一、前言

　　隨著互聯網日新月起的快速發展，對于互聯網的“中樞神經系統”DNS現已成為最為重要的基礎服務。DNS(domain name system，域名系統)是互聯網上最為關鍵的基礎設施,其主要作用是將易于記憶的主機名稱映射為枯燥難記的 IP 地址，從而保障其他網絡應用順利執行。DNS 服務已經深入到互聯網的各個角落，成為互聯網上不可或缺的關鍵一環。DNS 主要包括 3 個組成部分，分別是：域名空間(domain name space)和資源記錄(resource record)；名字服務器(name server)；解析器(resolver)，如圖示：

　　圖1.DNS主要組成部分

　　作為互聯網的一項核心服務，DNS安全問題也隨之而來，一旦遭受攻擊，會給整個互聯網帶來無法估量的損失。DNS安全是網絡安全第一道大門，如果DNS的安全沒有得到標準的防護及應急措施，即使網站主機安全防護措施級別再高，攻擊者也可以輕而易舉的通過攻擊DNS服務器使網站陷入癱瘓。調查顯示，DNS攻擊是互聯網中第二大攻擊媒介。常見針對DNS攻擊手段有：DDOS（分布式拒絕服務）攻擊、緩存投毒、域名劫持。造成后果分別為：目標網站因無法解析而失去響應（網站無法訪問）；使訪問者及網站主機中毒從而達到攻擊者目的；訪問者打開錯誤的網站或偽造的網站，如反動分裂國家、邪教、賭博或色情網站。

　　圖2.DNS在互聯網中的重要性

　　圖3.CNNIC權威部門調查問卷結果

　　然而近年來對互聯網安全性的研究主要集中在信息安全方面，通常使用認證(authentication)和加密(encryption) 等手段來保證信息的機密性(confidentiality)和完整性(integrity)，但這是以互聯網基礎設施安全可靠為前提的，針對關鍵設施的安全事件頻繁發生(如DNS 欺騙和路由重定向)使得這一假設受到前所未有的挑戰，暴露出各種各樣的漏洞?，F今IT支撐系統變得越來越復雜，網站系統、APP應用、郵件系統、財務系統、ERP系統等層出不窮，由于DNS系統傳統上是薄弱環節網絡攻擊事件頻發，DNS作為互聯網絡的第一道大門也遭受到了一系列的攻擊，導致互聯網通信收到嚴重影響，盡管已經有30多年的歷史，DNS仍然是整個互聯網中最脆弱的一環。

　　DNS安全事件回顧

　　2009年5月19日南方六省斷網事件。游戲私服私斗打掛dnspod，殃及暴風影音域名解析，進一步殃及電信運營商本地DNS服務器，從而爆發六省大規模斷網的事故。

　　2010年1月12日百度域名劫持事件。baidu.com的NS記錄被伊朗網軍（IranianCyber Army）劫持，然后導致www.baidu.com無法訪問。事件持續時間8小時。

　　2011年9月5日，包括微軟、宏碁、沃達豐和UPS在內的眾多知名網站都遭遇了DNS劫持。

　　2012年2月16日，黑客組織匿名者（Anonymous）對外宣稱，將在3月31日攻擊DNS的13個根服務器，以達到讓全球互聯網癱瘓的目的。

　　2013年8月25日CN域被攻擊事件。cn域dns受到DDoS攻擊而導致所有cn域名無法解析。

　　2014年1月21日全國DNS故障。迄今為止，大陸境內發生的最為嚴重的DNS故障，所有通用頂級域（.com/.net/.org）遭到DNS污染。

　　2015年11月30日DNS根服務器攻擊事件。13個根服務器大都受到了攻擊，攻擊者對根服務器發起了針對兩個特定域名的數十億次無效查詢請求。

　　2015年12月14日土耳其國家域遭攻擊。黑客組織匿名者(Anonymous)宣布自己是40Gbps DDoS的網絡攻擊發起人，并表示該攻擊跟反ISIS行動相關。

