域名基礎(chǔ)及其安全性問題

1、DNSDNS基礎(chǔ)及其安全性問題基礎(chǔ)及其安全性問題目錄一、域名介紹一、域名介紹二、DNS基本概念及工作原理三、DNS安全問題四、DNS風(fēng)險防范措施2021-12-292一、域名介紹1.1 域名概念1.2 中文域名概念1.3 域名應(yīng)用1.4 相關(guān)國際組織2021-12-2931.1 域名概念2021-12-294域名（Domain name）p企業(yè)或個人在網(wǎng)絡(luò)上的身份唯一性：如IP一樣易記憶：域名比IP好記好記的域名成為大家申請的對象字?jǐn)?shù)少特殊意義單詞諧音字隨著Internet及IPv6的發(fā)展，域名的作業(yè)將顯得更為重要1.1 域名概念2021-12-295域名規(guī)范pRFC的定義在RFC中定義的do

2、main name的label由a-z（大小寫），0-9及“-”所構(gòu)成（“-”不得以第一及最后一個字符形式出現(xiàn)），長度最長為63 bytes，labels間“.”連接，每個domain name最長為255bytes，最多由127個label組成。/rfc/rfc1034.txt (DOMAIN NAMES - CONCEPTS AND FACILITIES)/rfc/rfc1035.txt (DOMAIN N A M E S - I M P L E M E N T A T I O N A N D SPECIFICATIO

3、N)1.2 中文域名概念2021-12-296中文域名的優(yōu)點就中國人而言中文較英文好記能和企業(yè)名稱一致1.2 中文域名概念2021-12-297國際域名（IDN）標(biāo)準(zhǔn)Unicode是國際化域名所使用的基本字集，包含世界上所有國家所使用的文字由于DNS是以ASCII為基礎(chǔ)的系統(tǒng)，而Unicode的系統(tǒng)中字符超過現(xiàn)有域名使用的范圍，于是IDNA提出了一個可以使Unicode可以在DNS系統(tǒng)上工作的機制Nameprep包含了Mapping，Normalization，Prohibit三部分。Punycode則是一個將unicode字符轉(zhuǎn)換為ACE（ASCII Code Enable）的方法1.2 中

4、文域名概念2021-12-298國際域名（IDN）標(biāo)準(zhǔn)中文可以通過某種方式轉(zhuǎn)換為英文，并與就有的DNS系統(tǒng)兼容DNS設(shè)定及服務(wù)器設(shè)定應(yīng)都根據(jù)這個編碼定義目前國際上認(rèn)可的編碼為AMC-ACE-Z，稱為puny code（RFC3492）PUNYCODE則是將一個經(jīng)過NAMEPREP處理過的IDN，從一個8位的編碼形式轉(zhuǎn)換為7位編碼的形式。目前Internet IDN一向是7位ASCII編碼的環(huán)境，經(jīng)過這個Puny Code轉(zhuǎn)碼程序，便將IDN從一個8位的IDN轉(zhuǎn)換為與現(xiàn)有DNS環(huán)境兼容的編碼1.2 中文域名概念2021-12-299中文域名以往的域名只能使用RFC1034，1035中規(guī)范的英文字

5、符（a-z，0-9與-），現(xiàn)在新的RFC3490-RFC3492則可以使用國際化域名國際化域名讓非英語系國家可直接采用其母語作域名，能夠符合區(qū)域性的需求，加速Internet的普及1.3 域名應(yīng)用2021-12-2910域名分類分類：區(qū)分不同屬性Top Level Domain（TLD頂層域名）ngTLDs： Com/net/org/gov/edu/共13類nccTLDs： Cn/hk/us共243個Second Level Domain （第二層域名）nC 域名應(yīng)用2021-12-2911gTLDcom,net,org,mil,gov,edu,int,arpa,biz,coop,info,m

6、ueum,name,proccTLDus,cn,jp,（ISO 3166-1）在ccTLD依各國管理政策有下列三種情況：單位名稱，如：ibm.uk屬性名稱，如：，ne.jp地理名稱，如：tokyo.jpICANN在最近新增了七個gTLDaero,biz,coop,info,museum,name,pro1.3 域名應(yīng)用2021-12-2912域名與Internet相關(guān)服務(wù)的關(guān)系為Internet服務(wù)最基礎(chǔ)的一環(huán)提供機器名稱與IP地址的雙向映射機制域名比IP容易記，具有代表意義使用域名讓系統(tǒng)更具移植性隨著IPv6的推廣，更需要使用域名使用者經(jīng)常使用正解來查詢IP計算機經(jīng)常使用反解來查主機名稱DN

