DNS攻击和防护

DNS攻击和防护 DNS 2012-07-13################2012-07-13########2012-07-13######## 何斌颖 (云南爱因森软件职业学院65170)1 昆明杨林 摘 要 DNS作为因特网重要的服务器 ，其安全性和稳定性直接关系到服务质量。掌握针对 DNS的攻击手段及防护方法是非常必 要的，安全厂商也为DN S服务器的安全提供了很多产品 。 攻击手段防护技术关键词 DNS 中图分类号 G250 文献标识码 A 文章编号 110501-5767 DNS ins pe ction a nd prote ction H e Binying 651701) (YunnanE insun software colledge DNS serveirs one of the mosti mportant serverso n Internet,the more stable the more better.Themreany are Abstract production for the DNS serveserc urity. DNS Web site Inspection Ptotection Keywords 一DNS 基础概念 、 DNS:全称为 Doman NameS ystem，即域名服务系统，是互联 i 网的重要基础设施，完成了域名到 IP 地址的映射功能IP 地址 。 作为因特网识别个人电脑和服务器等网络设备的身份标识，大 家都知道其组成是一串阿拉伯数字，如:192.168.1.2/2(4Pv4)， I 如果是 IPv6 则更长，如:2002:DB8:0:0:8:800:200C:417A我 。 们要记住一个数字比较容易，但是要长期记住一长串数字将对 每个人来说是一个很大的考验，因此域名服务器就显得非常重 要，当域名服务器把一个 IP 地址映射成如:www.taobao.com.cn 我们会很容易记住的我们来看看因特网发展情况: 。 图 2 DNS 结构图 接下来我们来看个人用户访问因特网的某个网站的整个流 图 1 中国网民规模与普及率 从图 1 可以看出来，中国的互联网用户数量发展神速，从 2005 年到 2010 年 5 年间，用户翻了4 倍，达到了 4 亿多。 整个 DNS系统采用分布式多级树状结构 ，1.用户，域名查 询的发起端;2.域名缓存服务器，接受用户请求;3.域名服务器， 2012-07-13################2012-07-13########2012-07-13######## 程，个人用户访问某个网站，如www:.test.com，首先向企业或电 > 信息收集 信的 DNS 服务器请求 www.test.com的 IP 地址，域名服务器在自 DNS的攻击分类: 己缓存中进行查找，如果存在则返回地址，否则往上级域名服务 1传统 DDOS、器进行查询，一直到根域名服务器;用户获得IP 地址后才能继 续访问 。 我们从以上可以看出 DNS 服务器在网络中占有非常重要 的作用，不可或缺，因此其安全性显得非常的重要。但是 DNS 由 于其技术原理存在许多的缺点: 1DNS 主要使用无连接的 UDP 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 明文传送，很容易伪造 、 投毒 2、INTERNET 的 DNS 体系无法承受加密带来的开销和技 术升级的成本 3、DNS 服务器软件漏洞 4、明文传输的 DNS不具备任何保密性 5、DNS 易成为暴露用户行为的工具 6、迭代查询，对根域与顶级域服务器依赖非常严重大面积 网络中断，或者因为 DNS变慢 ，上网变慢;用户被欺 图 4 传统的 DDOS攻击 骗，丢失机密信息(身份、账号、密码)或者中木马，都会影响到企 2、DNS 特定 DDOS攻击 业或者运营商的服务质量和信誉，因此保障 DNS 服务器的安全 是作为企业和运营商必不可少的部署设备和技术手段之一，保 障 DNS服务器的稳定是维护信誉的重要措施 。 