　　由此可見，應將DNS域名系統的安全穩定從網絡安全角度的重要性提升至最高級別。

　　二、DNS安全威脅

　　作為當前全球最大最復雜的分布式層次數據庫系統，由于其開放、龐大、復雜的特性以及設計之初對于安全性的考慮不足，再加上人為攻擊和破壞，DNS系統面臨非常嚴重的安全威脅，因此如何解決DNS安全問題并尋求相關解決方案是當今DNS亟待解決的問題。

　　圖4. DNS攻擊類型

　　1. 協議脆弱性

　　協議脆弱性主要是系統在設計之初對前提假設條件考慮不夠充分或之后條件發生變化導致的。由于使用的長期性和廣泛性，使得這類脆弱性通常很難從根源上得到修正，DNS 在這一方面極具代表性。由 DNS 協議缺乏必要的認證機制，客戶無法確認接收到的信息的真實性和權威性，基于名字的認證過程并不能起到真正的識別作用，而且接收到的應答報文中往往含有額外的附加信息，其正確性也無法判斷。此外，DNS 的絕大部分通信使用 UDP，數據報文容易丟失，也易于受到劫持和欺騙。DNS 協議脆弱性面臨的威脅主要是域名欺騙和網絡通信攻擊。

　　圖5. 脆弱性示意圖

　　2.針對DNS的DDoS攻擊

　　DDoS （Distributed Denial ofservice）攻擊通過僵尸網絡利用各種服務請求耗盡被攻擊網絡的系統資源，造成被攻擊網絡無法處理合法用戶的請求。而針對DNS的DDoS攻擊又可按攻擊發起者和攻擊特征進行分類。主要表現特征如下：

　　2.1按攻擊發起者分類

　　僵尸網絡：控制僵尸網絡利用真實DNS協議棧發起大量域名查詢請求。

　　模擬工具：利用工具軟件偽造源IP發送海量DNS查詢。

　　2.2按攻擊特征分類

　　Flood攻擊：發送海量DNS查詢報文導致網絡帶寬耗盡而無法傳送正常DNS查詢請求。

　　資源消耗攻擊：發送大量非法域名查詢報文引起DNS服務器持續進行迭代查詢，從而達到較少的攻擊流量消耗大量服務器資源的目的。

　　圖6. DDoS攻擊示意圖

　　3.DNS欺騙

　　3.1 DNS欺騙是最常見的DNS安全問題之一。當一個DNS服務器由于自身的設計缺陷，接收了一個錯誤信息，那么就將做出錯誤的域名解析，從而引起眾多安全問題，例如將用戶引導到錯誤的互聯網站點，甚至是一個釣魚網站；又或者發送一個電子郵件到一個未經授權的郵件服務器。攻擊者通常通過三種方法進行DNS欺騙：

　　3.2 緩存污染 ：攻擊者采用特殊的DNS請求，將虛假信息放入DNS的緩存中。

　　圖6. DNS欺騙示意圖

　　3.3 DNS信息劫持 ：攻擊者監聽DNS會話，猜測DNS服務器響應ID，搶先將虛假的響應提交給客戶端。

　　3.4 DNS重定向 ：將DNS名稱查詢重定向到惡意DNS服務器。

　　圖7.DNS劫持與重定向示意圖

　　4. 系統漏洞眾多

　　BIND(Berkeley Internet Name Domain)是最常用的DNS服務軟件，具有廣泛的使用基礎，Internet上的絕大多數DNS服務器都是基于這個軟件的。BIND提供高效服務的同時也存在著眾多的安全性漏洞。，CNCERT/CC在2009年安全報告中指出：2009年7月底被披露的”Bind9″高危漏洞，影響波及全球數萬臺域名解析服務器，我國有數千臺政府和重要信息系統部門、基礎電信運營企業以及域名注冊管理和服務機構的域名解析服務器受到影響。

　　除此之外，DNS服務器的自身安全性也是非常重要。目前主流的操作系統如Windows、UNIX、Linux均存在不同程度的系統漏洞和安全風險，而補丁的管理也是安全管理工作中非常重要和困難的一個組成部分，因此針對操作系統的漏洞防護也是DNS安全防護工作中的重點。

