內(nèi)網(wǎng)域名系統(tǒng)的安全保密風(fēng)險研究

【摘 要】 在機(jī)關(guān)、單位內(nèi)網(wǎng)中，域名系統(tǒng)的安全問題往往會被忽視，因此逐漸成為木桶效應(yīng)的短板。本文介紹了域名系統(tǒng)的原理，比較了內(nèi)網(wǎng)域名系統(tǒng)和互聯(lián)網(wǎng)域名系統(tǒng)的差異，分析了內(nèi)網(wǎng)域名系統(tǒng)面臨的主要安全保密風(fēng)險，并提出改進(jìn)建議。

【關(guān)鍵詞】 內(nèi)網(wǎng) 域名系統(tǒng) 安全保密

1 引言

隨著信息化的不斷深入，機(jī)關(guān)、單位內(nèi)網(wǎng)業(yè)務(wù)不斷拓展，應(yīng)用不斷增多，為提高用戶使用體驗(yàn)，越來越多的單位在內(nèi)網(wǎng)中部署域名系統(tǒng)。

域名系統(tǒng)（Domain Name System，DNS）主要負(fù)責(zé)提供域名地址空間映射服務(wù)，將易于人類記憶的域名翻譯為易于機(jī)器識別的IP地址。域名系統(tǒng)就像電話號碼本，號碼本上的聯(lián)系人是域名，而聯(lián)系方式就是IP地址。所有的上網(wǎng)行為，除非直接通過IP地址訪問，瀏覽器第一步做的都是通過查詢域名服務(wù)器將域名轉(zhuǎn)換為IP地址，IP地址錯了，后面的報文生成、TCP連接、網(wǎng)絡(luò)包路由等都沒有意義。在互聯(lián)網(wǎng)中，域名系統(tǒng)是最重要的基礎(chǔ)設(shè)施之一，確保其安全可靠是保障網(wǎng)絡(luò)正常運(yùn)行的關(guān)鍵點(diǎn)；但在內(nèi)網(wǎng)中，由于更多的關(guān)注應(yīng)用系統(tǒng)、安全保密設(shè)備、網(wǎng)絡(luò)設(shè)備、終端設(shè)備等的安全，域名系統(tǒng)的安全性往往會被忽視，因此漸漸成為木桶效應(yīng)的那塊短板。

本文比較了內(nèi)網(wǎng)域名系統(tǒng)和互聯(lián)網(wǎng)域名系統(tǒng)的不同，分析了內(nèi)網(wǎng)域名系統(tǒng)面臨的主要安全保密風(fēng)險，并提出了一些相應(yīng)的安全保密措施。

2 域名系統(tǒng)

域名系統(tǒng)能實(shí)現(xiàn)域名與IP地址的快速映射與轉(zhuǎn)換，為了保證網(wǎng)絡(luò)中域名的唯一性，域名系統(tǒng)采用特殊的樹狀結(jié)構(gòu)以實(shí)現(xiàn)域名層次的劃分，每一個樹形節(jié)點(diǎn)都有不同的子節(jié)點(diǎn)，每一個域名都是從當(dāng)前節(jié)點(diǎn)讀到根節(jié)點(diǎn)路徑上所有節(jié)點(diǎn)標(biāo)記的點(diǎn)分順序連接的字符串，如圖1對應(yīng)的域名為“www.xxxxxx.org.cn.”。其中，最后的“.”（通常省略）為根域名，“.cn”為頂級域名，“.org”為二級域名，“.xxxxxx”為三級域名，“www”為主機(jī)名。上級域名服務(wù)器中維護(hù)著其名下所有次級域名的信息，如根域名服務(wù)器中維護(hù)所有頂級域名的域名和地址信息。