7、S提供主機名稱及IP的精確對應(yīng)DNS不是一個目錄服務(wù)，無法提供檢索功能1.4 相關(guān)國際組織2021-12-2913IANAInternet Assigned Numbers Authority一個有IAB所資助的組織，任務(wù)是管理與分配IP地址、ccTLD的注冊于管理ICANNThe Internet Corporation for Assigned Names and Numbers負(fù)責(zé)Internet IP address分配及域名架構(gòu)規(guī)范的管理單位IETFInternet Engineering Task Force由與因特網(wǎng)（Internet）相關(guān)的產(chǎn)業(yè)及學(xué)術(shù)機構(gòu)人員所組成的組織，是因特

8、網(wǎng)最主要標(biāo)準(zhǔn)的制定組織APTLDAsia Pacific Top-level Domain Forum，討論亞太區(qū)Domain Name，DNS，NIC相關(guān)議題。會員包括亞太區(qū)主要地區(qū)及國家。1.4 相關(guān)國際組織2021-12-2914APNICAsia Pacific Network Information Center，亞太網(wǎng)絡(luò)信息中心，主要掌管亞太地區(qū)的新IP address申請及反解域名注冊1.4 相關(guān)國際組織2021-12-2915各國NIC各 個 國 家 地 區(qū) 往 往 都 有 類 似 的 單 位 ， 如 中 國（CNNIC），日本（JPNIC），韓國（KRNIC），香港（HKNI

9、C），新加坡（SGNIC）等。各國NIC主要由ccTLD組成，ccTLD（country code TLD）如“.cn”（中國）“.uk”（英國）（ISO-3166所定義的2個byte國碼）CDNC2000年5月19日，中文域名協(xié)調(diào)聯(lián)合會（CDNC）有兩岸四地網(wǎng)絡(luò)信息中心（CNNIC，TMNIC，HKNIC，MONIC）在北京正式成立。作為一個獨立、非營利的組織，該機構(gòu)將在國際上擔(dān)負(fù)起中文域名的協(xié)調(diào)和規(guī)范工作目錄一、域名介紹二、二、DNSDNS基本概念及工作原理基本概念及工作原理三、DNS安全問題四、DNS風(fēng)險防范措施2021-12-2916二、DNS基本概念及工作原理2.1 DNS背景介紹2

10、.2 DNS相關(guān)概念2.3 DNS整體架構(gòu)2.4 DNS工作原理2.5 不同DNS服務(wù)器類型說明2.6 正解/反解的意義與原理2021-12-29172.1 DNS背景介紹2021-12-2918HOSTS文件：70年代ARPAnet僅僅擁有幾百臺主機，一個HOSTS文件就可以容納所需要的主機信息，HOSTS提供的是主機名和IP地址的映射關(guān)系。但隨著網(wǎng)絡(luò)的擴展，HOSTS文件已經(jīng)不能夠快速完成解析任務(wù)DNS：作為替代HOSTS而出現(xiàn)，是一個分布式數(shù)據(jù)庫。一旦DNS配置成功，HOSTS文件可以為空，只需一條就可以 localhost1984年P(guān)aul Mockapetrics

11、建立了第一個DNS規(guī)范（RFC1034，RFC1035）,85年出現(xiàn)第一個域名2.2 DNS相關(guān)概念2021-12-2919DNS(Domain Name System,域名系統(tǒng))：一種用于TCP/IP應(yīng)用程序的層次性分布式數(shù)據(jù)庫，包含Internet主機名到IP地址的映射信息、IP地址到主機名的映射信息、郵件路由信息等Domain（域）：INTERNET組織機構(gòu)設(shè)立了根域，包含.com、.net、.gov等，每個根域下又細(xì)分許多子域，并根據(jù)實際需求一層一層細(xì)分下去，形成一個樹狀結(jié)構(gòu)Delegation（授權(quán)）：域根據(jù)實際需求細(xì)分為子域，并將子域的管理權(quán)限交給另一臺機器成為授權(quán)Zone（區(qū)）：

