DNS欺騙攻擊及其防護(hù)

DNS欺騙攻擊及其防護(hù)一、dnsserver的服務(wù)工作過(guò)程dns是一種實(shí)現(xiàn)domainname和ipaddress之間轉(zhuǎn)換的系統(tǒng)，它的工作原理就是在兩者間進(jìn)行相互映射，相當(dāng)于起到翻譯作用，所以稱(chēng)為域名解析系統(tǒng)。dnssystem分為server和client兩部分，server的通用port是53.當(dāng)client向server發(fā)出解析請(qǐng)求時(shí)，localdnsserver第一步查詢(xún)自身的database是否存在需要的內(nèi)容，如果有則發(fā)送應(yīng)答數(shù)據(jù)包并給出相應(yīng)的結(jié)果;否則它將向上一層dnsserver查詢(xún)。如此不斷查詢(xún)，最終直至找到相應(yīng)的結(jié)果或者將查詢(xún)失敗的信息反饋給客戶機(jī)。如果localdnsserver查到信息，則先將其保存在本機(jī)的高速緩存中，然后再向客戶發(fā)出應(yīng)答。日常我們上網(wǎng)是通過(guò)browser方式來(lái)申請(qǐng)從domainname到ipaddress的解析，即client向dnsserver提交域名翻譯申請(qǐng)，希望得到對(duì)應(yīng)的ipaddress.這里以筆者所在院校為例，說(shuō)明dns的工作原理。例如client的address為6，學(xué)校dnsserver為0，從此客戶機(jī)來(lái)訪問(wèn)西安財(cái)經(jīng)學(xué)院網(wǎng)站。在地址欄鍵入學(xué)校網(wǎng)站的，通過(guò)dnsserver查找其對(duì)應(yīng)的ipaddress.這個(gè)申請(qǐng)從6的一個(gè)隨機(jī)port發(fā)送出去，由0的53綁定端口接收到此申請(qǐng)并進(jìn)行翻譯，首先在0的高速緩存中查找的ipaddress，若存在對(duì)應(yīng)的映射關(guān)系，就直接將ipaddress發(fā)送給客戶機(jī)，若緩存中沒(méi)有，則0會(huì)向上層dnsserver查詢(xún)，最后將查詢(xún)到的結(jié)果先發(fā)送到0，最后由0將西安財(cái)經(jīng)學(xué)院的ipaddress(2)返回給client6.這樣6就可以和西安財(cái)經(jīng)學(xué)院站點(diǎn)建立連接并訪問(wèn)了。二、dns欺騙攻擊原理2.1欺騙原理client的dns查詢(xún)請(qǐng)求和dnsserver的應(yīng)答數(shù)據(jù)包是依靠dns報(bào)文的id標(biāo)識(shí)來(lái)相互對(duì)應(yīng)的。在進(jìn)行域名解析時(shí)，client首先用特定的id號(hào)向dnsserver發(fā)送域名解析數(shù)據(jù)包，這個(gè)id是隨機(jī)產(chǎn)生的。dnsserver找到結(jié)果后使用此id給client發(fā)送應(yīng)答數(shù)據(jù)包°client接收到應(yīng)答包后，將接收到的id與請(qǐng)求包的id對(duì)比，如果相同則說(shuō)明接收到的數(shù)據(jù)包是自己所需要的，如果不同就丟棄此應(yīng)答包。根據(jù)攻擊者的查詢(xún)和應(yīng)答原理，可使用不同方法實(shí)現(xiàn)攻擊，如：因?yàn)閐nsmessage僅使用一個(gè)簡(jiǎn)單的認(rèn)證碼來(lái)實(shí)施真實(shí)性驗(yàn)證，認(rèn)證碼是由client程序產(chǎn)生并由dnsserver返回結(jié)果的，客戶機(jī)只是使用這個(gè)認(rèn)證碼來(lái)辨別應(yīng)答與申請(qǐng)查詢(xún)是否匹配，這就使得針對(duì)id認(rèn)證碼的攻擊威脅成為可能。