將域名解析為IP地址（域名解析）的過程是從根節(jié)點(diǎn)開始的，比如要查詢“www.xxxxxx.org.cn”這個域名的IP地址，首先向根域名服務(wù)器查詢“.cn”的地址，然后再向“.cn”頂級域名服務(wù)器查詢“.org”的地址，之后繼續(xù)向“.org”二級域名服務(wù)器查詢“.xxxxxx”的地址，最后向“.xxxxxx”三級域名服務(wù)器查詢“www”主機(jī)的IP地址，這個查詢的過程，稱為迭代查詢，而這些存儲著原始域名記錄信息的域名服務(wù)器又稱為權(quán)威域名服務(wù)器。

實(shí)際解析過程中，客戶端并不直接向權(quán)威域名服務(wù)器查詢域名，而是向部署在本地的域名服務(wù)器提交遞歸查詢請求，由本地域名服務(wù)器代為完成上述查詢過程，域名解析過程如圖2所示。本地域名服務(wù)器又稱遞歸解析服務(wù)器，一般由網(wǎng)絡(luò)運(yùn)營商部署、管理，其IP地址配置在客戶端的DNS地址中。同時，為提高查詢效率，遞歸解析服務(wù)器均開啟緩存功能，將最近的查詢結(jié)果存儲在本地高速緩存中，收到查詢請求后，先檢查數(shù)據(jù)是否在高速緩存中，若是，則直接返回查詢結(jié)果；若否，再繼續(xù)原查詢過程。存儲在高速緩存中的數(shù)據(jù)，為了確保不是過時的數(shù)據(jù)，其生命周期受TTL（Time To Live）值控制，超過TTL的緩存數(shù)據(jù)，會被清理掉。

3 內(nèi)網(wǎng)域名系統(tǒng)與互聯(lián)網(wǎng)域名系統(tǒng)的區(qū)別

內(nèi)網(wǎng)域名系統(tǒng)與互聯(lián)網(wǎng)域名系統(tǒng)的主要區(qū)別包括部署規(guī)模不同、解析過程不同、可控程度不同、日志量不同等。

3.1 部署規(guī)模不同

互聯(lián)網(wǎng)域名系統(tǒng)經(jīng)過幾十年的發(fā)展，已經(jīng)從一個簡單的查詢系統(tǒng)，逐步發(fā)展成為一個復(fù)雜的生態(tài)系統(tǒng)。目前，全球已有超過1000萬臺DNS服務(wù)器，從本質(zhì)上看，互聯(lián)網(wǎng)域名系統(tǒng)是規(guī)模龐大的全球分布式數(shù)據(jù)庫系統(tǒng)。

相對而言，內(nèi)網(wǎng)域名系統(tǒng)則比較簡單，無須解析海量的互聯(lián)網(wǎng)域名，只需解析有限的內(nèi)部域名。若是局域網(wǎng)，一般僅需部署主、輔2臺DNS服務(wù)器。2臺DNS服務(wù)器均是內(nèi)網(wǎng)的權(quán)威域名服務(wù)器，以絕對的權(quán)威回答內(nèi)網(wǎng)管轄域的任何查詢。主DNS服務(wù)器的域信息存儲在管理員構(gòu)造的本地磁盤文件（區(qū)域文件）中，該文件包含著該DNS服務(wù)器具有管理權(quán)的域結(jié)構(gòu)的最精確信息。輔DNS服務(wù)器用于為主服務(wù)器分擔(dān)負(fù)載，其從主DNS服務(wù)器下載和更新區(qū)域文件。因?yàn)椴恍枰�本地DNS服務(wù)器作為遞歸解析服務(wù)器再向其他DNS服務(wù)器查詢，因此內(nèi)網(wǎng)域名系統(tǒng)一般把本地DNS服務(wù)器就設(shè)置為根服務(wù)器。內(nèi)網(wǎng)若是規(guī)模特別大的廣域網(wǎng)，也可以分級部署，在中心節(jié)點(diǎn)部署根域名服務(wù)器。

3.2 解析過程不同

互聯(lián)網(wǎng)域名系統(tǒng)中，由廣泛部署于互聯(lián)網(wǎng)中的遞歸解析服務(wù)器為客戶端提供查詢服務(wù)，遞歸解析服務(wù)器從根域名開始，逐級查詢，直至查詢到目標(biāo)域名。