　　三、加強DNS安全壁壘

　　從DNS安全角度出發，如何防止以上攻擊，讓DNS更安全可靠，建議從以下幾方面著手應對：

　　1. 建議使用非通用系統平臺及非開源軟件

　　當下DNS一般采用傳統的微軟或開源的Bind軟件+通用的服務器來搭建自己的DNS系統。在開放的互聯網中DNS服務面臨很多網絡攻擊和安全威脅。在域名安全方面，存在著域名劫持、緩存中毒、針對域名服務器的攻擊、DNS重定向等各種對服務的威脅。對于windows或者bind這些軟件來說自身無法提供必要的防護手段，需要借助其它設備和技術來抵御黑客攻擊的風險，這增加了投資成本，同時也給運維帶來了一定的困難。如采用通用系統平臺及開源軟件在發生安全漏洞預警的同時應及時更新補丁，對DNS底層承載系統進行加固，在非必要的情況下關閉除53端口的一切非DNS系統服務端口。

　　2. 提供至少2個以上的DNS服務地址；

　　DNS服務器的任務即是確定域名的解析，提供多個的DNS解析服務器這點很重要。根據用戶網站情況的不同、程度不等，建議提供兩臺雙鏈路以上DNS解析服務器。這樣的作用是用戶的DNS解析服務可以進行輪循處理，只要保證一個DNS服務器運轉正常，即可確認網站的訪問將不受故障影響，盡量減少宕機的比率。

　　3. 智能DNS解析支持多路線多區域；

　　通過鏈路負載均衡功能將流量分配到不同的服務器上，可減少各種災害帶來的影響，當一個地方的DNS服務器受到危害時，可通過輪循機制保持DNS的正常解析。同時，DNS智能解析服務建議覆蓋國內全部運營商鏈路，可自動判斷用戶的來源路線，讓用戶網站的解析請求重新導向最近的服務節點，通過就近訪問解決網絡擁擠問題，提高網站響應速度。

　　4. DNS解析對外具有高防功能；

　　在抵御外來網絡攻擊方面DNS解析服務器需要做充分的準備，對于SYN Flood、ACK Flood、ICMPFlood、UDP Flood、DNS Flood等形式的DDOS攻擊，能有效處理連接耗盡、HTTP Get Flood、DNS Query Flood、CC攻擊等。此外，宕機檢測也是DNS解析里一大重要功能。系統將對域名進行24小時不間斷檢測，當其中有服務器出現故障問題時，宕機檢測將對用戶的解析自動切換到預先設置的備用服務器IP，應急響應到場時間不超過設定時間，保證業務訪問的可持續性。

　　5. 建議采用TSIG和DNSSEC技術；

　　交易簽章 （TSIGRFC2845），是為了保護DNS 安全而發展的。從BIND8.2 版本開始引入TSIG機制，其驗證DNS訊息方式是使用共享金鑰 （Secret Ke y） 及單向雜湊函式 （One – wayhas h function）來提供訊息的驗證和數據的完整性。主要針對區帶傳輸 （ZONETrans fe r）進行保護的作用，利用密碼學編碼方式為通訊傳輸信息加密以保證DNS訊息的安全，特別是響應與更新的訊息數據。也就是說在 DNS 服務器之間進行轄區傳送時所提供保護的機制，以確保傳輸數據不被竊取及監聽。

　　DNSSEC主要依靠公鑰技術對于包含在DNS中的信息創建密碼簽名。密碼簽名通過計算出一個密碼 hash 數來提供DNS中數據的完整性，并將該hash數封裝進行保護。私/公鑰對中的私鑰用來封裝hash數，然后可以用公鑰把hash數譯出來。如果這個譯出的hash值匹配接收者剛剛計算出來的hash樹，那么表明數據是完整的。不管譯出來的hash數和計算出來的hash數是否匹配，對于密碼簽名這種認證方式都是絕對正確的，因為公鑰僅僅用于解密合法的hash數，所以只有擁有私鑰的擁有者可以加密這些信息。

