1、精選優質文檔-傾情為你奉上論DNS協議安全漏洞及防范姓名：苑中梁 學號：29摘要 本文分為3部分，首先對DNS的協議特點進行了分析，了解了DNS協議的工作原理，之后對DNS的漏洞進行了簡要的分析，最后對這一漏洞的防范給出了建議。Abstract The passage is divided into 3 parts，first of all we analysis the characters of DNS and get a formal understanding about it then we will find the weak point of DNS，and get knowle

2、dge about attacking DNS，in the end， we give some suggestions which is to protect DNS form attacking.前言 21世紀以來，計算機網絡滲透到了人類生活得方方面面，然而網絡攻擊等安全問題也開始逐漸進入人們視野，網絡協議當初在編寫時由于并未考慮身份認證等機制，使得其很容易被進行漏洞攻擊，域名系統是一種分布在網絡協議TCP/IP協議的分布式數據庫，主要提供主機和IP地址的域名對應，從而方便用戶更加方便的訪問Internet。DNS是多種Internet應用的基礎,如E-mail、www、Telnet等。一

3、旦DNS被入侵者控制,主機名及其IP地址之間的對應關系有可能被更改,從而造成主機遭受拒絕服務,或者網站被篡改等嚴重后果。因而如何保證DNS服務的可用，防范DDOS攻擊成為了每一個網站搭建者要考慮的問題，本文就將從DNS的工作原理談起，了解DNS的漏洞并且給出相關的防范措施。  DNS( Domain Name System)是“域名系統”的英文縮寫，是一種組織成域層次結構的計算機和網絡服務命名系統，它用于TCP/IP網絡，它所提供的服務是用來將主機名和域名轉換為IP地址的工作。在DNS進行解析前，其工作模式主要有2種，一種為ITERATIVE迭代。如果服務器查找不到對應的記錄，會返回

4、另一個可能知道結果的服務器的地址給查詢的發起者，以便它向新的，服務器發送查詢請求遞歸，另一種模式為recursive遞歸，當客戶向服務器提出請求之后，此服務器就負責查詢出相應記錄如果不能從該服務器本地得到解析由該服務器向其他服務器發出請求直到得到查詢結果或出現超時錯誤為止，相當于由收到遞歸請求的服務器來完成迭代查詢中用戶的工作。 為了更加明顯的理解DNS工作原理 假如要查詢（1） 首先主機會向本地域名服務器發出請求，本地主機DNS服務器若存儲有對應IP地址則直接返回主機，進行訪問。（2） 加入本地DNS服務器沒有相關的記錄，則向自己的根服務器發出迭代查詢請求。（3） 若根域名服務器無法解析則換

5、回管理域cn的DNS服務器的IP地址。（4） 本地服務器向管理域cn的DNS服務器發出迭代查詢請求。（5） 若授權管理cn域的DNS服務器無法在本地數據庫中找到對應記錄，則返回授權管理域的DNS服務器的IP地址。（6） 本地服務器向管理域的DNS服務器發出迭代查詢請求（7） 若授權管理域的DNS服務器在本地數據庫中找到的記錄則返回ip地址，否則返回超時錯誤信息。（8） 本地DNS域名服務器返回此網站超時的記錄。那么這種迭代進行查詢的方式在安全性上是否足夠有保障呢，實則不然，DNS服務在很多層面上并無身份認證設置，這使得DNS很容易就會被攻破實際生活中，DNS服務存在如下的漏洞：（1） NS沒有

6、提供認證機制：DNS服務本質上是通過客戶/服務器方式提供域名解析服務，但它自己沒有提供認證機制，查詢者在收到應答時無法確認應答信息的真假，這樣極易導致欺騙。同樣地每一臺DNS服務器也無法知道請求域名服務的主機或其他的DNS服務器是否合法，是否盜用了地址。（2） 超高速緩存：由于DNS服務器實際上是在存儲主機域名和IP地址的映射，這些是通過超高速緩存進行存儲的，當一個服務器收到有關的映射信息，ip和對應主機，就會把他們存入到高速緩存中，下一次若再遇到相同的請求時，則直接調用高速緩存中存儲的數據而不用訪問根DNS服務器，這種映射基于高速緩存，以時間單位進行更新，這一方面成為它的特色，另一方面也成為

7、弱點，由于正常映射的刷新時間都是有限的，因此一旦敵手在下次更新之前通過修改高速緩存的方式更改了映射，那么就可以方便的進行拒絕攻擊了。（3） DNS服務器管理軟件的漏洞：Berkeley Internet Name Daemon（BIND）是人們熟知的一款廣泛用于DNS服務器上的系統軟件，具有廣泛的使用基礎，然而，來自DIMAP/UFRN即北格蘭德聯邦大學等諸多機構對BIND的幾個版本進行了詳細的測試，證明了在BIND4以及BIND8上存在著嚴重的軟件BUG，攻擊者可以利用此漏洞進行攻擊。（4） 有的時候在配置上存在失誤：這也是很嚴重的一點，有的時候程序員防范意識不強，相關配置不注意，這很有可能