內(nèi)網(wǎng)域名系統(tǒng)的解析過程不需要那么復(fù)雜，客戶端直接向主/輔DNS服務(wù)器發(fā)送查詢請求，無論域名是否存在，都由主/輔DNS服務(wù)器直接返回權(quán)威解析數(shù)據(jù)，不需要再向其他DNS服務(wù)器進(jìn)行查詢，如圖3所示（內(nèi)網(wǎng)規(guī)模特別大，域名系統(tǒng)分級部署的除外）。同樣，主/輔DNS服務(wù)器一般也會開啟DNS緩存功能，域名已被緩存的，直接將緩存中的數(shù)據(jù)返回查詢客戶端。

3.3 可控程度不同

互聯(lián)網(wǎng)域名系統(tǒng)采用中心化管理模式，一直由美國主導(dǎo)。其中最高一級的根域名服務(wù)器分布嚴(yán)重失衡，共有13個根域名服務(wù)器：1個主根域名服務(wù)器、9個輔根域名服務(wù)器放置在美國，2個輔根域名服務(wù)器分別放置在歐洲的英國和瑞典，1個輔根域名服務(wù)器放置在亞洲的日本。輔根域名服務(wù)器中的根區(qū)域文件需與主根域名服務(wù)器保持一致。第二級的頂級域名，包括“國家和地區(qū)頂級域名”“通用頂級域名”“新增通用頂級域名”等，除“國家和地區(qū)頂級域名”由各國網(wǎng)絡(luò)信息中心負(fù)責(zé)管理外，其余的均由位于美國的國際互聯(lián)網(wǎng)絡(luò)名稱及編號分配公司（Internet Corporation for Assigned Names and Numbers，ICANN）管理。雖然自2016年以來，美國政府形式上完全移交了管理權(quán)，不再承擔(dān)相關(guān)審核和監(jiān)督職責(zé)，但美國在專家、技術(shù)和產(chǎn)業(yè)上依然具有優(yōu)勢，ICANN等也將繼續(xù)接受美國法律管轄，這種一家獨(dú)大的中心化管理模式給整個互聯(lián)網(wǎng)域名系統(tǒng)的穩(wěn)定運(yùn)行帶來潛在隱患。

在互聯(lián)網(wǎng)域名體系中，雖然“.cn”“.中國”等國家頂級域名由中國互聯(lián)網(wǎng)信息中心（CNNIC）管理，但頂級域名在很大程度上還要受制于根域名，可控性仍比較差。與互聯(lián)網(wǎng)域名系統(tǒng)的管理體制不同，內(nèi)網(wǎng)域名系統(tǒng)的建設(shè)、管理均掌握在內(nèi)網(wǎng)建設(shè)使用單位手中，無論是單級管理，還是兩級甚至多級管理，各級域名服務(wù)器均在內(nèi)網(wǎng)可控單位的管理之下，可控程度很高。

3.4 日志量不同

互聯(lián)網(wǎng)域名系統(tǒng)在域名解析過程中會產(chǎn)生海量日志，因?yàn)橛脩糁鲃影l(fā)起的DNS查詢，會連帶產(chǎn)生大量的被動DNS查詢。如當(dāng)使用瀏覽器進(jìn)入某個域名的網(wǎng)頁時，后臺可能會產(chǎn)生大量附加處理操作，會請求不同域名下的圖片、視頻、腳本等資源，而每次資源請求都會產(chǎn)生一次DNS查詢。大量的查詢導(dǎo)致產(chǎn)生海量日志。在某運(yùn)營商的網(wǎng)絡(luò)中，每天可以產(chǎn)生幾十TB級的DNS日志。

