【摘 要】 在機(jī)關(guān)、單位內(nèi)網(wǎng)中,域名系統(tǒng)的安全問(wèn)題往往會(huì)被忽視,因此逐漸成為木桶效應(yīng)的短板。本文介紹了域名系統(tǒng)的原理,比較了內(nèi)網(wǎng)域名系統(tǒng)和互聯(lián)網(wǎng)域名系統(tǒng)的差異,分析了內(nèi)網(wǎng)域名系統(tǒng)面臨的主要安全保密風(fēng)險(xiǎn),并提出改進(jìn)建議。
【關(guān)鍵詞】 內(nèi)網(wǎng) 域名系統(tǒng) 安全保密
1 引言
隨著信息化的不斷深入,機(jī)關(guān)、單位內(nèi)網(wǎng)業(yè)務(wù)不斷拓展,應(yīng)用不斷增多,為提高用戶(hù)使用體驗(yàn),越來(lái)越多的單位在內(nèi)網(wǎng)中部署域名系統(tǒng)。
域名系統(tǒng)(Domain Name System,DNS)主要負(fù)責(zé)提供域名地址空間映射服務(wù),將易于人類(lèi)記憶的域名翻譯為易于機(jī)器識(shí)別的IP地址。域名系統(tǒng)就像電話(huà)號(hào)碼本,號(hào)碼本上的聯(lián)系人是域名,而聯(lián)系方式就是IP地址。所有的上網(wǎng)行為,除非直接通過(guò)IP地址訪問(wèn),瀏覽器第一步做的都是通過(guò)查詢(xún)域名服務(wù)器將域名轉(zhuǎn)換為IP地址,IP地址錯(cuò)了,后面的報(bào)文生成、TCP連接、網(wǎng)絡(luò)包路由等都沒(méi)有意義。在互聯(lián)網(wǎng)中,域名系統(tǒng)是最重要的基礎(chǔ)設(shè)施之一,確保其安全可靠是保障網(wǎng)絡(luò)正常運(yùn)行的關(guān)鍵點(diǎn);但在內(nèi)網(wǎng)中,由于更多的關(guān)注應(yīng)用系統(tǒng)、安全保密設(shè)備、網(wǎng)絡(luò)設(shè)備、終端設(shè)備等的安全,域名系統(tǒng)的安全性往往會(huì)被忽視,因此漸漸成為木桶效應(yīng)的那塊短板。
本文比較了內(nèi)網(wǎng)域名系統(tǒng)和互聯(lián)網(wǎng)域名系統(tǒng)的不同,分析了內(nèi)網(wǎng)域名系統(tǒng)面臨的主要安全保密風(fēng)險(xiǎn),并提出了一些相應(yīng)的安全保密措施。
2 域名系統(tǒng)
域名系統(tǒng)能實(shí)現(xiàn)域名與IP地址的快速映射與轉(zhuǎn)換,為了保證網(wǎng)絡(luò)中域名的唯一性,域名系統(tǒng)采用特殊的樹(shù)狀結(jié)構(gòu)以實(shí)現(xiàn)域名層次的劃分,每一個(gè)樹(shù)形節(jié)點(diǎn)都有不同的子節(jié)點(diǎn),每一個(gè)域名都是從當(dāng)前節(jié)點(diǎn)讀到根節(jié)點(diǎn)路徑上所有節(jié)點(diǎn)標(biāo)記的點(diǎn)分順序連接的字符串,如圖1對(duì)應(yīng)的域名為“www.xxxxxx.org.cn.”。其中,最后的“.”(通常省略)為根域名,“.cn”為頂級(jí)域名,“.org”為二級(jí)域名,“.xxxxxx”為三級(jí)域名,“www”為主機(jī)名。上級(jí)域名服務(wù)器中維護(hù)著其名下所有次級(jí)域名的信息,如根域名服務(wù)器中維護(hù)所有頂級(jí)域名的域名和地址信息。