12、域除了授權(quán)過的子域之外的部分2.2 DNS相關(guān)概念2021-12-2920Resolver(解析器)：通常以函數(shù)庫的方式嵌在操作系統(tǒng)中，負(fù)責(zé)接收各類應(yīng)用程序的DNS查詢請求，并把請求轉(zhuǎn)發(fā)給域名服務(wù)器。解析器與域名服務(wù)器之間存在兩種工作方式，遞歸式和迭代式。域名服務(wù)器之間使用的也是這兩種工作方式： Recursive Query(遞歸查詢)：n客戶端只發(fā)出一個詢問給所屬的DNS服務(wù)器nDNS服務(wù)器會不斷進(jìn)行查詢，直到有結(jié)果為止n最后將結(jié)果傳回給客戶端Iterative Query(迭代查詢)：n如果服務(wù)器查找不到對應(yīng)的記錄會返回另一個可能知道結(jié)果的服務(wù)器的IP地址給查詢的發(fā)起者一般來說Resol

13、ver對local DNS server都是Recursive query；DNS server 之間的查詢多是Iterative query；大部分的DNS server兩種方式都接受，但Root name server只接受Iterative query2.3 DNS整體架構(gòu)2021-12-2921DNS運行模式名稱查詢服務(wù)分布式n沒有一臺計算機會有全部的DNS數(shù)據(jù)n全球最大的分布式數(shù)據(jù)流系統(tǒng)穩(wěn)定n負(fù)載平衡：可由Master主機自由的復(fù)制到slave主機n備份：一個名稱可有多臺主機共同服務(wù)樹狀結(jié)構(gòu)效率n經(jīng)由Cache來加速DNS查詢2.3 DNS整體架構(gòu)2021-12-2922DNS組成n

14、etcomripewwwwwweduisitislabsdisiws1ws2ftpsungooglemoon樹狀結(jié)構(gòu)每個分支以“.”分隔限制最多127層每個分支最長63字符（a-z，0-9，-）總長255字符2.3 DNS整體架構(gòu)2021-12-2923DNS樹狀分層架構(gòu)：分散管理、分散儲存、分散查詢2.4 DNS工作原理2021-12-2924DNS查詢和響應(yīng)報文的一般格式2.4 DNS工作原理2021-12-2925DNS流程解析當(dāng)被詢問到有關(guān)本域名之內(nèi)的主機名稱的時候，DNS服務(wù)器會直接做出回答；如果所查詢的主機名稱屬于其它域名的話，會檢查內(nèi)存，看看有沒有相關(guān)資料；如果沒有發(fā)現(xiàn)，則會轉(zhuǎn)向

15、root服務(wù)器查詢；然后root服務(wù)器會將該域名的授權(quán)服務(wù)器（可能會超過一臺）的地址告知；1.本地服務(wù)器然會向其中的一臺服務(wù)器查詢，并將這些服務(wù)器名單存到內(nèi)存中，以備將來之需（省卻再向root查詢的步驟）2.4 DNS工作原理2021-12-2926DNS流程解析遠(yuǎn)方服務(wù)器響應(yīng)查詢；將查詢結(jié)果響應(yīng)給客戶，并同時將結(jié)果儲存一個備份在自己的緩存里面；6.如果在存放時間尚未過時之前再接到相同的查詢，則以存放于緩存里面的資料來做響應(yīng)2.4 DNS工作原理2021-12-2927查詢 1. 是否屬于自己的 DN ? 是則回應(yīng)結(jié)果 2. 是否有 Cache 資料 ? 是則回應(yīng)結(jié)果; 皆非則向 root “

16、.”詢問 3. 得到的 DNS 資料及主機資料都會 Cache 以借下一次資料被查詢時使用詢問 .cn 在哪 ?回應(yīng).cn 位置詢問 在哪 ?回應(yīng) 位置詢問 在哪 ?回答 DNS 位置詢問 到底在哪 ?回答 1回應(yīng)結(jié)果RecursiveIterative2.5 不同DNS服務(wù)器類型說明2021-12-2928平臺UNIXn常見為ISC BINDn共約發(fā)行30多個版本n穩(wěn)定，可靠，最多人使用Windowsn可見于Windwos Server 級的版本n簡單設(shè)定是優(yōu)點nGUI設(shè)定n根據(jù)BIND 4.x修改而來2.5 不同DNS服務(wù)器類型說明2021-12-2929服務(wù)器類型