內(nèi)網(wǎng)域名系統(tǒng)的日志量要小得多，一方面內(nèi)網(wǎng)的客戶端數(shù)量規(guī)模有限，查詢的主體要少得多；另一方面，內(nèi)網(wǎng)中域名的數(shù)量有限，一般僅部署幾個至幾十個用于內(nèi)部辦公、業(yè)務(wù)工作的Web應(yīng)用、網(wǎng)站等。同時，頁面內(nèi)容也遠(yuǎn)沒有互聯(lián)網(wǎng)豐富，被動查詢較少。一般內(nèi)網(wǎng)域名系統(tǒng)每天產(chǎn)生的日志量在MB級。

4 內(nèi)網(wǎng)域名系統(tǒng)的安全保密風(fēng)險

內(nèi)網(wǎng)域名系統(tǒng)的不同特點(diǎn)決定了其安全問題也與互聯(lián)網(wǎng)域名系統(tǒng)不同，下面分析了一些常見安全問題在內(nèi)網(wǎng)域名系統(tǒng)中的安全保密風(fēng)險情況。

4.1 緩存投毒

緩存投毒主要針對的是遞歸解析服務(wù)器，攻擊者是利用遞歸解析服務(wù)器無法驗(yàn)證DNS數(shù)據(jù)真實(shí)性的特點(diǎn)，將虛假的DNS查詢回復(fù)寫入遞歸解析服務(wù)器的高速緩存中，同時為延長緩存中毒的時間，攻擊者還會將回復(fù)TTL設(shè)得足夠大，這樣客戶端向遞歸解析服務(wù)器查詢有關(guān)域名信息時，會命中高速緩存的中毒信息，導(dǎo)致客戶端收到錯誤的IP地址，訪問到攻擊者控制的服務(wù)器，造成用戶數(shù)據(jù)泄露。在內(nèi)網(wǎng)域名系統(tǒng)中，此種攻擊方式只適用于多級部署且DNS服務(wù)器開啟遞歸解析功能的情況，對于僅主、輔兩臺DNS服務(wù)器的單級部署方式，因?yàn)橹鳌⑤oDNS服務(wù)器不需要向其他DNS服務(wù)器查詢，因此一般不會緩存中毒。

4.2 DNS ID欺騙

域名解析采用基于UDP協(xié)議的數(shù)據(jù)報文進(jìn)行通信，且請求報文和響應(yīng)報文具有相同的數(shù)據(jù)結(jié)構(gòu)，如圖4所示。其中報文頭部的ID是DNS查詢應(yīng)答的唯一標(biāo)識，通常是隨機(jī)生成的。當(dāng)客戶端發(fā)起DNS查詢時，攻擊者可以在DNS服務(wù)器應(yīng)答前偽造同樣ID的響應(yīng)報文對客戶端進(jìn)行欺騙攻擊，其危害和緩存投毒一樣，都會使客戶端訪問到攻擊者控制的服務(wù)器，但其攻擊不如緩存中毒攻擊持久。

DNS ID攻擊需要獲取客戶端DNS請求報文頭部的ID，采用窮舉法顯然效率不高，通過監(jiān)聽客戶端網(wǎng)絡(luò)數(shù)據(jù)包或者采取ARP欺騙的方式，更容易實(shí)現(xiàn)，特別是攻擊者和客戶端在同一個內(nèi)網(wǎng)、同一個網(wǎng)段的情況下。

4.3 普通DDoS攻擊

分布式拒絕攻擊（DDoS）是網(wǎng)絡(luò)中最常見的攻擊方式，不僅域名系統(tǒng)，網(wǎng)絡(luò)中所有服務(wù)器都深受其害。其具體攻擊方式有多種，針對域名系統(tǒng)的DDoS攻擊最基本方法就是利用大量正常的DNS查詢請求來占用DNS服務(wù)器的網(wǎng)絡(luò)帶寬、CPU、內(nèi)存等資源，使得其他合法的DNS查詢得不到響應(yīng)。普通DDoS攻擊常常需要控制較多的傀儡主機(jī)完成飽和攻擊，如果查詢數(shù)量不足，不能覆蓋住DNS服務(wù)器的資源，就無法攻擊成功。由于內(nèi)網(wǎng)中本身客戶端數(shù)量就有限，再加上防護(hù)措施比較多，較難控制大量主機(jī)進(jìn)行DDoS攻擊。另外，DDoS攻擊只會導(dǎo)致DNS服務(wù)器性能下降，延遲提高，但查詢結(jié)果還是正確的，因此在內(nèi)網(wǎng)中的安全保密風(fēng)險較低。