將域名解析為IP地址(域名解析)的過(guò)程是從根節(jié)點(diǎn)開(kāi)始的,比如要查詢(xún)“www.xxxxxx.org.cn”這個(gè)域名的IP地址,首先向根域名服務(wù)器查詢(xún)“.cn”的地址,然后再向“.cn”頂級(jí)域名服務(wù)器查詢(xún)“.org”的地址,之后繼續(xù)向“.org”二級(jí)域名服務(wù)器查詢(xún)“.xxxxxx”的地址,最后向“.xxxxxx”三級(jí)域名服務(wù)器查詢(xún)“www”主機(jī)的IP地址,這個(gè)查詢(xún)的過(guò)程,稱(chēng)為迭代查詢(xún),而這些存儲(chǔ)著原始域名記錄信息的域名服務(wù)器又稱(chēng)為權(quán)威域名服務(wù)器。
實(shí)際解析過(guò)程中,客戶(hù)端并不直接向權(quán)威域名服務(wù)器查詢(xún)域名,而是向部署在本地的域名服務(wù)器提交遞歸查詢(xún)請(qǐng)求,由本地域名服務(wù)器代為完成上述查詢(xún)過(guò)程,域名解析過(guò)程如圖2所示。本地域名服務(wù)器又稱(chēng)遞歸解析服務(wù)器,一般由網(wǎng)絡(luò)運(yùn)營(yíng)商部署、管理,其IP地址配置在客戶(hù)端的DNS地址中。同時(shí),為提高查詢(xún)效率,遞歸解析服務(wù)器均開(kāi)啟緩存功能,將最近的查詢(xún)結(jié)果存儲(chǔ)在本地高速緩存中,收到查詢(xún)請(qǐng)求后,先檢查數(shù)據(jù)是否在高速緩存中,若是,則直接返回查詢(xún)結(jié)果;若否,再繼續(xù)原查詢(xún)過(guò)程。存儲(chǔ)在高速緩存中的數(shù)據(jù),為了確保不是過(guò)時(shí)的數(shù)據(jù),其生命周期受TTL(Time To Live)值控制,超過(guò)TTL的緩存數(shù)據(jù),會(huì)被清理掉。
3 內(nèi)網(wǎng)域名系統(tǒng)與互聯(lián)網(wǎng)域名系統(tǒng)的區(qū)別
內(nèi)網(wǎng)域名系統(tǒng)與互聯(lián)網(wǎng)域名系統(tǒng)的主要區(qū)別包括部署規(guī)模不同、解析過(guò)程不同、可控程度不同、日志量不同等。
3.1 部署規(guī)模不同
互聯(lián)網(wǎng)域名系統(tǒng)經(jīng)過(guò)幾十年的發(fā)展,已經(jīng)從一個(gè)簡(jiǎn)單的查詢(xún)系統(tǒng),逐步發(fā)展成為一個(gè)復(fù)雜的生態(tài)系統(tǒng)。目前,全球已有超過(guò)1000萬(wàn)臺(tái)DNS服務(wù)器,從本質(zhì)上看,互聯(lián)網(wǎng)域名系統(tǒng)是規(guī)模龐大的全球分布式數(shù)據(jù)庫(kù)系統(tǒng)。
相對(duì)而言,內(nèi)網(wǎng)域名系統(tǒng)則比較簡(jiǎn)單,無(wú)須解析海量的互聯(lián)網(wǎng)域名,只需解析有限的內(nèi)部域名。若是局域網(wǎng),一般僅需部署主、輔2臺(tái)DNS服務(wù)器。2臺(tái)DNS服務(wù)器均是內(nèi)網(wǎng)的權(quán)威域名服務(wù)器,以絕對(duì)的權(quán)威回答內(nèi)網(wǎng)管轄域的任何查詢(xún)。