第30卷第12期 咸 宁学院学报 Vo1.30,No.12 20 1 0年1 2月 Journal of Xianning Universj DeC.2010 文章编号:1006—5342(2010)12—0023—02 基于DNS服务器漏洞攻击的防范 厉f【El春 (成宁学院 计算机科学与技术学院,湖北 成宁437000) 摘要:从DNS服务器的工作原理入手,分析了针对DNS服务器漏洞,攻击者可以采取的攻击手段,提出了相应 的防范措施. 关键词:DNS;漏洞;防范 中图分类号:TP309.2 文献标识码:A 0引 言 注册的所有二级域名. 在信息化社会中,信息已成为制约社会发展、推动社会 (3)权限域名服务器:负责一个区的域名服务器. 进步的关键因素之一.计算机网络是目前信息处理的主要 (4)本地域名服务器:每一个因特网服务提供者ISP都 环境和信息传输的主要载体,特别是互联网的普及,给我们 可以拥有一个本地域名服务器. 的信息处理方式带来了根本的变化.但互联网的“无序、无 域名到IP地址的解析分两种: 界、匿名”三大基本特征决定了,在这种环境下,信息的安全 (1)递归查询:用户主机向本地域名服务器的查询一 越来越得不到保证,针对信息的各种攻击行为越来越容易 般采用递归查询.当用户主机向本地域名服务器发出查询 实施,信息安全受到越来越多的挑战.信息安全是一个系统 请求,如果本地域名服务器知道被查询的域名的IP,则直接 问题,而不是单一的信息本身的问题.一般认为,系统风险 将该IP发回给用户主机,完成查询过程;否则如果本地域 是系统脆弱性或漏洞,以及以系统为目标的威胁的总称…. 名服务器不知道被查询的域名的IP地址,那么本地域名服 而系统的脆弱性和系统本身所存在的漏洞,是信息系统存 务器就替代该主机向其他根域名服务器继续发出查询请求 在风险的根本原因.一个没有漏洞的系统,再高明的攻击者 (即继续查询),而不是让该主机自己进行下一步的查询. 也无法侵入该系统,但很遗憾,现实当中这样的系统并不存 因此,递归查询返回的查询结果或者是所要查询的IP地 在.安全问题最多的是基于TCP/IP协议簇的互联网及其通 址,或者是报告错误,表示无法查询到所需的IP地址. 信协议,本文从互联网通信中必不可少的DNS服务器的工 (2)迭代查询:本地域名服务器向根域名服务器发出 作原理入手,针对攻击者对DNS服务器的各种攻击手段, 查询请求时,一般采用迭代查询.当根域名服务器收到本地 提出相应的防范措施. 域名服务器发出的查询请求时,要么给出所要查询的IP地 1 DNS服务器的工作原理 址,要么告诉本地域名服务器:“你下一步应当向哪一个域 用户与因特网上某个主机通信时,往往使用该主机的 名服务器进行查询”,然后让本地域名服务器进行后续的查 域名,如enxne.edu.cn,但信息在实际传输时,用的是32位 询(而不是替本地域名服务器进行后续的查询). 的IP地址,如211.85.176.1,这主要是因为32的IP地址 为了提高DNS查询效率,并减轻根域名服务器的负荷 很难记忆,用户不愿意使用.域名系统DNS(Domain Name 和减少因特网上的DNS查询报文数量,在域名服务器中广 System)就是用来把便于人们使用的域名转换为实际通信 泛使用了高速缓存,用来存放最近查询过的域名以及从何 用的 地址的 2j.DNS被设计成为一个联机分布式数据库 处获得域名映射信息的记录. 系统,并采用客户服务器方式工作,域名到IP地址的解析 2针对DNS服务器的攻击手段 是由分布在因特网上的许多域名服务器共同完成的.因特 目前,攻击者对DNS服务器的攻击主要有三种方式: 网上的DNS域名服务器是按照层次结构安排的,每一个域 地址欺骗、远程漏洞入侵、拒绝服务. 名服务器都只对域名体系中的一部分进行管辖.根据域名 (1)DNS服务器入侵攻击:目前DNS协议的实现软件 服务器所起的作用,可以把域名服务器划分为以下四种不 是开源的BIND服务器软件,与其他很多软件一样,BIND 同的类型 : 的许多版本存在各种各样的漏洞,攻击者可以利用这些漏 (1)根域名服务器:是最高层次的域名服务器,也是最 洞远程人侵BIND服务器所在的主机,并以管理员身份执 重要的域名服务器,所有的根域名服务器都知道所有的顶 行任意命令.这种攻击的危害性很大,攻击者不仅可以获得 级域名服务器的域名和IP地址. DNS服务器上所有授权区域内的数据信息,甚至可以直接 (2)顶级域名服务器:负责管理在该顶级域名服务器 修改授权区域内的任意数据,为其它攻击做好准备. 