17、授權(quán)主機n可管理或回答其域名的答案nMaster主機指DNS所管轄的數(shù)據(jù)從區(qū)文件（Zone File）中而來nSlave主機指DNS所管轄的數(shù)據(jù)是以區(qū)傳送（Zone Transfer），Cache-only主機n即沒有管理任何的域名，接受查詢與響應(yīng)并將其緩存以備使用slaveslaveZone FilemasterInternet區(qū)傳送區(qū)傳送2.6 正解/反解的意義與原理2021-12-2930正解（forward domain）：由域名對應(yīng)至IP反解（reverse domain）：由IP對應(yīng)至域名反解的DNS Query遠(yuǎn)比正解高出許多，這是一般人常忽略之處正反解一致有其必要性有些系統(tǒng)較不

18、嚴(yán)謹(jǐn)，不會檢查正反解的一致性，但國外有許多比例都會進(jìn)行這個部分的確認(rèn)由來源IP查反解名稱，依結(jié)果再查正解，并檢驗其結(jié)果有部分的Mail server也會使用正反解確認(rèn)的機制來減少SPAM的問題目錄2021-12-2931一、域名介紹二、DNS基本概念及工作原理三、三、DNSDNS安全問題安全問題四、DNS風(fēng)險防范措施三、DNS安全問題3.1 單點故障3.2 DNS軟件漏洞3.3 對DNS服務(wù)器的攻擊 域名劫持 DNS欺騙 DDoS 僵尸網(wǎng)絡(luò)2021-12-29323.1 單點故障2021-12-2933DNS服務(wù)器S2為網(wǎng)絡(luò)結(jié)點A、B、C、D 、E提供域名解析服務(wù)，由于大部分的網(wǎng)絡(luò)應(yīng)用通過域名

19、訪問Internet，所以如果S2不能正常工作，則其所轄的所有節(jié)點都無法通過域名連接到網(wǎng)絡(luò)，S2成為該子網(wǎng)的瓶頸，存在單點故障風(fēng)險的問題3.2 DNS軟件漏洞2021-12-2934絕大多數(shù)DNS軟件使用BIND（Berkeley lnternet Name Domain）BIND存在眾多安全漏洞：緩沖區(qū)溢出漏洞如BIND SIG Cached RR DoS在BIND4和BIND8中存在一個遠(yuǎn)程緩沖溢出缺陷，該缺陷使得攻擊者可以在DNS服務(wù)器上運行任意指令拒絕服務(wù)（DoS）漏洞如BIND SIG Expire Time DoS遞歸方式的BIND8服務(wù)程序會因為使用一個無效空指針而突然中斷服務(wù)3

20、.3 對DNS服務(wù)器的攻擊2021-12-2935域名劫持域名劫持通過采用黑客手段控制了域名管理密碼和域名管理郵箱，然后通過在該DNS服務(wù)器上添加相應(yīng)域名記錄，從而使網(wǎng)民訪問該域名時，進(jìn)入了黑客所指向的內(nèi)容。域名被劫持后，不僅網(wǎng)站內(nèi)容會被改變，甚至可以導(dǎo)致域名所有權(quán)也旁落他人。2021-12-2936DNSDNS欺騙（欺騙（DNS SpoofingDNS Spoofing）欺騙用戶：DNS ID Spoofing欺騙DNS服務(wù)器：DNS Cache poisoning（DNS毒害攻擊）3.3 對DNS服務(wù)器的攻擊2021-12-2937DNSDNS欺騙（欺騙（DNS SpoofingDNS S

21、poofing）DNS ID Spoofing攻擊過程機器X想要訪問CNN的網(wǎng)站（機器Y），于是它向附近的DNS Server發(fā)出了一個DNS request，并且請求中綁定了一個偽隨機碼（這樣回答中必須也攜帶這個偽隨機碼，才能被機器 X接收，否則被拋棄）3.3 對DNS服務(wù)器的攻擊2021-12-2938DNSDNS欺騙（欺騙（DNS SpoofingDNS Spoofing）DNS ID Spoofing攻擊過程攻擊者可以通過Sniffer來監(jiān)聽，看到請求以及request ID number。然后，攻擊者發(fā)給機器X一個偽造的回答，由于這個偽造的回答是帶有正確 ID number的，于是機