主DNS服務(wù)器的域信息存儲(chǔ)在管理員構(gòu)造的本地磁盤(pán)文件(區(qū)域文件)中,該文件包含著該DNS服務(wù)器具有管理權(quán)的域結(jié)構(gòu)的最精確信息。輔DNS服務(wù)器用于為主服務(wù)器分擔(dān)負(fù)載,其從主DNS服務(wù)器下載和更新區(qū)域文件。因?yàn)椴恍枰镜谼NS服務(wù)器作為遞歸解析服務(wù)器再向其他DNS服務(wù)器查詢(xún),因此內(nèi)網(wǎng)域名系統(tǒng)一般把本地DNS服務(wù)器就設(shè)置為根服務(wù)器。內(nèi)網(wǎng)若是規(guī)模特別大的廣域網(wǎng),也可以分級(jí)部署,在中心節(jié)點(diǎn)部署根域名服務(wù)器。
3.2 解析過(guò)程不同
互聯(lián)網(wǎng)域名系統(tǒng)中,由廣泛部署于互聯(lián)網(wǎng)中的遞歸解析服務(wù)器為客戶(hù)端提供查詢(xún)服務(wù),遞歸解析服務(wù)器從根域名開(kāi)始,逐級(jí)查詢(xún),直至查詢(xún)到目標(biāo)域名。
內(nèi)網(wǎng)域名系統(tǒng)的解析過(guò)程不需要那么復(fù)雜,客戶(hù)端直接向主/輔DNS服務(wù)器發(fā)送查詢(xún)請(qǐng)求,無(wú)論域名是否存在,都由主/輔DNS服務(wù)器直接返回權(quán)威解析數(shù)據(jù),不需要再向其他DNS服務(wù)器進(jìn)行查詢(xún),如圖3所示(內(nèi)網(wǎng)規(guī)模特別大,域名系統(tǒng)分級(jí)部署的除外)。同樣,主/輔DNS服務(wù)器一般也會(huì)開(kāi)啟DNS緩存功能,域名已被緩存的,直接將緩存中的數(shù)據(jù)返回查詢(xún)客戶(hù)端。
3.3 可控程度不同
互聯(lián)網(wǎng)域名系統(tǒng)采用中心化管理模式,一直由美國(guó)主導(dǎo)。其中最高一級(jí)的根域名服務(wù)器分布嚴(yán)重失衡,共有13個(gè)根域名服務(wù)器:1個(gè)主根域名服務(wù)器、9個(gè)輔根域名服務(wù)器放置在美國(guó),2個(gè)輔根域名服務(wù)器分別放置在歐洲的英國(guó)和瑞典,1個(gè)輔根域名服務(wù)器放置在亞洲的日本。輔根域名服務(wù)器中的根區(qū)域文件需與主根域名服務(wù)器保持一致。第二級(jí)的頂級(jí)域名,包括“國(guó)家和地區(qū)頂級(jí)域名”“通用頂級(jí)域名”“新增通用頂級(jí)域名”等,除“國(guó)家和地區(qū)頂級(jí)域名”由各國(guó)網(wǎng)絡(luò)信息中心負(fù)責(zé)管理外,其余的均由位于美國(guó)的國(guó)際互聯(lián)網(wǎng)絡(luò)名稱(chēng)及編號(hào)分配公司(Internet Corporation for Assigned Names and Numbers,ICANN)管理。雖然自2016年以來(lái),美國(guó)政府形式上完全移交了管理權(quán),不再承擔(dān)相關(guān)審核和監(jiān)督職責(zé),但美國(guó)在專(zhuān)家、技術(shù)和產(chǎn)業(yè)上依然具有優(yōu)勢(shì),ICANN等也將繼續(xù)接受美國(guó)法律管轄,這種一家獨(dú)大的中心化管理模式給整個(gè)互聯(lián)網(wǎng)域名系統(tǒng)的穩(wěn)定運(yùn)行帶來(lái)潛在隱患。