二、DNS 安全威胁 我们来看看几件造成比较大的影响的域名安全事件: - 2009 年 5 月 19 日，域名免费托管组织DNS Pod遭 受 DDoS攻击 ，加上暴风影音软件存在的问题，导致了中国六省长 时间断网事件 。 - 2009 年 10 月 12 日，瑞典当地时间21 点 45 分，由于在日 常维护中不正确的软件升级，顶级域名.se 出现故障，导致整个 瑞典互联网几乎完全瘫痪，所有的.se 网站都无法访问 。 - 2009 年 8 月 26 日，波多黎各主要的域名注册机构遭受长 达几个小时的攻击，造成G oogle，Microsoft，Yahoo，Coca- Cola 图 5 DNS Que ry Flood 攻击 等多家大公司的网站被重定向到某恶意网站。 3、DNS 投毒 - 2010 年 1 月 12 日，知名搜索引擎公司百度DN S被劫持 ， 造成其网站数小时内无法被访问。 - 2010 年 3 月 24 日，维基百科 Wikimedia 的 DNS 在做服 务切换时发生配置错误，致使欧洲用户数小时无法访问维基百 科网站。 - 2010 年 8 月 7 日，国际知名 DNS 服务提供者 DNS Made Easy 遭受 DDoS 攻击，造成 1.5 小时的服务宕机。 分析 定性数据统计分析pdf销售业绩分析模板建筑结构震害分析销售进度分析表京东商城竞争战略分析 发现 DDoS 的攻击流量高达 50Gbps，而针对 DNS 的攻击流量历史最 高为 49Gbps 。 DNS的攻击有以下几种方法: 1、DNS 欺骗 图 6 DNS 投毒 > 缓存投毒 >DNS劫持 DNS的攻 击不管利用哪种手段，就是消耗服务器的资源， 2、拒绝服务造成正常网络流量服务滞缓，用户请求丢失或者不能得到及时 >DDOS攻击 的回应 。 > 流量异常 三、DNS 的传统防护 3系统渗透、 对 DNS服务器的防护传统上有以下几种方法: > 溢出攻击 1、DNS 扩容，增加 DNS QPS 2、负载均衡设备 2、安全域名缓存 如某厂商的 ADS- D 系列的 DNS专项防护系统，内置了安 3、DNS 系统评估和补丁加固 全域名缓存模块，这是DN S专项防护产品中重要的一项安全技 4防火墙、 术。ADS- D 对于旁路镜像或者分光的 DNS数据流量进行解析， 5安全的 DNSB IND 服务器、 6DNSSEC 、在系统中存储包括客户端域名查询过程的相关信息(如域名IP 、 传统的防护手段有不足之处，如:当DN S 服务器服务能力 地址、时间、数量等)、服务器域名请求过程信息(如迭代服务器 不足采取扩容的手段，暂时能缓解服务能力的问题，但是对于攻 名称、查询路径、结果信息等)以及包括流量信息等其他 DNS相 击者来说，对付扩容只需加大攻击流量，调动更多的肉机和僵尸 关信息，形成DN S域名安全 数据缓存数据库，这也是 DNS 专项 网络即可。对系统进行加固和补丁非常必要，有效加强系统的健 防护设备同其他非专项防护产品的重要区别之一 。壮性;但首先需要维护人员主动发现漏洞后进行修复，无法应对 利用安全域名缓存，可以协助进行 DNS 应用层 DDoS 攻击 0day攻击 ，更无法根本解决投毒等攻击;对DD oS 防护根本不起 判断、对 DNS 的 ID/Port 等碰撞投毒攻击的检测，同时还可以实 作用防火墙等设备主要定位是企业网分域隔离，可以 对DNS 。现诸如域名解析加速、Fast Flux 检测、域名锁定和控制、域名分 做 ACL 等访问控制，但对DN S 投毒等专门的攻击无能为力，相 析、域名保护、重点域名容灾等功能，从而实现域名容错类安全 反其连接 表 关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf 等机制本身是 DDoS 攻击的目标之一而负载均衡 。问题的防护。 设备基本没有安全功能，所有安全攻击都可以进入;复杂的负 3、DNS 投毒检控 载均衡分配算法所限，很多时候首先被DD oS 攻瘫痪的不是 DNS 投毒是继 DDoS 之后的，DNS 服务器面临的第二大安 DNS服务器 ，而是负载均衡设备自身。 