4.4 DNS 放大攻擊

通常的DNS響應(yīng)報文只有幾十個字節(jié)，但特定查詢的DNS響應(yīng)報文卻可以很長，例如ANY類型、TXT類型或者EDNS0的DNS響應(yīng)報文可以上千甚至幾千個字節(jié)，響應(yīng)報文的長度是通常請求報文的幾十倍。DNS放大攻擊就是利用了這一特性，向DNS服務(wù)器發(fā)送大量此類查詢請求，DNS服務(wù)器將回復(fù)幾十倍的應(yīng)答流量，資源被更快地消耗。這種攻擊可以看作是普通DDoS攻擊的加強(qiáng)版，攻擊者可以用更少的查詢量、更快地攻癱DNS服務(wù)器。同普通DDoS攻擊一樣，由于內(nèi)網(wǎng)中可控制的主機(jī)數(shù)量有限，要成功完成此類攻擊，有一定的難度。

4.5 DNS反射攻擊和反射放大攻擊

DNS反射攻擊是利用DNS服務(wù)器的響應(yīng)報文攻擊客戶端或遞歸解析服務(wù)器的攻擊方式。攻擊者利用傀儡主機(jī)向多個DNS服務(wù)器（反射體）發(fā)起大量的DNS查詢請求，查詢請求的源IP地址偽造為受害客戶端或遞歸解析服務(wù)器的IP地址，這樣DNS服務(wù)器返回的響應(yīng)結(jié)果流量就會全部打到受害客戶端或遞歸解析服務(wù)器上，迅速消耗其資源，導(dǎo)致無法提供服務(wù)。

DNS反射攻擊通常結(jié)合DNS放大攻擊一起使用，即反射放大攻擊，發(fā)起大量偽造源IP地址的、會放大響應(yīng)報文的DNS查詢請求，以增強(qiáng)攻擊效果，這種方式往往比普通DDoS攻擊更有效。

由于反射攻擊和反射放大攻擊都需要足夠多的反射體（即DNS服務(wù)器）來響應(yīng)查詢請求，而內(nèi)網(wǎng)中DNS服務(wù)器的規(guī)模數(shù)量要比互聯(lián)網(wǎng)中小得多，因此這兩類攻擊的在內(nèi)網(wǎng)中發(fā)生的概率較低。

4.6 DNS日志泄露

DNS服務(wù)器日志中含有客戶端請求域名解析的記錄，一般包括日期、時間戳、請求源IP地址和端口號、請求域名、解析記錄等信息。內(nèi)網(wǎng)域名系統(tǒng)中，請求源IP地址就是客戶端真實(shí)的IP地址，這樣，DNS日志記錄就提供了一個完整的存活主機(jī)列表。在內(nèi)網(wǎng)中，各種掃描工具會被嚴(yán)格限制，如果能夠訪問到DNS服務(wù)器日志，就代替掃描工具拿到了存活主機(jī)列表，完成了網(wǎng)絡(luò)滲透攻擊的第一步。