在互聯(lián)網(wǎng)域名體系中,雖然“.cn”“.中國(guó)”等國(guó)家頂級(jí)域名由中國(guó)互聯(lián)網(wǎng)信息中心(CNNIC)管理,但頂級(jí)域名在很大程度上還要受制于根域名,可控性仍比較差。與互聯(lián)網(wǎng)域名系統(tǒng)的管理體制不同,內(nèi)網(wǎng)域名系統(tǒng)的建設(shè)、管理均掌握在內(nèi)網(wǎng)建設(shè)使用單位手中,無(wú)論是單級(jí)管理,還是兩級(jí)甚至多級(jí)管理,各級(jí)域名服務(wù)器均在內(nèi)網(wǎng)可控單位的管理之下,可控程度很高。
3.4 日志量不同
互聯(lián)網(wǎng)域名系統(tǒng)在域名解析過(guò)程中會(huì)產(chǎn)生海量日志,因?yàn)橛脩?hù)主動(dòng)發(fā)起的DNS查詢(xún),會(huì)連帶產(chǎn)生大量的被動(dòng)DNS查詢(xún)。如當(dāng)使用瀏覽器進(jìn)入某個(gè)域名的網(wǎng)頁(yè)時(shí),后臺(tái)可能會(huì)產(chǎn)生大量附加處理操作,會(huì)請(qǐng)求不同域名下的圖片、視頻、腳本等資源,而每次資源請(qǐng)求都會(huì)產(chǎn)生一次DNS查詢(xún)。大量的查詢(xún)導(dǎo)致產(chǎn)生海量日志。在某運(yùn)營(yíng)商的網(wǎng)絡(luò)中,每天可以產(chǎn)生幾十TB級(jí)的DNS日志。
內(nèi)網(wǎng)域名系統(tǒng)的日志量要小得多,一方面內(nèi)網(wǎng)的客戶(hù)端數(shù)量規(guī)模有限,查詢(xún)的主體要少得多;另一方面,內(nèi)網(wǎng)中域名的數(shù)量有限,一般僅部署幾個(gè)至幾十個(gè)用于內(nèi)部辦公、業(yè)務(wù)工作的Web應(yīng)用、網(wǎng)站等。同時(shí),頁(yè)面內(nèi)容也遠(yuǎn)沒(méi)有互聯(lián)網(wǎng)豐富,被動(dòng)查詢(xún)較少。一般內(nèi)網(wǎng)域名系統(tǒng)每天產(chǎn)生的日志量在MB級(jí)。
4 內(nèi)網(wǎng)域名系統(tǒng)的安全保密風(fēng)險(xiǎn)
內(nèi)網(wǎng)域名系統(tǒng)的不同特點(diǎn)決定了其安全問(wèn)題也與互聯(lián)網(wǎng)域名系統(tǒng)不同,下面分析了一些常見(jiàn)安全問(wèn)題在內(nèi)網(wǎng)域名系統(tǒng)中的安全保密風(fēng)險(xiǎn)情況。
4.1 緩存投毒
緩存投毒主要針對(duì)的是遞歸解析服務(wù)器,攻擊者是利用遞歸解析服務(wù)器無(wú)法驗(yàn)證DNS數(shù)據(jù)真實(shí)性的特點(diǎn),將虛假的DNS查詢(xún)回復(fù)寫(xiě)入遞歸解析服務(wù)器的高速緩存中,同時(shí)為延長(zhǎng)緩存中毒的時(shí)間,攻擊者還會(huì)將回復(fù)TTL設(shè)得足夠大,這樣客戶(hù)端向遞歸解析服務(wù)器查詢(xún)有關(guān)域名信息時(shí),會(huì)命中高速緩存的中毒信息,導(dǎo)致客戶(hù)端收到錯(cuò)誤的IP地址,訪問(wèn)到攻擊者控制的服務(wù)器,造成用戶(hù)數(shù)據(jù)泄露。在內(nèi)網(wǎng)域名系統(tǒng)中,此種攻擊方式只適用于多級(jí)部署且DNS服務(wù)器開(kāi)啟遞歸解析功能的情況,對(duì)于僅主、輔兩臺(tái)DNS服務(wù)器的單級(jí)部署方式,因?yàn)橹、輔DNS服務(wù)器不需要向其他DNS服務(wù)器查詢(xún),因此一般不會(huì)緩存中毒。