全威胁，现阶段DN S 投毒包括如 ID 检查机制投毒源端口非随 、 目前来讲安全 DNS 有一定的作用，但是依赖厂商的安全能 机性投毒、生日攻击投毒、粘合投毒等各种攻击手法，绿盟科技 力，现阶段做 DNS 服务器的厂商还没有一家安全厂商;抗 的 ADS- D 系列的 DNS 专项防护系统利用安全域名缓存、缓存 DDoS 很难由 DNS 服务器自身增加模块进行防护。DNSSEC 有 锁定机制、以及特征库识别等方式可以有效的检测、防御 DNS 效的解决 DNS 之间安全互信的问题，但种种原因导致尚不能大 投毒过程，从而为DN S的域名安全和正确解析提供保障 。规模统一部署，从攻防角度上，软件新模块的引入，本身会增加 4、DNS 监控模块 新的攻击机会。 DNS监控模块 可以让 DNS服务器的运维人员轻松的获取 DNS的运行信息，并随 时分析 DNS运行中的安全威胁趋势变 四、安全产品厂商的 DNS 防护技术 化，接受 DNS安全事件的告 警，从而全面掌控 DNS 的运行安全 DNS安全防护应 该是一个系统的、全方位的概念，延事件 问题。其监控内容包括 DNS查询监控和报 表、DNS 回应监控和 轴，可以分为采用事前评估加固、事中实时防御、事后分析取证 报表、DNS 查询类型的监控报表、DNS 流量监控和报表、接口监 的三个阶段。从纵深防护来说，如下图，从物理层到应用数据层， 控和报表、DNS TOPN查询 、异常流量检测、投毒监测、Fast- Flux 以及安全评估、安全防护和安全运维的多个维度。 监测报告、cache 命中率统计、某时间段内域名 - IP 数据报告等。 除了可以实现上述安全机制外，利用安全域名缓存的数据 信 息，DNS 监控模块可以进一步分析实现域名数据发掘，例如 分 析用户上网行为特征某网站的访问倾向性和访问统计等，为 、 未来的广告推送、网站改进等增值业务提供数据支撑。 损失，因此压缩 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 必须选择无损的。如果在基于网络传输 的系统中，受到诸如带宽、功率和物理存储器的限制，则只需要 保证文本可读性，使用有损压缩来提高压缩比COT 方法提供 。 了有损和无损自由选择的灵活度。 五、DNS 安全产品的部署方式 专项防护产品可以支持串联模式，也可以支持旁路部署方 图 7 DNS 安全防护体系 式。特别是旁路部署模式可以避免引入新设备造成的软件和硬 这些技术主要包括: 件故障点的问题在正常情况下，DNS 安全产品主要用来作为 。 1、DNS 专项 DDoS 防护模块 安全监控设备，一旦发生安全问题，可以由管理员手工或者自动 在 5.19 的全国性的 DNS 中断事件之后，大量新型的针对 的方式将 DNS流量牵引 到 DNS安全防护设备上，并进行威胁 DNS 的 DDoS攻击开始出现，例如伪造 源 IP DNS 攻击、DNS 畸 的清除和清洗。 形包 DoS 攻击随机域名 DNS Query lFood 等攻击，这类攻击通 、参考文献 [1] ADS- D 产品白皮书. 常流量非常小，攻击特征不明显，对于广泛部署于城域网的 [2] 绿盟科技发力 DNS 防护布局域名安全 J.软件和信息 []DDoS 流量清洗系统来说，其部署位置的限制，很难有效的处理 服务 2010 11 期. 此类 DDoS攻 击。但是这种攻击对于 DNS 服务器来说，由于自 作者简介 何斌颖(1974~)，女，身的查询容量有限，这些小流量的DN S 专项攻击则可以产生同 讲师 。大流量攻击同等的效果。 Your requestcould not be processed becauseof a configurationerror: "Could not connect to LDAPserver." For assistance,contact your network support team.