收稿日期:20…一】0—28 24 咸宁学院学报 第30卷 (2)地址欺骗攻击:攻击者首先利用BIND软件存在的 各种漏洞攻击并控制一个或多个在Internet上正式运行的 DNS服务器;第二步攻击者重新指定这些服务器负责解析 的区域,使被攻击者控制的某一个DNS服务器负责解析攻 击者将要攻击的目标主机所在的区域;第三步,攻击者在这 些服务器中加入大量伪造的数据;第四步攻击者向受害者 主机所在的DNS服务器发送一个查询请求,从而引诱受害 者的DNS服务器去查询被攻击者控制的DNS服务器,由于 这些服务器中包含了那些伪造的数据,受害者的DNS服务 器在收到查询结果后,要将查询结果进行缓存,这样也就缓 BIND软件可以通过设置允许对进行递归查询的IP地址作 出,如果递归查询请求来自不允许的IP地址,则BIND 服务器软件将此查询以非递归查询方式对待.在配置文件 中使用allow—recursion命令实现这个功能,例如: Options{ allow—recursion{211.85.176.40;}; }; 这条命令定义了允许进行递归查询的一个IP地址 211.85.176.40. (4)区域传输.区域传输用于主DNS服务器和辅 存了伪造的数据.那么当其他正常用户向该DNS服务器发 出查询请求时,该DNS服务器就会将错误的地址告诉用户 主机.例如:假设清华大学网站的IP地址是202.96.158. 1O,但被攻击者所控制的DNS服务器中被修改为211.85. 176.1,并且,该条记录被缓存在某一用户所在的本地域名 服务器中,则,在该区域中的正常用户要访问清华大学时, 清华大学的域名就被解析成211.85.176.1,自然也就不会 指向清华大学而指向了211.85.176.1所代表的位置. (3)拒绝服务攻击:这种攻击针对DNS服务器软件本 身,通常利用服务器中的软件中的漏洞,导致DNS服务器 崩溃或拒绝服务.这种攻击比较容易防范,只要为各种软件 安装相应的补丁程序或更新软件 J. 3防范措施 从上面所述的三种主要攻击方式来看,攻击者主要是 利用了DNS服务器本身的漏洞及DNS的工作原理来实施 攻击的,因此防范也相应地从加强服务器本身的防御能力 以及改进服务器工作过程中不合理的方面人手. (1)使用最新版本的DNS服务器软件.当前BIND软件 的最新版本为BIND 9.6.0一P1.当然,其他运行在DNS服 务器上的软件也应该使用最新版本的.使用最新版本的各 种软件能够有效地抵抗利用软件漏洞进行攻击的行为.当 然,这样做并不意味着DNS服务器的彻底安全,因为任何 软件都可能存在着漏洞,只是可能还没有被发现而已. (2)关闭递归查询功能.如果可能,应关闭BIND服务 软件的递归查询功能.关闭了BIND的递归查询功能后就 使DNS服务器进行被动模式,即它绝不会向外部的DNS发 送查询请求,只会回答对自己的授权域的查询请求,因此不 会缓存任何外部的数据,也就不可能遭受地址欺骗攻击.当 然,采用这种方法,会对正常用户的一些正常请求得不到满 足,影响系统的功能.如果不能关闭递归查询,可以使用下 面的方法. (3)对DNS进行递归查询的IP地址.高版本的 DNS服务器之间的数据同步,当主DNS服务器对其所管理 的授权区域内的数据进行改动后,辅DNS服务器按照规定 的时问间隔使用区域传输从主DNS服务器获取改动后的 信息,然后刷新自己相应区域内的数据.如果主DNS服务 器被攻击者所利用或被冒充,则辅DNS服务器中的数据就 有可能错误.因此,正常情况下,应该只允许信任的辅DNS 服务器和主服务器进行区域传输.但BIND软件的默认配 置允许任何主机进行区域传输,因此,必须在配置文件中加 以,可以通过在配置文件named.conf中使用命令allow —transfer来允许区域传输的主机.例如: Options{ 、 Allow—transfer{ 211.85.176.1; 211.85.191.o/24: }; }; 以上配置只允许地址为211.85.176.1和位于网段 2l1.85.191.0/24内的主机进行区域传输. 4结语 为了保证DNS服务器的安全运行,不仅要使用可靠的 服务器软件,而且要对DNS服务器进行正确的配置,同时 还要跟踪服务器软件和操作系统的各种漏洞,及时为发现 的漏洞打补丁或进行升级. 参考文献: [1]姚小兰.网络安全管理与技术防护[M].北京:北京理 工大学出版社,2002. [2]谢希仁.计算机网络[M].第5版.北京:电子工业出 版社,2008. [3]俞承杭.计算机网络安全与信息安全技术[M].北京: 机械工业出版社,20o9.