4.2 DNS ID欺騙
域名解析采用基于UDP協(xié)議的數(shù)據(jù)報(bào)文進(jìn)行通信,且請(qǐng)求報(bào)文和響應(yīng)報(bào)文具有相同的數(shù)據(jù)結(jié)構(gòu),如圖4所示。其中報(bào)文頭部的ID是DNS查詢(xún)應(yīng)答的唯一標(biāo)識(shí),通常是隨機(jī)生成的。當(dāng)客戶(hù)端發(fā)起DNS查詢(xún)時(shí),攻擊者可以在DNS服務(wù)器應(yīng)答前偽造同樣ID的響應(yīng)報(bào)文對(duì)客戶(hù)端進(jìn)行欺騙攻擊,其危害和緩存投毒一樣,都會(huì)使客戶(hù)端訪問(wèn)到攻擊者控制的服務(wù)器,但其攻擊不如緩存中毒攻擊持久。
DNS ID攻擊需要獲取客戶(hù)端DNS請(qǐng)求報(bào)文頭部的ID,采用窮舉法顯然效率不高,通過(guò)監(jiān)聽(tīng)客戶(hù)端網(wǎng)絡(luò)數(shù)據(jù)包或者采取ARP欺騙的方式,更容易實(shí)現(xiàn),特別是攻擊者和客戶(hù)端在同一個(gè)內(nèi)網(wǎng)、同一個(gè)網(wǎng)段的情況下。
4.3 普通DDoS攻擊
分布式拒絕攻擊(DDoS)是網(wǎng)絡(luò)中最常見(jiàn)的攻擊方式,不僅域名系統(tǒng),網(wǎng)絡(luò)中所有服務(wù)器都深受其害。其具體攻擊方式有多種,針對(duì)域名系統(tǒng)的DDoS攻擊最基本方法就是利用大量正常的DNS查詢(xún)請(qǐng)求來(lái)占用DNS服務(wù)器的網(wǎng)絡(luò)帶寬、CPU、內(nèi)存等資源,使得其他合法的DNS查詢(xún)得不到響應(yīng)。普通DDoS攻擊常常需要控制較多的傀儡主機(jī)完成飽和攻擊,如果查詢(xún)數(shù)量不足,不能覆蓋住DNS服務(wù)器的資源,就無(wú)法攻擊成功。由于內(nèi)網(wǎng)中本身客戶(hù)端數(shù)量就有限,再加上防護(hù)措施比較多,較難控制大量主機(jī)進(jìn)行DDoS攻擊。另外,DDoS攻擊只會(huì)導(dǎo)致DNS服務(wù)器性能下降,延遲提高,但查詢(xún)結(jié)果還是正確的,因此在內(nèi)網(wǎng)中的安全保密風(fēng)險(xiǎn)較低。
4.4 DNS 放大攻擊
通常的DNS響應(yīng)報(bào)文只有幾十個(gè)字節(jié),但特定查詢(xún)的DNS響應(yīng)報(bào)文卻可以很長(zhǎng),例如ANY類(lèi)型、TXT類(lèi)型或者EDNS0的DNS響應(yīng)報(bào)文可以上千甚至幾千個(gè)字節(jié),響應(yīng)報(bào)文的長(zhǎng)度是通常請(qǐng)求報(bào)文的幾十倍。DNS放大攻擊就是利用了這一特性,向DNS服務(wù)器發(fā)送大量此類(lèi)查詢(xún)請(qǐng)求,DNS服務(wù)器將回復(fù)幾十倍的應(yīng)答流量,資源被更快地消耗。這種攻擊可以看作是普通DDoS攻擊的加強(qiáng)版,攻擊者可以用更少的查詢(xún)量、更快地攻癱DNS服務(wù)器。同普通DDoS攻擊一樣,由于內(nèi)網(wǎng)中可控制的主機(jī)數(shù)量有限,要成功完成此類(lèi)攻擊,有一定的難度。