　　四、未來趨勢

　　DNS域名系統作為大規模分布式網絡，可以抽象為一個有向圖。NS名字服務器和解析器構成圖的節點，而NS名字服務器和解析器之間的路由則構成了有向圖的邊。因此，加強DNS的安全性就是要加強這些節點和邊的安全性。節點的安全主要通過安全評估來保證，包括安全漏洞掃描和權威名字服務器可用性測量；邊的安全性則體現在關鍵路由發現和保護上。此外，DNSSEC有效配置與平滑過渡、DNS配置錯誤檢測以及對DNS攻擊的檢測和防御等問題也是未來研究的熱點問題。

　　1. 基于DNS 系統安全評估

　　DNS域名系統安全評估主要是依據“木桶原理”對 DNS域名系統安全方面進行測評，發現DNS域名系統中存在的薄弱環節。另外要對特定DNS域名系統請求進行監測，統計其中無效DNS請求，分析其對DNS系統的影響。具體評估方法包括安全漏洞掃描和權威名字服務器分布探測。

　　圖6. DNS安全評估有向圖

　　2.基于DNS域名系統關鍵路由點防護

　　DNS域名系統防護關鍵路由的第一要點為如何定位。DNS關鍵路由發現需要對目標NS服務器進行分布式路由探測，然后將探測結果進行分析和綜合，最終找到大部分路由的匯接點。探測結果的準確性依賴于測試機的分布情況，測試機分布越廣泛，探測結果就越準確。通過對 DNS 系統的關鍵路由進行防護，能夠有效分析造成網絡時延的成因并定位故障點，極大改善整個互聯網的性能和QoS服務質量，并對互聯網關鍵基礎設施的規劃建設和安全防護起到很好的指導作用。

　　3.DNS 異常檢測和安全防護

　　現實網絡中存在兩種異常行為，一種是由惡意攻擊引起的，一種是系統在軟件設計、編碼和系統配置過程中的脆弱性所導致的?？梢酝ㄟ^基于流量 (volume)和報文載荷(payload)特征的方法進行檢測。DNS安全防護是保證網絡信息系統保密性、完整性、可用性、可控性和不可否認性的綜合技術。

　　4.DNS 攻擊反向追蹤

　　網絡犯罪之所以如此猖獗，在很大程度上是由于網絡的開放性使得對攻擊者的追蹤和懲罰難以實施，無法形成強大的網絡威懾力，致使攻擊者肆無忌憚地進行破壞。反向追蹤技術可以從源頭上消除攻擊并最終形成網絡威懾力。

　　5.DNS基于大數據的深度對比分析

　　DNS大數據分析可對出網內用戶流量的流向、DNS請求數據、出網數據，網內數據，流向其他運營商數據，網內相關信息?？稍敿毥y計本地數據、外域數據、緩存數據、CDN數據等。分析統計網內移動終端業務、固網業務等，并以可視化方式綜合分析結果。

　　6.DNS安全在AI領域內的應用

　　基于AI智能學習和數據挖掘的DNS關鍵技術，包含基于監督式學習網絡的DNS服務器入侵檢測方法、基于用戶查詢序列模式學習的DNS性能提升策略、DNS使用挖掘框架以及基于潛在語義學習的DNS擴展應用。針對DNS服務器的入侵檢測過程轉換為機器學習中的監督學習過程或者分類問題，可以按照AI智能學習基本原理將入侵檢測過程分為三個子過程：特征提取過程、模型學習過程及線上檢測過程。

　　五、小結

　　DNS系統是互聯網正常運轉及未來互聯網發展的基石，其安全性與整個信息社會息息相關。DNS系統安全問題需要全盤考慮，多種方案相輔相成、由內而外地加以解決。未來應考慮如何減少DNS 協議設計上的脆弱性，提高系統的可用性和可控性，全面提升系統的可生存性成為保障DNS系統安全性的關鍵所在。在系統評估的基礎上對薄弱環節進行安全加固，保護關鍵節點，建立起全球范圍的合作協調機制，從而保證互聯網安全協調發展。

<menuitem id="zjj55"></menuitem>

<menuitem id="zjj55"></menuitem>

<big id="zjj55"></big>

責任編輯：韓希宇