22、器X就轉(zhuǎn)到了攻擊者指定的IP 一般情況下，DNS Server還是能發(fā)過來正確的回答的。要使攻擊成功執(zhí)行，必須要能夠保證攻擊者偽造的回答比DNS Server正確的回答先抵達(dá)客戶機X。所以這個攻擊比較適合在局域網(wǎng)中進(jìn)行。3.3 對DNS服務(wù)器的攻擊2021-12-2939DNSDNS欺騙（欺騙（DNS SpoofingDNS Spoofing）DNS Cache Poisoning攻擊過程前提條件：前提條件：攻擊者擁有他自己的域名()，和已經(jīng)被修改部分緩存記錄的DNS Server（），比如讓指向1攻擊者向客戶機的DNS Server發(fā)送一個特定的解析請求（）客戶機的DNS

23、 Server并不知道如何解析該域名，于是向該域名的DNS Server（ ）請求“幫助”3.3 對DNS服務(wù)器的攻擊2021-12-2940DNSDNS欺騙（欺騙（DNS SpoofingDNS Spoofing）DNS Cache Poisoning攻擊過程對客戶機的DNS Server做出回應(yīng)，返回了的IP地址。與此同時，還返回了它所有其他的緩存記錄，記錄中包括和1這個錯誤的對應(yīng)關(guān)系這樣，只要那個的緩存還存在，客戶機的DNS Server就一直處于“毒害”狀態(tài)一旦用戶向他的DNS Server請求解析，那個DNS服務(wù)器就返回錯誤的13.3 對DNS

24、服務(wù)器的攻擊3.3 對DNS服務(wù)器的攻擊2021-12-2941DDoSDDoS（分布式拒絕服務(wù)）攻擊（分布式拒絕服務(wù)）攻擊分布式拒絕服務(wù)攻擊(DDoS)是目前黑客經(jīng)常采用而難以防范的攻擊手段，對DNS服務(wù)器攻擊主要采用的就是分布式拒絕服務(wù)攻擊(DDoS)。DDoS基本原理就是利用合理的服務(wù)請求來占用過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)的響應(yīng)。近些年來，采用DDoS對DNS服務(wù)器的攻擊不斷被報道。519斷網(wǎng)事件，其根源就是DDoS攻擊。3.3 對DNS服務(wù)器的攻擊2021-12-2942僵尸網(wǎng)絡(luò)攻擊僵尸網(wǎng)絡(luò)攻擊另一種DDoS攻擊的目標(biāo)是利用DNS服務(wù)器作為中間的襲擊放大器”，去攻擊其它互

25、聯(lián)網(wǎng)上的主機，導(dǎo)致被攻擊主機拒絕服務(wù)原理：黑客利用僵尸電腦連成的網(wǎng)絡(luò)（BotNet）向多個DNS服務(wù)器發(fā)送大量的查詢請求，這些查詢請求數(shù)據(jù)包中的源IP地址為被攻擊主機的IP地址，DNS服務(wù)器將大量的查詢結(jié)果發(fā)送給被攻擊主機，使被攻擊主機所在的網(wǎng)絡(luò)擁塞或不再對外提供服務(wù)。這種服務(wù)會導(dǎo)致域名的正常訪問無法進(jìn)行。即該域名下的WWW服務(wù)和郵件服務(wù)都將無法正常進(jìn)行。目錄2021-12-2943一、域名介紹二、DNS基本概念及工作原理三、DNS安全問題四、四、DNSDNS風(fēng)險防范措施風(fēng)險防范措施四、DNS風(fēng)險防范措施4.1 單點故障的防范4.2 DNS軟件漏洞的防范4.3 DNS域名欺騙的防范4.4 DD