4.5 DNS反射攻擊和反射放大攻擊
DNS反射攻擊是利用DNS服務(wù)器的響應(yīng)報(bào)文攻擊客戶(hù)端或遞歸解析服務(wù)器的攻擊方式。攻擊者利用傀儡主機(jī)向多個(gè)DNS服務(wù)器(反射體)發(fā)起大量的DNS查詢(xún)請(qǐng)求,查詢(xún)請(qǐng)求的源IP地址偽造為受害客戶(hù)端或遞歸解析服務(wù)器的IP地址,這樣DNS服務(wù)器返回的響應(yīng)結(jié)果流量就會(huì)全部打到受害客戶(hù)端或遞歸解析服務(wù)器上,迅速消耗其資源,導(dǎo)致無(wú)法提供服務(wù)。
DNS反射攻擊通常結(jié)合DNS放大攻擊一起使用,即反射放大攻擊,發(fā)起大量偽造源IP地址的、會(huì)放大響應(yīng)報(bào)文的DNS查詢(xún)請(qǐng)求,以增強(qiáng)攻擊效果,這種方式往往比普通DDoS攻擊更有效。
由于反射攻擊和反射放大攻擊都需要足夠多的反射體(即DNS服務(wù)器)來(lái)響應(yīng)查詢(xún)請(qǐng)求,而內(nèi)網(wǎng)中DNS服務(wù)器的規(guī)模數(shù)量要比互聯(lián)網(wǎng)中小得多,因此這兩類(lèi)攻擊的在內(nèi)網(wǎng)中發(fā)生的概率較低。
4.6 DNS日志泄露
DNS服務(wù)器日志中含有客戶(hù)端請(qǐng)求域名解析的記錄,一般包括日期、時(shí)間戳、請(qǐng)求源IP地址和端口號(hào)、請(qǐng)求域名、解析記錄等信息。內(nèi)網(wǎng)域名系統(tǒng)中,請(qǐng)求源IP地址就是客戶(hù)端真實(shí)的IP地址,這樣,DNS日志記錄就提供了一個(gè)完整的存活主機(jī)列表。在內(nèi)網(wǎng)中,各種掃描工具會(huì)被嚴(yán)格限制,如果能夠訪問(wèn)到DNS服務(wù)器日志,就代替掃描工具拿到了存活主機(jī)列表,完成了網(wǎng)絡(luò)滲透攻擊的第一步。
互聯(lián)網(wǎng)域名系統(tǒng)中,在使用IPv4的情況下,一是因?yàn)榈刂房臻g有限,客戶(hù)端訪問(wèn)互聯(lián)網(wǎng)時(shí),會(huì)進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換,因此遞歸解析服務(wù)器日志中的請(qǐng)求源IP地址并不是客戶(hù)端的真實(shí)地址(IPv6環(huán)境下,IP地址不再是緊缺資源,客戶(hù)端訪問(wèn)互聯(lián)網(wǎng)不進(jìn)行地址轉(zhuǎn)換,遞歸解析服務(wù)器上存儲(chǔ)的就是真實(shí)的客戶(hù)端IP地址);二是域名解析是由遞歸解析服務(wù)器代替客戶(hù)端向權(quán)威域名服務(wù)器查詢(xún)的,因此權(quán)威域名服務(wù)器上的DNS日志,請(qǐng)求源IP地址為遞歸解析服務(wù)器的IP地址,不是客戶(hù)端IP地址;三是互聯(lián)網(wǎng)域名系統(tǒng)的DNS服務(wù)器中有海量的DNS日志,日志分析利用的難度比較大,因此安全保密隱患相對(duì)較低。
DNS協(xié)議設(shè)計(jì)之初沒(méi)有過(guò)多考慮安全問(wèn)題,為提高效率,幾乎所有DNS流量都是基于明文傳輸?shù),沒(méi)有采取保護(hù)措施。因此通過(guò)鏈路監(jiān)聽(tīng)的方式,也可以分析出請(qǐng)求源IP地址、查詢(xún)的域名等信息,甚至可以通過(guò)監(jiān)聽(tīng)DNS響應(yīng)報(bào)文,獲取服務(wù)器的IP地址列表。
