淺析IPv6下的+DNS系統(tǒng)

1、IPv6下的 DNS系統(tǒng)的分析摘 要 本文闡述了IPV6中DNS域名系統(tǒng)的體系結(jié)構(gòu)，DNS對IPV6地址層次性和即插即用特性的支持，以及IPv4到IPv6過渡期DNS的升級和轉(zhuǎn)換，重點對IPv4和IPv6 環(huán)境下的DNS系統(tǒng)中可能存在的安全問題進(jìn)行了分析和比對。關(guān)鍵詞 IPV6;DNS系統(tǒng);DNS安全1 引 言IPv6 是新一代的網(wǎng)絡(luò)協(xié)議，與IPv4協(xié)議相比它擁有巨大的地址空間；從地址結(jié)構(gòu)和地址分配上支持地址聚合，從而大大減少路由表條目；具有方便的網(wǎng)絡(luò)即插即用功能；具有良好的移動性支持等等新特性。域名系統(tǒng)（Domain Name System，簡稱 DNS）的主要功能是通過域名和 IP 地址之

2、間的相互對應(yīng)關(guān)系，來定位網(wǎng)絡(luò)資源，即根據(jù)域名查詢 IP 地址，反之亦然。它是 Internet 的基礎(chǔ)架構(gòu)，眾多的網(wǎng)絡(luò)服務(wù)（如 Http，F(xiàn)tp， Email 等等）都是建立在 DNS 服務(wù)之上的。IPv6 協(xié)議是取代 IPv4 的下一代網(wǎng)絡(luò)協(xié)議，它具有許多新的特性與功能。域名系統(tǒng)（DNS）是 Internet的基礎(chǔ)架構(gòu)，IPv6 的新特性也需要 DNS 的支持。因此，DNS 勢必要升級以滿足 IPv6 的需求。本文從 IPv6的地址空間、IPv6 地址自動配置和即插即用、IPv6 的移動性、IPv4 到 IPv6 的過渡以及安全性等幾方面對 IPv6 對 DNS的需求及其解決方法進(jìn)行了分析和

3、研究。2 IPv6域名系統(tǒng)2. 1 IPv6域名系統(tǒng)的體系結(jié)構(gòu)IPv6網(wǎng)絡(luò)中的DNS與IPv4的DNS在體系結(jié)構(gòu)上是一致的，都采用樹型結(jié)構(gòu)的域名空間。IPv4協(xié)議與IPv6協(xié)議的不同并不意味著需要單獨兩套IPv4 DNS體系和IPv6 DNS體系，相反的是，DNS的體系和域名空間必須是一致的，即IPv4和IPv6共同擁有統(tǒng)一的域名空間。在IPv4到IPv6的過渡階段，域名可以同時對應(yīng)于多個IPv4和IPv6的地址。以后隨著IPv6網(wǎng)絡(luò)的普及，IPv6地址將逐漸取代IPv4地址。2.2 DNS對IPv6地址層次性的支持在RFC1886中定義了一種新的DNS資源記錄類型，AAAA(4A),它用于將

4、完全合格的域名解析為IPV6地址。4A記錄DNS記錄類型28。4A記錄相當(dāng)于IPV4名稱解析中的主機地址(A)資源記錄。資源記錄類型以AAAA來命名是因為128位的IPV6地址的長度是32位的IPV4地址長度的4倍。在DNS數(shù)據(jù)庫文件中的AAAA資源記錄通常具有如下結(jié)構(gòu)：Name IN AAAA Address這里的Name是完全合格的域名，Address是與名稱相關(guān)的IPV6地址。如下列：H IN AAAA FEC0:1:2AA:FF:FE3F:2A1CIPv6可聚合全局單播地址是在全局范圍內(nèi)使用的地址，必須進(jìn)行層次劃分及地址聚合。FP（001）：用于可聚

5、合全局單播地址的格式前綴（FP:Format Prefix）（3比特）；TLA ID：頂級聚合標(biāo)識符（Top-Level Aggregation Identifier）；RES：為將來使用而保留；NLA ID：次級聚合標(biāo)識符（Next-Level Aggregation Identifier）；SLA ID：站點級聚合標(biāo)識符（Site-Level Aggregation Identifier）；INTERFACE ID：接口標(biāo)識符。IPv6全局單播地址的分配方式如下：頂級地址聚合機構(gòu) TLA(即大的ISP或地址管理機構(gòu))獲得大塊地址，負(fù)責(zé)給次級地址聚合機構(gòu)NLA(中小規(guī)模ISP)分配地址，NL

