DNS安全攻击和防护

毛乐琦

摘要：DNS是目前互联网最常见的服务之一。该文简述了近年来发生的典型DNS攻击，针对出现的DNS攻击形式进行了解析，最后提出预防DNS攻击的方法。

关键词：DNS；攻击；防护

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2014）19-4412-02

DNS Security Attack And Protection

MAO Le-qi

（Leshan Vocational And Technical College， Leshan 614000，China）

Abstract： DNS is one of the most common Internet service .This paper introduces the typical DNS attack occurred in recent years， according to theDNS form of attack are analyzed， and finally puts forward the method for preventingDNS attack.

Key words： DNS；attack；protection

1 DNS工作原理

域名是由一串单词或字母缩写组成的，中间由圆点分开，一个域名对应一个IP地址，域名和IP地址都是唯一的。域名方便记忆，但网络中的计算机只能靠IP地址进行识别，它们之间的转换称为域名解析，域名解析由DNS（Domain Name Server）域名解析服务器来完成，它是目前互联网最常见的服务之一。

2 DNS攻击事件

近年来国内外发生了多起针对DNS安全的攻击事件，其中几起典型事件具有相当的代表性。

DNS DDOS攻击事件：对暴风影音的DNS Pod主站和多个DNS服务器进行恶意攻击，不仅造成暴风影音的域名解析服务暂停，而且影响了中国电信的DNS服务器，导致南方多省出现大规模的网络故障。

2010年百度域名被劫持事件：网民访问百度及旗下所有子域名时，网页均无法正常访问，甚至被重定向到国外的IP地址。

2009年巴西银行DNS缓存病毒攻击事件：本事件发生在巴西最大的银行，受到影响的用户被重定向到一个伪装的银行网站，该钓鱼网站会窃取用户密码。

2013年国家域名DNS拒绝服务事件：以.CN为根域名的部分网站无法打开，国家域名解析节点受到DNS拒绝服务攻击。

3 DNS攻击的主要形式

根据DNS攻击的形式，大致可分为以下几种攻击类型

3.1 DNS DDOS攻击

DNS DDOS攻击有两个目标，一个是DNS服务器，进行DNS query Flooding攻击；另一个是目标用户，进行DNS response Flooding攻击。

DNS query Flooding攻击会导致域名服务器瘫痪，无法正常工作。它利用众多僵尸网络同时向域名服务器发送大量查询报文，致使DNS瘫痪。

DNS response Flooding攻击是针对具体的目标用户。它利用DNS服务器递归查询对目标客户进行DDOS攻击。攻击者利用被攻击者的IP地址，作为发送解析命令的源地址。DNS服务器递归查询后会把响应发给最初用户，即被攻击者。当攻击者利用大量的僵尸网络，反复进行以上操作时，被攻击者就会受到DNS服务器的DDOS攻击。

3.2 DNS缓存感染（DNS Cache Poisoning）

DNS缓存感染也称DNS缓存中毒。DNS高速缓存里存有域名及相关IP地址的映射信息，当客户进行DNS访问时可快速返回给用户，以提高解析效率。攻击者利用DNS缓存机制的特性，控制正常运行的DNS服务器，在指定的解析区域中伪造大量数据，再利用查询工具把递归查询请求发送给被害者的 DNS 服务器， 要求解析域名信息，接下来被害者会查询含有伪造恶意数据的攻击者DNS 服务器，被害者的 DNS 服务器在收到恶意查询信息后，会将伪造的查询结果进行缓存，并送给攻击者的解析器 。若缓存中的伪造数据有对应的映射信息，当被攻击者的 DNS服务器被其他主机请求地址时，它会查询自己含恶意信息的缓存，并返回错误的地址。

缓存感染攻击需要获取攻击者DNS服务器的管理权限，方法较简，如利用DNS服务器漏洞。攻击者窃取DNS服务器的管理帐号密码后，便可随心所欲登陆并修改DNS记录。

3.3域名注册攻击

域名注册攻击的方法主要有两类：域名劫持和类似域名注册。域名劫持是非法修改域名注册管理公司的注册域名记录，把注册域名指向其他 Web 站点。攻击者利用域名注册的时限期，通过购买刚到期的域名，或冒充原域名持有人向域名注册管理公司，请求修改注册域名信息。

类似域名注册攻击是利用域名字母的相似性、习惯性拼写错误甚至更换域名后缀等方法注册著名的企业、银行域名，如淘宝、网上银行等，让粗心的客户落入圈套，趁机窃取用户的帐号密码等重要信息。这种攻击不易察觉，会给用户造成巨大的损失。

4 DNS攻击的预防

根据DNS遭受攻击的原因及系统安全的分析研究，提高DNS的安全防护主要有以下措施。

4.1 完善 DNS 服务器内部的配置

DNS服务器内部的安全防护策略有很多，应针对DNS服务器安全设定高优先级防护策略。关闭DNS服务器上的不必要的服务、使用非root权限、隐藏DNS服务器软件的版本信息，降低针对漏洞进行的DNS攻击。对访问DNS 服务器的网络数据包类型进行限制，把端口、IP地址和数据流量做为包过滤的依据。端口访问只接受53端口；合法的IP地址才能访问DNS 服务器；限制DNS 请求的流量，数据包的长度应在512byte以内。

4.2 DNS服务器与防火墙等设备合作

在防火墙上设置DNS访问速率，预防DDOS的攻击。当防火墙监探到DNS的请求报文大于某速率时，启动每秒连接数限制，避免CPU拥塞。

利用防火墙的保护技术把DNS系统分为内部DNS和外部DNS。外部 DNS 负责对外的解析，是名义上的DNS 服务器。内部 DNS 负责内部网络的解析，是真正的DNS 服务器。只有在内部 DNS 缓存映射中没有用户查询的域名时，才会由外部 DNS 服务器进行查询域名的工作。禁止内部IP地址访问外部DNS服务器，禁止外部IP地址主动访问内部DNS服务器，这样既能提高信息的安全保密性，又能保证内部DNS服务器不受攻击，保护内部DNS中的重要信息。当外部DNS服务器受到攻击时，管理员只需修改内部服务器的域名映射关系就能恢复被攻击的外部DNS。

4.3 网络拓扑限制

从网络拓扑结构考虑，禁止把DNS 服务器放于无旁路的环境中。多个DNS 服务器应放到不同的子网、不同的租用链路、不同的路由器、甚至不同的物理位置上，减少单点故障的发生。

4.4 采用最新版本的软件并及时更新补丁程序

DNS服务器应使用最新版本的 DNS 服务器软件，随时更新版本，及时下载并安装相应的补丁程序，预防攻击者利用软件漏洞进行攻击。

5 结束语

DNS服务是互联网上最常用的服务之一，它在互联网应用中起着重要作用。针对DNS的攻击会对社会造成严重影响，保证DNS安全可靠的运行具有非常重要的意义。该文探讨了DNS 攻击的主要形式，提出预防DNS攻击的多种方法，希望DNS能更安全更可靠的为用户服务。

参考文献：

[1] 周道明，赵新.DNS安全及防护要点刍议[J].实践探究，2009（10）

[2] 陈彦英，刘永涛，董艳丽.浅谈DNS的安全与防护[J].科技创新导报，2011（38）.

[3] 董新科，刑雨，高维银.DNS网络安全系统分析与设计[J].计算机安全，2010（6）.endprint