4.7 主/輔部署不當(dāng)
內(nèi)網(wǎng)域名系統(tǒng)通常以主/輔方式部署DNS服務(wù)器,當(dāng)其中某一臺(tái)服務(wù)器不能工作時(shí),另一臺(tái)服務(wù)器仍然可以提供解析服務(wù)。然而實(shí)際部署中,主、輔DNS服務(wù)器常常位于同一網(wǎng)段、同一防火墻后、同一物理地點(diǎn),不能有效防止區(qū)域性突發(fā)事件造成的服務(wù)中斷(例如網(wǎng)絡(luò)中斷、電力中斷、防火墻擁塞等),具有潛在的可用性問(wèn)題。在互聯(lián)網(wǎng)域名系統(tǒng)中,域名系統(tǒng)是關(guān)鍵基礎(chǔ)設(shè)施,無(wú)論是遞歸解析服務(wù)器,還是權(quán)威域名服務(wù)器,都部署了大量的輔服務(wù)器或鏡像服務(wù)器,此方面的安全隱患較低。
4.8 匿名區(qū)域文件傳輸
區(qū)域傳輸用于主、輔DNS服務(wù)器之間的數(shù)據(jù)更新和備份。例如,當(dāng)主DNS服務(wù)器上的權(quán)威記錄發(fā)生變化時(shí),輔DNS服務(wù)器通過(guò)區(qū)域傳輸?shù)姆绞綇闹鱀NS服務(wù)器下載區(qū)域文件的完整副本,以保持?jǐn)?shù)據(jù)一致。在具體實(shí)現(xiàn)上,區(qū)域傳輸采用客戶(hù)端-服務(wù)器的形式進(jìn)行,客戶(hù)端發(fā)送一個(gè)axfr(異步完整區(qū)域傳輸)類(lèi)型的DNS查詢(xún)請(qǐng)求,通過(guò)TCP連接從服務(wù)器端獲取完整的區(qū)域文件。
區(qū)域文件為域名服務(wù)器的敏感數(shù)據(jù),應(yīng)該嚴(yán)格保護(hù),避免泄露,因此,異步完整區(qū)域傳輸應(yīng)當(dāng)僅允許在受信任的DNS服務(wù)器之間進(jìn)行。但內(nèi)網(wǎng)中,由于和外部網(wǎng)絡(luò)隔離,此方面防范經(jīng)常疏忽,DNS服務(wù)器常配置不當(dāng),任意匿名主機(jī)都可以利用異步完整區(qū)域傳輸獲取完整區(qū)域文件,暴露網(wǎng)絡(luò)中的信息,加快滲透攻擊進(jìn)程。
4.9 匿名區(qū)域文件更新
主DNS服務(wù)器的區(qū)域文件更新可通過(guò)運(yùn)維主機(jī)編輯服務(wù)器上的區(qū)域文件完成,運(yùn)維主機(jī)通過(guò)update請(qǐng)求完成對(duì)區(qū)域文件的修改。這個(gè)操作也應(yīng)當(dāng)僅允許在受信任的主機(jī)和DNS服務(wù)器之間進(jìn)行,但內(nèi)網(wǎng)中,有時(shí)為了便利操作,DNS服務(wù)器會(huì)開(kāi)放配置,任意匿名主機(jī)都可以更新,這樣攻擊者可以通過(guò)構(gòu)造惡意的update請(qǐng)求對(duì)區(qū)域文件進(jìn)行任意修改,將域名解析地址更改為攻擊者控制的IP地址,以便開(kāi)展下一步竊密行為。