在dnsrequestmessage中可以增加信息，這些信息可以與客戶機(jī)所申請(qǐng)查詢(xún)的內(nèi)容沒(méi)有必然聯(lián)系，因此攻擊者就能在requestmessage中根據(jù)自己的目的增加某些虛假的信息，比如增加其它domainserver的domainname及其ipaddress.此時(shí)client在受到攻擊的domainserver上的查詢(xún)申請(qǐng)均被轉(zhuǎn)向此前攻擊者在requestmessage中增加的虛假domainserver，由此dns欺騙得以產(chǎn)生并對(duì)網(wǎng)絡(luò)構(gòu)成威脅。當(dāng)dnsserver接收到domainname和ipaddress相互映射的數(shù)據(jù)時(shí)，就將其保存在本地的cache中。若再有client請(qǐng)求查詢(xún)此domainname對(duì)應(yīng)的ipaddress，domainserver就會(huì)從cache中將映射信息回復(fù)給client，而無(wú)需在database中再次查詢(xún)。如果黑客將dnsrequestmessage的存在周期設(shè)定較長(zhǎng)時(shí)間，就可進(jìn)行長(zhǎng)期欺騙。dns欺騙攻擊的方式dns欺騙技術(shù)常見(jiàn)的有內(nèi)應(yīng)攻擊和序列號(hào)攻擊兩種。內(nèi)應(yīng)攻擊即黑客在掌控一臺(tái)dnsserver后，對(duì)其domaindatabase內(nèi)容進(jìn)行更改，將虛假ipaddress指定給特定的domainname，當(dāng)client請(qǐng)求查詢(xún)這個(gè)特定域名的ip時(shí)，將得到偽造的ip.序列號(hào)攻擊是指?jìng)窝b的dnsserver在真實(shí)的dnsserver之前向客戶端發(fā)送應(yīng)答數(shù)據(jù)報(bào)文，該報(bào)文中含有的序列號(hào)id與客戶端向真實(shí)的dnsserver發(fā)出請(qǐng)求數(shù)據(jù)包中含有的id相同，因此客戶端會(huì)接收該虛假報(bào)文，而丟棄晚到的真實(shí)報(bào)文，這樣dnsid序列號(hào)欺騙成功?？蛻魴C(jī)得到的虛假報(bào)文中提供的域名的ip是攻擊者設(shè)定的ip，這個(gè)ip將把客戶帶到攻擊者指定的站點(diǎn)。dns序列號(hào)欺騙攻擊原理dns序列號(hào)(id)欺騙以偵測(cè)id和port為基礎(chǔ)。在switch構(gòu)建的網(wǎng)絡(luò)中，攻擊方首先向目標(biāo)實(shí)施arp欺騙。當(dāng)client、攻擊者和dnsserver同在一個(gè)網(wǎng)絡(luò)時(shí)，攻擊流程如下：①攻擊方向目標(biāo)反復(fù)發(fā)送偽造的arprequestmessage，修改目標(biāo)機(jī)的arp緩存內(nèi)容，同時(shí)依靠ip續(xù)傳使data經(jīng)過(guò)攻擊方再流向目的地;攻擊方用sniffer軟件偵測(cè)dns請(qǐng)求包，獲取id序列號(hào)和potr;②攻擊方一旦獲得id和potr，即刻向客戶機(jī)發(fā)送虛假的dnsrequestmessage，client接收后驗(yàn)證id和potr正確，認(rèn)為接收了合法的dns應(yīng)答;而client得到的ip可能被轉(zhuǎn)向攻擊方誘導(dǎo)的非法站點(diǎn)，從而使client信息安全受到威脅;③client再接收dnsserver的requestmessage，因落后于虛假的dns響應(yīng)，故被client丟棄。當(dāng)client訪問(wèn)攻擊者指向的虛假ip時(shí)，一次dnsid欺騙隨即完成。