8、將主機的IP地址等重要信息直接泄露給攻擊者。 那么DNS面臨著什么樣的攻擊呢：（1） DDOS攻擊：一個正常的DNS查詢過程可能直接被敵手控制而成為一個DDOS攻擊。假設攻擊者已知被攻擊機器的IP地址，然后攻擊者使用該地址作為發送解析命令的源地址。這樣當使用DNS服務器遞歸查詢后，DNS服務器響應給最初用戶，而這個用戶正是被攻擊者。那么如果攻擊者控制了足夠多的肉雞，反復的進行如上操作，那么被攻擊者就會受到來自于DNS服務器的響應信息DDOS攻擊。（2） DNS緩存感染：攻擊者通過一定的DNS請求將數據放入一個具有漏洞的的DNS服務器的緩存當中。這些緩存信息，在用戶訪問此DNS服務器尋求IP的時

9、候將會直接返回，從而使得用戶不能到達正確的網頁，極易被引導進入敵手事先設計好的網站，或者通過偽造的郵件和其他的server服務獲取用戶口令信息，導致客戶遭遇進一步的侵害。（3） DNS信息劫持：原則上來講，TCP/IP協議嚴禁向內部添加仿冒數據，但是入侵者一旦監聽到了用戶和DNS服務器之間的通訊，了解了用戶和DNS服務器的ID，敵手就可以在用戶和真實的DNS服務器進行交互之前，冒充DNS服務器向用戶發送虛假消息，將用戶誘騙到之前設計的網站上。（4） DNS重定向：這種攻擊危害極大，將用戶直接惡意定向到敵手自己的DNS服務器上，從而直接把用戶的域名接續服務完全控制。（5） 本機劫持：通過木馬等方

10、式劫持計算機，干擾用戶進行DNS解析，將用戶引導至錯誤的IP。 那么DNS攻擊要怎么防范呢，其實根據DNS攻擊的特點，我們可以總結出防范DNS攻擊的方式：（1） 嚴格的系統配置：例如，隱藏BIND的版本號，讓敵手不能輕易查找到系統的漏洞，同時配置區域傳送，防止相關信息外泄（2） 使用雙DNS服務器，在內部用一個DNS服務器，這個服務器不在上級進行登記，也就是說在Internet上不可見，當遇到IP查詢請求時直接查詢返回，如果查詢不到則傳遞給外部DNS服務器，外部服務器詢問后再傳回來，之間架設防火墻。（3） 使用雙交叉檢驗：即當通過DNS服務器使用IP地址查詢到了目的主機時，目的主機再次回查查詢

11、源IP地址，若兩次查詢均成功則進行通訊，若兩次查詢結果不一致，則很有可能遭受DNS攻擊。 著名的DNS攻擊事件：（1） 事件1：百度遇DDOS攻擊事件       2006年09月12日17點30分，有北京、重慶等地的網友反映百度無法正常使用，出現Request timed out)的信息。這次攻擊使得百度搜索服務在全國各地出現了近30分鐘的故障。近乎使得整個百度網站在一段時間內完全癱瘓。隨后，百度技術部門及時反應，將問題解決并恢復百度服務。9月12日晚上11時37分，百度空間發表了針對不明攻擊事件的聲明。“今天下午，百度遭受有史以來最大規模的不明身份黑

12、客攻擊，導致百度搜索服務在全國各地出現了近30分鐘的故障。”（2） 事件2：新網DNS服務器遭到攻擊      2006年09月22日，新網對外做出證實DNS服務器遭到大規模黑客攻擊，從21日下午4點多開始持續到凌晨12點。盡管目前服務已經恢復正常，但是技術人員正在追蹤攻擊來源，并分析攻擊技術手段。新網是國內最大域名服務商之一，黑客持續8小時的攻擊，導致在新網注冊30%的網站無法正常訪問。其中包括天空軟件、艾瑞視點、中國網庫等知名網站。（3） 事件3：暴風影音事件2009年5月18日晚上22點左右，DNSPod主站及多個DNS服務器受超過10G流量的惡意攻擊。耗盡了整個機房約三分之一的帶寬資源，為了不影響機房其他用戶，最終導致DNS服務器被迫離線。該事件關聯導致了使用DNSPod進行解析的暴風影音程序頻繁的發生域名重新申請，產生請求風暴，大量積累的不斷訪問申請導致各地電信網絡負擔成倍增加，網絡出現堵塞。于2009年5月19日晚21時左右開始，江蘇、安徽、廣西、海南、甘肅、浙江六省陸續出現大規模網絡故障，很多互聯網用戶出現訪問互聯網速度變慢或者無法訪問網站等情況。在零點以前，部分地區運營商將