綜上,本文列舉了一些常見(jiàn)安全問(wèn)題在內(nèi)網(wǎng)域名系統(tǒng)中的安全保密風(fēng)險(xiǎn)情況,另外,還有一些老生常談的DNS服務(wù)器操作系統(tǒng)配置不完善、DNS軟件(Linux系統(tǒng)的BIND、Windows系統(tǒng)的DNS服務(wù)系統(tǒng)組件)配置不完善等風(fēng)險(xiǎn),以及一些在內(nèi)網(wǎng)域名系統(tǒng)出現(xiàn)概率非常低的安全保密風(fēng)險(xiǎn),如相似域名欺騙、偽造DNS服務(wù)器、無(wú)效域名查詢(xún)攻擊等,就不再一一贅述。表1比較了內(nèi)網(wǎng)域名系統(tǒng)和互聯(lián)網(wǎng)域名系統(tǒng)一些安全保密風(fēng)險(xiǎn)發(fā)生的概率。
5 有關(guān)防護(hù)措施建議
為降低內(nèi)網(wǎng)域名系統(tǒng)的安全保密風(fēng)險(xiǎn),可以采取如下幾種防護(hù)措施。
(1)合理的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì),在DNS服務(wù)器前部署防火墻、IPS等防護(hù)設(shè)備,對(duì)網(wǎng)絡(luò)流量進(jìn)行過(guò)濾、清洗;主DNS服務(wù)器和輔DNS服務(wù)器位于不同的網(wǎng)段,部署在不同防火墻后,條件允許的,放置在不同的樓宇;對(duì)網(wǎng)絡(luò)合理進(jìn)行分段,在網(wǎng)絡(luò)中部署設(shè)備接入控制系統(tǒng)。
(2)部署DNS安全拓展協(xié)議(Domain Name System Security Extensions,DNSSEC),DNSSEC采用數(shù)字簽名的方式解決了域名解析記錄傳輸中的安全問(wèn)題,可以有效防范緩存投毒和DNS ID欺騙等攻擊。
(3)加強(qiáng)防火墻的配置,僅開(kāi)放必要服務(wù)和端口,如DNS服務(wù)、TCP和UDP的53號(hào)端口(未修改DNS服務(wù)端口號(hào)的情況下)。
(4)DNS服務(wù)器應(yīng)配置高性能的硬件,確保不被DDoS攻擊輕易攻癱;操作系統(tǒng)僅開(kāi)放必要服務(wù)和端口,啟用偽根目錄,并部署入侵檢測(cè)、防病毒軟件等防護(hù)系統(tǒng);嚴(yán)格限制對(duì)DNS日志、區(qū)域傳輸文件的訪問(wèn)權(quán)限。
(5)完善DNS軟件的配置,包括及時(shí)更新版本、限制域名解析的源IP地址、隱藏DNS軟件版本等。
6 結(jié)語(yǔ)
內(nèi)網(wǎng)域名系統(tǒng)的安全保密風(fēng)險(xiǎn)問(wèn)題常常被忽視,本文介紹了域名系統(tǒng)的原理,比較了內(nèi)網(wǎng)域名系統(tǒng)和互聯(lián)網(wǎng)域名系統(tǒng)的不同,分析了內(nèi)網(wǎng)域名系統(tǒng)面臨的主要安全保密風(fēng)險(xiǎn),并給出了一些改進(jìn)建議。
下一步,隨著內(nèi)網(wǎng)規(guī)模的不斷擴(kuò)大,特別是國(guó)家電子政務(wù)內(nèi)網(wǎng)的建成、擴(kuò)展,在電子政務(wù)內(nèi)網(wǎng)中構(gòu)建國(guó)家級(jí)可信內(nèi)網(wǎng)域名體系的需求越來(lái)越迫切,內(nèi)網(wǎng)域名系統(tǒng)會(huì)成為內(nèi)網(wǎng)的核心基礎(chǔ)設(shè)施,其安全問(wèn)題將會(huì)越來(lái)越被關(guān)注。
(原載于《保密科學(xué)技術(shù)》雜志2020年10月刊)