三、dns欺騙檢測(cè)和防范思路3.1檢測(cè)思路發(fā)生dns欺騙時(shí)，client最少會(huì)接收到兩個(gè)以上的應(yīng)答數(shù)據(jù)報(bào)文，報(bào)文中都含有相同的id序列號(hào)，一個(gè)是合法的，另一個(gè)是偽裝的。據(jù)此特點(diǎn)，有以下兩種檢測(cè)辦法：被動(dòng)監(jiān)聽(tīng)檢測(cè)。即監(jiān)聽(tīng)、檢測(cè)所有dns的請(qǐng)求和應(yīng)答報(bào)文。通常dnsserver對(duì)一個(gè)請(qǐng)求查詢(xún)僅僅發(fā)送一個(gè)應(yīng)答數(shù)據(jù)報(bào)文(即使一個(gè)域名和多個(gè)ip有映射關(guān)系，此時(shí)多個(gè)關(guān)系在一個(gè)報(bào)文中回答)。因此在限定的時(shí)間段內(nèi)一個(gè)請(qǐng)求如果會(huì)收到兩個(gè)或以上的響應(yīng)數(shù)據(jù)報(bào)文，則被懷疑遭受了dns欺騙。主動(dòng)試探檢測(cè)。即主動(dòng)發(fā)送驗(yàn)證包去檢查是否有dns欺騙存在。通常發(fā)送驗(yàn)證數(shù)據(jù)包接收不到應(yīng)答，然而黑客為了在合法應(yīng)答包抵達(dá)客戶機(jī)之前就將欺騙信息發(fā)送給客戶，所以不會(huì)對(duì)dnsserver的ip合法性校驗(yàn)，繼續(xù)實(shí)施欺騙。若收到應(yīng)答包，則說(shuō)明受到了欺騙攻擊。3.2防范思路在偵測(cè)到網(wǎng)絡(luò)中可能有dns欺騙攻擊后，防范措施有：①在客戶端直接使用ipaddress訪問(wèn)重要的站點(diǎn)，從而避免dns欺騙;②對(duì)dnsserver和client的數(shù)據(jù)流進(jìn)行加密，server端可以使用ssh加密協(xié)議,client端使用pgp軟件實(shí)施數(shù)據(jù)加密。對(duì)于常見(jiàn)的id序列號(hào)欺騙攻擊，采用專(zhuān)業(yè)軟件在網(wǎng)絡(luò)中進(jìn)行監(jiān)聽(tīng)檢查，在較短時(shí)間內(nèi)，客戶端如果接收到兩個(gè)以上的應(yīng)答數(shù)據(jù)包，則說(shuō)明可能存在dns欺騙攻擊，將后到的合法包發(fā)送到dnsserver并對(duì)dns數(shù)據(jù)進(jìn)行修改，這樣下次查詢(xún)申請(qǐng)時(shí)就會(huì)得到正確結(jié)果。四、dns防護(hù)方案4.1進(jìn)行ip地址和mac地址的綁定預(yù)防arp欺騙攻擊。因?yàn)閐ns攻擊的欺騙行為要以arp欺騙作為開(kāi)端，所以如果能有效防范或避免arp欺騙，也就使得dnsid欺騙攻擊無(wú)從下手。例如可以通過(guò)將gatewayrouter的ipaddress和macaddress靜態(tài)綁定在一起，就可以防范arp攻擊欺騙。dns信息綁定。dns欺騙攻擊是利用變更或者偽裝成dnsserver的ipaddress，因此也可以使用macaddress和ipaddress靜態(tài)綁定來(lái)防御dns欺騙的發(fā)生。由于每個(gè)networkcard的macaddress具有唯一性質(zhì)，所以可以把dnsserver的macaddress與其ipaddress綁定，然后此綁定信息存儲(chǔ)在客戶機(jī)網(wǎng)卡的eprom中。當(dāng)客戶機(jī)每次向dnsserver發(fā)出查詢(xún)申請(qǐng)后，就會(huì)檢測(cè)dnsserver響應(yīng)的應(yīng)答數(shù)據(jù)包中的macaddress是否與eprom存儲(chǔ)器中的macaddress相同，要是不同，則很有可能該網(wǎng)絡(luò)中的dnsserver受到dns欺騙攻擊。