互聯(lián)網(wǎng)域名系統(tǒng)中，在使用IPv4的情況下，一是因?yàn)榈刂房臻g有限，客戶端訪問互聯(lián)網(wǎng)時，會進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換，因此遞歸解析服務(wù)器日志中的請求源IP地址并不是客戶端的真實(shí)地址（IPv6環(huán)境下，IP地址不再是緊缺資源，客戶端訪問互聯(lián)網(wǎng)不進(jìn)行地址轉(zhuǎn)換，遞歸解析服務(wù)器上存儲的就是真實(shí)的客戶端IP地址）；二是域名解析是由遞歸解析服務(wù)器代替客戶端向權(quán)威域名服務(wù)器查詢的，因此權(quán)威域名服務(wù)器上的DNS日志，請求源IP地址為遞歸解析服務(wù)器的IP地址，不是客戶端IP地址；三是互聯(lián)網(wǎng)域名系統(tǒng)的DNS服務(wù)器中有海量的DNS日志，日志分析利用的難度比較大，因此安全保密隱患相對較低。

DNS協(xié)議設(shè)計之初沒有過多考慮安全問題，為提高效率，幾乎所有DNS流量都是基于明文傳輸?shù)�，沒有采取保護(hù)措施。因此通過鏈路監(jiān)聽的方式，也可以分析出請求源IP地址、查詢的域名等信息，甚至可以通過監(jiān)聽DNS響應(yīng)報文，獲取服務(wù)器的IP地址列表。

4.7 主/輔部署不當(dāng)

內(nèi)網(wǎng)域名系統(tǒng)通常以主/輔方式部署DNS服務(wù)器，當(dāng)其中某一臺服務(wù)器不能工作時，另一臺服務(wù)器仍然可以提供解析服務(wù)。然而實(shí)際部署中，主、輔DNS服務(wù)器常常位于同一網(wǎng)段、同一防火墻后、同一物理地點(diǎn)，不能有效防止區(qū)域性突發(fā)事件造成的服務(wù)中斷（例如網(wǎng)絡(luò)中斷、電力中斷、防火墻擁塞等），具有潛在的可用性問題。在互聯(lián)網(wǎng)域名系統(tǒng)中，域名系統(tǒng)是關(guān)鍵基礎(chǔ)設(shè)施，無論是遞歸解析服務(wù)器，還是權(quán)威域名服務(wù)器，都部署了大量的輔服務(wù)器或鏡像服務(wù)器，此方面的安全隱患較低。

4.8 匿名區(qū)域文件傳輸

區(qū)域傳輸用于主、輔DNS服務(wù)器之間的數(shù)據(jù)更新和備份。例如，當(dāng)主DNS服務(wù)器上的權(quán)威記錄發(fā)生變化時，輔DNS服務(wù)器通過區(qū)域傳輸?shù)姆绞綇闹鱀NS服務(wù)器下載區(qū)域文件的完整副本，以保持?jǐn)?shù)據(jù)一致。在具體實(shí)現(xiàn)上，區(qū)域傳輸采用客戶端-服務(wù)器的形式進(jìn)行，客戶端發(fā)送一個axfr（異步完整區(qū)域傳輸）類型的DNS查詢請求，通過TCP連接從服務(wù)器端獲取完整的區(qū)域文件。

區(qū)域文件為域名服務(wù)器的敏感數(shù)據(jù)，應(yīng)該嚴(yán)格保護(hù)，避免泄露，因此，異步完整區(qū)域傳輸應(yīng)當(dāng)僅允許在受信任的DNS服務(wù)器之間進(jìn)行。但內(nèi)網(wǎng)中，由于和外部網(wǎng)絡(luò)隔離，此方面防范經(jīng)常疏忽，DNS服務(wù)器常配置不當(dāng)，任意匿名主機(jī)都可以利用異步完整區(qū)域傳輸獲取完整區(qū)域文件，暴露網(wǎng)絡(luò)中的信息，加快滲透攻擊進(jìn)程。

4.9 匿名區(qū)域文件更新

主DNS服務(wù)器的區(qū)域文件更新可通過運(yùn)維主機(jī)編輯服務(wù)器上的區(qū)域文件完成，運(yùn)維主機(jī)通過update請求完成對區(qū)域文件的修改。這個操作也應(yīng)當(dāng)僅允許在受信任的主機(jī)和DNS服務(wù)器之間進(jìn)行，但內(nèi)網(wǎng)中，有時為了便利操作，DNS服務(wù)器會開放配置，任意匿名主機(jī)都可以更新，這樣攻擊者可以通過構(gòu)造惡意的update請求對區(qū)域文件進(jìn)行任意修改，將域名解析地址更改為攻擊者控制的IP地址，以便開展下一步竊密行為。

