DNS的安全威胁及防护研究.docx

DNS的安全威胁及防护研究 宋洪娟摘要：DNS服务作为Internet应用服务的基础，其安全性直接决定着整个网络的安全性，因此对DNS的安全防护非常重要本文阐述了DNS的工作原理，分析了其面临的安全风险，提出了DNS安全防护策略，提高DNS的安全性和抗攻击能力关键词：DNS；安全风险；防护策略1引言域名系统（Domain Name System，DNS）负责域名和IP地址之间的映射，是一个多层次的分布式数据库系统它是Internet的基础服务，其安全性对整个Internet的安全有着重要的影响而由于其开放、庞大、复杂的特性以及在设计之初对安全性的考虑不足，再加上人为蓄意的攻击和破坏，DNS面临非常严重的威胁随着信息高速公路的迅猛发展，非常严重的DNS安全事件时有发生因此，如何解决DNS安全威胁并寻求相应解决方案是DNS亟待解决的问题2DNS工作原理及安全分析2.1DNS工作原理DNS的工作原理如图1所示[1]如果用户需要对域名进行解析，并且本地DNS服务器不是目标域名授权DNS服务器，其缓存中也没有该域名的记录DNS服务过程如下：①用户向本地DNS服务器发出DNS查询请求，询问的IP地址。

②本地DNS服务器发现没有相应记录，转而向根DNS服务器发出查询包根DNS服务器接到请求，返回com域的DNS服务器地址给本地DNS服务器③本地DNS服务器向com域的DNS服务器发出请求com域服务器返回computer.om 授权域的服务器地址④本地DNS服务器继续向域的DNS服务器发出解析请求⑤域的DNS服务器向本地DNS服务器返回的IP地址⑥本地DNS服务器向客户端返回域名解析结果，同时更新自己的缓存记录2.2DNS安全风险分析从DNS服务的工作过程可以看出：①没有合法性验证，客户端无法验证收到的应答内容是否合法，服务器端也无法验证客户端请求是否合法②确认机制过于简单，由于使用UDP连接，没有三次握手建立连接的过程，这虽加快了数据的传输，但也导致了防御能力差③DNS服务具有开放性，大多数的DNS服务器没有进行数据加密和访问控制，客户可对各个DNS服务器自由访问④DNS采用树型结构，便于查询和管理，但单点故障问题明显，安全威胁大[2]3DNS面临的安全威胁3.1拒绝服务攻击拒绝服务攻击DoS是一种技术含量低但是攻击效果明显的攻击方法目前针对DoS攻击主要有两种形式：一种是直接攻击，即将DNS服务器作为被攻击对象，由多台攻击主机向所攻击的DNS服务器频繁发送大量的DNS查询请求，最终使该DNS服务器崩溃；另一种是放大式攻击，即利用DNS服务器作为中间的攻击放大器去攻击网络中其他主机。

攻击者将自身IP地址伪装为被攻击者的IP地址向多个DNS服务器发送大量查询请求，DNS服务器将大量的查询结果发送给被攻击主机，使被攻击主机无法提供正常的服务3.2DNS欺骗DNS欺骗即域名信息欺骗是最常见的一种DNS攻击方式DNS数据包头部的标识是用来匹配响应和请求数据包的在域名解析过程中，客户端将收到的DNS响应数据包的标识和自己发送的查询数据包标识相比较，如若匹配则表明接收到的是自己等待的数据，若不匹配则丢弃如果能够伪装DNS服务器提前向客户端发送响应数据包，就可以将客户端带到指定的错误网站，实现DNS欺骗3.3系统漏洞DNS服務软件本身存在安全漏洞，导致DNS无法正常提供服务BIND是最常用的DNS服务软件2011年3月底，一些院校投诉其DNS解析服务存在故障，经常无法正常解析域名最后查明是bind 9软件存在条件竞争漏洞导致的除此之外，DNS服务器自身的安全性也非常重要目前主流的操作系统如Windows、Linux等均存在不同程度的系统漏洞和安全风险，因此针对操作系统的漏洞防护也是DNS安全防护工作中的重点4DNS防护策略根据对DNS系统安全的分析和研究，要根本解决DNS遭受的攻击很难实现，但以下几个安全防护策略在一定程度上能有效地提高DNS网络的安全性。

4.1DNS进行内外划分把DNS服务器划分为内部和外部两部分，并分布在不同的网络，实现对内外解析的不同分工外部DNS负责对外的正常解析工作；内部DNS系统则专门负责解析内部网络的主机仅当内部主机要查询Internet上的域名，而内部DNS上没有缓存记录时，内部DNS才将查询任务转发到外部DNS服务器上，由外部DNS服务器完成查询任务，以保护内部DNS服务器免受攻击，同时减少了信息泄漏4.2防火墙防护设置防火墙安全策略，进行包过滤防护限制访问DNS服务器的网络数据包的类型，实施包过滤的依据主要是端口、IP和流量端口过滤指仅允许对53端口的访问；IP地址限制指只允许具有合法网段的IP地址用户访问该DNS服务器；流量限制指对每个IP地址的DNS请求报文加以流量限制，禁止大容量DNS报文流入本网络4.3系统分担法分担法是利用主机的cookie缓存功能，采用网状延伸方法将DNS体系单点故障的风险大大降低，改变了原有的主机只能通过查询固定DNS服务器访问Internet的单路径结构，增加了旁路，同时减小DNS服务器的负荷它弱化DNS功能的策略，将DNS所承担的单点故障风险分散到网络的各个层次，包括主机、其他服务器、路由器等。

5小结DNS安全是当前网络安全领域的一个重要环节确保DNS体系的正常运转和安全可靠，不断发现其安全漏洞的同时不断改正，才能使整个网络更加健全和完善本文提出的DNS防范策略，在某些应用环境中防护效果不够有效要想真正做到完美，使DNS安全性真正让人放心，还需要继续做更深入的研究参考文献：[1]王利霞.DNS安全现状[J].计算机安全，2011，（1）：66-68.[2]邵明珠.DNS安全分析及防御技术研究[J].河南机电高等专科学校学报，2011，（5）：39-41. -全文完-。