這種方法有一定的不足，因?yàn)槿绻钟蚓W(wǎng)內(nèi)部的客戶主機(jī)也保存了dnsserver的macaddress，仍然可以利用macaddress進(jìn)行偽裝欺騙攻擊。4.2使用digitalpassword進(jìn)行辨別在不同子網(wǎng)的文件數(shù)據(jù)傳輸中，為預(yù)防竊取或篡改信息事件的發(fā)生，可以使用任務(wù)數(shù)字簽名(tsig)技術(shù)即在主從domainnameserver中使用相同的password和數(shù)學(xué)模型算法，在數(shù)據(jù)通信過(guò)程中進(jìn)行辨別和確認(rèn)。因?yàn)橛衟assword進(jìn)行校驗(yàn)的機(jī)制，從而使主從server的身份地位極難偽裝，加強(qiáng)了domainname信息傳遞的安全性。安全性和可靠性更好的domainnameservice是使用域名系統(tǒng)的安全協(xié)議(domainnamesystemsecurity，dnssec))，用digitalsignature的方式對(duì)搜索中的信息源進(jìn)行分辨，對(duì)data的完整性實(shí)施校驗(yàn)，dnssec的規(guī)范可參考rfc2605.因?yàn)樵谠O(shè)立domain時(shí)就會(huì)產(chǎn)生password，同時(shí)要求上層的domainname也必須進(jìn)行相關(guān)的domainpasswordsignature，顯然這種方法很復(fù)雜，所以internic域名管理截至目前尚未使用。然而就技術(shù)層次上講，dnssec應(yīng)該是現(xiàn)今最完善的domainname設(shè)立和解析的辦法，對(duì)防范domainname欺騙攻擊等安全事件是非常有效的。4.3優(yōu)化dnsserver的相關(guān)項(xiàng)目設(shè)置對(duì)于dnsserver的優(yōu)化可以使得dns的安全性達(dá)到較高的標(biāo)準(zhǔn)，常見(jiàn)的工作有以下幾種：①對(duì)不同的子網(wǎng)使用物理上分開(kāi)的domainnameserver,從而獲得dns功能的冗余;②將外部和內(nèi)部domainnameserver從物理上分離開(kāi)并使用forwarders轉(zhuǎn)發(fā)器。外部domainnameserver可以進(jìn)行任何客戶機(jī)的申請(qǐng)查詢(xún)，但forwarders則不能，forwarders被設(shè)置成只能接待內(nèi)部客戶機(jī)的申請(qǐng)查詢(xún);③采用技術(shù)措施限制dns動(dòng)態(tài)更新;④將區(qū)域傳送(zonetransfer)限制在授權(quán)設(shè)備上；⑤利用事務(wù)簽名對(duì)區(qū)域傳送和區(qū)域更新進(jìn)行數(shù)字簽名；⑥隱藏服務(wù)器上的bind版本;⑦刪除運(yùn)行在dns服務(wù)器上的不必要服務(wù)，如ftp、telnet和http;⑧在網(wǎng)絡(luò)外圍和dns服務(wù)器上使用防火墻，將訪問(wèn)限制在那些dns功能需要的端口上。4.4直接使用ip地址訪問(wèn)對(duì)個(gè)別信息安全等級(jí)要求十分嚴(yán)格的web站點(diǎn)盡量不要使用dns進(jìn)行解析。由于dns欺騙攻擊中不少是針對(duì)竊取客戶的私密數(shù)據(jù)而來(lái)的，而多數(shù)用戶訪問(wèn)的站點(diǎn)并不涉及這些隱私信息，因此當(dāng)訪問(wèn)具有嚴(yán)格保密信息的站點(diǎn)時(shí)，可以直接使用ip地址而無(wú)需通過(guò)dns解析，這樣所有的dns欺騙攻擊可能造成的危害就可以避免了。除此，應(yīng)該做好dnsserver的安全配置項(xiàng)目和