綜上，本文列舉了一些常見安全問題在內(nèi)網(wǎng)域名系統(tǒng)中的安全保密風(fēng)險情況，另外，還有一些老生常談的DNS服務(wù)器操作系統(tǒng)配置不完善、DNS軟件（Linux系統(tǒng)的BIND、Windows系統(tǒng)的DNS服務(wù)系統(tǒng)組件）配置不完善等風(fēng)險，以及一些在內(nèi)網(wǎng)域名系統(tǒng)出現(xiàn)概率非常低的安全保密風(fēng)險，如相似域名欺騙、偽造DNS服務(wù)器、無效域名查詢攻擊等，就不再一一贅述。表1比較了內(nèi)網(wǎng)域名系統(tǒng)和互聯(lián)網(wǎng)域名系統(tǒng)一些安全保密風(fēng)險發(fā)生的概率。

5 有關(guān)防護(hù)措施建議

為降低內(nèi)網(wǎng)域名系統(tǒng)的安全保密風(fēng)險，可以采取如下幾種防護(hù)措施。

（1）合理的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計，在DNS服務(wù)器前部署防火墻、IPS等防護(hù)設(shè)備，對網(wǎng)絡(luò)流量進(jìn)行過濾、清洗；主DNS服務(wù)器和輔DNS服務(wù)器位于不同的網(wǎng)段，部署在不同防火墻后，條件允許的，放置在不同的樓宇；對網(wǎng)絡(luò)合理進(jìn)行分段，在網(wǎng)絡(luò)中部署設(shè)備接入控制系統(tǒng)。

（2）部署DNS安全拓展協(xié)議（Domain Name System Security Extensions，DNSSEC），DNSSEC采用數(shù)字簽名的方式解決了域名解析記錄傳輸中的安全問題，可以有效防范緩存投毒和DNS ID欺騙等攻擊。

（3）加強(qiáng)防火墻的配置，僅開放必要服務(wù)和端口，如DNS服務(wù)、TCP和UDP的53號端口（未修改DNS服務(wù)端口號的情況下）。

（4）DNS服務(wù)器應(yīng)配置高性能的硬件，確保不被DDoS攻擊輕易攻癱；操作系統(tǒng)僅開放必要服務(wù)和端口，啟用偽根目錄，并部署入侵檢測、防病毒軟件等防護(hù)系統(tǒng)；嚴(yán)格限制對DNS日志、區(qū)域傳輸文件的訪問權(quán)限。

（5）完善DNS軟件的配置，包括及時更新版本、限制域名解析的源IP地址、隱藏DNS軟件版本等。

6 結(jié)語

內(nèi)網(wǎng)域名系統(tǒng)的安全保密風(fēng)險問題常常被忽視，本文介紹了域名系統(tǒng)的原理，比較了內(nèi)網(wǎng)域名系統(tǒng)和互聯(lián)網(wǎng)域名系統(tǒng)的不同，分析了內(nèi)網(wǎng)域名系統(tǒng)面臨的主要安全保密風(fēng)險，并給出了一些改進(jìn)建議。

下一步，隨著內(nèi)網(wǎng)規(guī)模的不斷擴(kuò)大，特別是國家電子政務(wù)內(nèi)網(wǎng)的建成、擴(kuò)展，在電子政務(wù)內(nèi)網(wǎng)中構(gòu)建國家級可信內(nèi)網(wǎng)域名體系的需求越來越迫切，內(nèi)網(wǎng)域名系統(tǒng)會成為內(nèi)網(wǎng)的核心基礎(chǔ)設(shè)施，其安全問題將會越來越被關(guān)注。

 

（原載于《保密科學(xué)技術(shù)》雜志2020年10月刊）