多個在Inte rnet 上正式運行的DN S 服務器; 第二步攻擊者重新指定這些服務器負責解析的區(qū)域, 使被攻擊者控制的某一個DNS 服務器負責解析攻擊者將要攻擊的目標主機所在的區(qū)域; 第三步, 攻擊者在這些服務器中加入大量偽造的數(shù)據(jù); 第四步攻擊者向受害者主機所在的DN S 服務器發(fā)送一個查詢請求, 從而引誘受害者的DN S 服務器去查詢被攻擊者控制的DN S 服務器, 由于這些服務器中包含了那些偽造的數(shù)據(jù), 受害者的DN S 服務器在收到查詢結果后, 要將查詢結果進行緩存, 這樣也就緩存了偽造的數(shù)據(jù). 那么當其他正常用戶向該DN S 服務器發(fā)出查詢請求時, 該DN S 服務器就會將錯誤的地址告訴用戶主機. 例如:假設清華大學網(wǎng)站的IP 地址是202. 96. 158. 10, 但被攻擊者所控制的DN S 服務器中被修改為211. 85. 176. 1, 并且, 該條記錄被緩存在某一用戶所在的本地域名服務器中, 則, 在該區(qū)域中的正常用戶要訪問清華大學時, 清華大學的域名就被解析成211. 85. 176. 1, 自然也就不會指向清華大學而指向了211. 85. 176. 1所代表的位置.

(3) 拒絕服務攻擊:這種攻擊針對DN S 服務器軟件本身, 通常利用服務器中的軟件中的漏洞, 導致DN S 服務器崩潰或拒絕服務. 這種攻擊比較容易防范, 只要為各種軟件安裝相應的補丁程序或更新軟件[3]. 3 防范措施

從上面所述的三種主要攻擊方式來看, 攻擊者主要是利用了DN S 服務器本身的漏洞及DN S 的工作原理來實施攻擊的, 因此防范也相應地從加強服務器本身的防御能力以及改進服務器工作過程中不合理的方面入手.

(1) 使用最新版本的DN S 服務器軟件. 當前BI ND 軟件的最新版本為B I ND 9. 6. 0-P1. 當然, 其他運行在DN S 服務器上的軟件也應該使用最新版本的. 使用最新版本的各種軟件能夠有效地抵抗利用軟件漏洞進行攻擊的行為. 當然, 這樣做并不意味著DN S 服務器的徹底安全, 因為任何軟件都可能存在著漏洞, 只是可能還沒有被發(fā)現(xiàn)而已.

(2) 關閉遞歸查詢功能. 如果可能, 應關閉BI ND 服務軟件的遞歸查詢功能. 關閉了BIND 的遞歸查詢功能后就使DN S 服務器進行被動模式, 即它絕不會向外部的DN S 發(fā)送查詢請求, 只會回答對自己的授權域的查詢請求, 因此不會緩存任何外部的數(shù)據(jù), 也就不可能遭受地址欺騙攻擊. 當然, 采用這種方法, 會對正常用戶的一些正常請求得不到滿足, 影響系統(tǒng)的功能. 如果不能關閉遞歸查詢, 可以使用下面的方法.

(3) 限制對DNS 進行遞歸查詢的IP 地址. 高版本的