26、oS攻擊的防范4.5 僵尸網(wǎng)絡(luò)攻擊的防范4.6 DNS其他防范措施2021-12-29444.1 單點故障的防范2021-12-2945網(wǎng)絡(luò)方面n不要將所有DNS服務(wù)器都放到有單點故障節(jié)點的子網(wǎng)中n不要將所有DNS服務(wù)器共用一條路徑n總是將DNS服務(wù)器分布到不同網(wǎng)絡(luò)，使用不同路徑主機方面n至少兩臺不同的服務(wù)主機n將DNS運行在不同的硬件或操作系統(tǒng)平臺之上n不同版本或不同的DNS服務(wù)器軟件n安排額外的輔域名服務(wù)器4.2 DNS軟件漏洞的防范2021-12-2946現(xiàn)在的軟件漏洞攻擊大多是針對BIND的各類版本，特別是低版本上已發(fā)現(xiàn)的漏洞。此種攻擊最好的防御措施就是注意定期更新，到ISC網(wǎng)站下載最

27、新穩(wěn)定版。通過及時更新，可以有效防御此類攻擊。4.3 DNS欺騙的防范2021-12-2947靜態(tài)靜態(tài)MACMAC綁定綁定DNS欺騙是通過改變或冒充DNS服務(wù)器的IP地址，所以可用采用將DNS的MAC地址和IP靜態(tài)綁定來進(jìn)行防范當(dāng)主機每次向DNS發(fā)出請求后，便檢查DNS服務(wù)器應(yīng)答中的MAC地址是否與保存的MAC地址一致，如不一致，就說明該區(qū)域的DNS服務(wù)器遭到攻擊。但此方法有一定的局限性，如果是局域網(wǎng)內(nèi)部的主機，仍可進(jìn)行DNS欺騙，因為它也保存了DNS服務(wù)器的MAC地址，可以輕易偽裝成DNS服務(wù)器。4.3 DNS欺騙的防范2021-12-2948DNSDNS緩存投毒防范緩存投毒防范DNS緩存投

28、毒攻擊的歷史悠久，但真正具有全球范圍影響的是08年出現(xiàn)的Kaminsky緩存中毒及其后一系列的變種攻擊，統(tǒng)稱為Kaminsky-Class攻擊。對于Kaminsky-Class攻擊的解決方法是隨機化源端口技術(shù)，已廣泛實現(xiàn)在當(dāng)前新版的DNS產(chǎn)品中，包括BIND。最根本最徹底的防御措施是DNSSEC(Domain Name Server Security)方案在DNS體系的全面部署。由于在解析過程中需要得到數(shù)字簽名驗證，這使得緩存中毒攻擊基本沒有可能性。但DNSSEC部署相當(dāng)復(fù)雜，涉及技術(shù)、政治、協(xié)作等多方面的因素，仍然是一個較長期的過程。4.4 DDoS攻擊的防范2021-12-2949從以下幾

29、方面增強抗從以下幾方面增強抗DDoSDDoS攻擊的能力：攻擊的能力：采用硬件防火墻及IDS的策略布署；采用雙節(jié)點的雙備份方案，一個節(jié)點被攻擊后可以安全地切換到另一個節(jié)點，這也是當(dāng)前大多數(shù)ISP采用的方式；軟件防火墻的防DDoS方案通常也可減輕DDoS攻擊效果，如syn cookie、syn proxy等技術(shù)。對域名的Top排名監(jiān)控，發(fā)現(xiàn)域名解析的異常，分析可能的DDoS攻擊，及時發(fā)現(xiàn)問題并進(jìn)行處理。4.5 僵尸網(wǎng)絡(luò)攻擊的防范2021-12-2950設(shè)置好開放遞歸服務(wù)器的ACL（Access Control List），盡量將這些BotNet的DNS請求屏蔽在外。只讓授權(quán)用戶使用DNS Server，不僅對DNS Server安全有保障，也便于追蹤攻擊源。目前，大量的DNS Server不僅沒有設(shè)置好ACL，甚至本應(yīng)關(guān)閉遞歸服務(wù)的DNS Server卻開放了遞歸解析，增加了安全隱患。4.6 DNS其他防范措施2021-12-2951限制區(qū)域傳輸（限制區(qū)域傳輸（Zone TransferZone Transfer）Hacker取得這些資料的用途n確認(rèn)目標(biāo)n獲取相關(guān)資料How many hosts you haveWhat makes and models you haveWhat their names aren可在name.conf文件中設(shè)定限制對象或不啟動