6、A給站點級地址聚合機構(gòu)SLA(子網(wǎng))和網(wǎng)絡(luò)用戶分配地址。IPv6地址的層次性在DNS中通過地址鏈技術(shù)可以得到很好的支持。下面從DNS正向地址解析和反向地址解析兩方面進(jìn)行分析。a. 正向解析IPv4的地址正向解析的資源記錄是“A”記錄。IPv6地址的正向解析目前有兩種資源記錄，即，“AAAA”和“A6”記錄。其中， “AAAA”較早提出，它是對“A”記錄的簡單擴展，由于IP地址由32位擴展到128位，擴大了4倍，所以資源記錄由“A”擴大成4 個“A”?！癆AAA”用來表示域名和IPv6地址的對應(yīng)關(guān)系，并不支持地址的層次性?！癆6”在RFC2874中提出，它是把一個IPv6地址與多個“A6”記錄建

7、立聯(lián)系，每個“A6”記錄都只包含了IPv6地址的一部分，結(jié)合后拼裝成一個完整的IPv6地址?！癆6”記錄支持一些“AAAA”所不具備的新特性，如地址聚合，地址更改(Renumber)等。首先，“A6”記錄方式根據(jù)TLA、NLA和SLA的分配層次把128位的IPv6的地址分解成為若干級的地址前綴和地址后綴，構(gòu)成了一個地址鏈。每個地址前綴和地址后綴都是地址鏈上的一環(huán)，一個完整的地址鏈就組成一個IPv6地址。這種思想符合IPv6地址的層次結(jié)構(gòu)，從而支持地址聚合。其次，用戶在改變ISP時，要隨ISP改變而改變其擁有的IPv6地址。如果手工修改用戶子網(wǎng)中所有在DNS中注冊的地址，是一件非常繁瑣的事情。而

8、在用“A6”記錄表示的地址鏈中，只要改變地址前綴對應(yīng)的ISP名字即可，可以大大減少DNS中資源記錄的修改。并且在地址分配層次中越靠近底層，所需要改動的越少。b. 反向解析IPv6反向解析的記錄和IPv4一樣，是“PTR”，但地址表示形式有兩種。一種是用 “.”分隔的半字節(jié)16進(jìn)制數(shù)字格式(Nibble Format)，低位地址在前，高位地址在后，域后綴是“IP6.INT.”。另一種是二進(jìn)制串(Bit-string)格式，以“”，域后綴是“IP6.ARPA.”。半字節(jié)16進(jìn)制數(shù)字格式與“AAAA”對應(yīng)，是對IPv4的簡單擴展。二進(jìn)制串格式與“A6”記錄對應(yīng)，地址也象“A6”一樣，可以分成多級地址

9、鏈表示，每一級的授權(quán)用“DNAME”記錄。和 “A6”一樣，二進(jìn)制串格式也支持地址層次特性。 總之，以地址鏈形式表示的IPv6地址體現(xiàn)了地址的層次性，支持地址聚合和地址更改。但是，由于一次完整的地址解析分成多個步驟進(jìn)行，需要按照地址的分配層次關(guān)系到不同的DNS服務(wù)器進(jìn)行查詢。所有的查詢都成功才能得到完整的解析結(jié)果。這勢必會延長解析時間，出錯的機會也增加。因此，需要進(jìn)一步改進(jìn)DNS地址鏈功能，提高域名解析的速度才能為用戶提供理想的服務(wù)。2.3 IPv6中的即插即用與DNSIPv6協(xié)議支持地址自動配置，這是一種即插即用的機制，在沒有任何人工干預(yù)的情況下，IPv6網(wǎng)絡(luò)接口可以獲得鏈路局部地址、站點局

10、部地址和全局地址等，并且可以防止地址重復(fù)。IPv6支持無狀態(tài)地址自動配置和有狀態(tài)地址自動配置兩種方式。IPv6節(jié)點通過地址自動配置得到IPv6地址和網(wǎng)關(guān)地址。但是，地址自動配置中不包括DNS服務(wù)器的自動配置。如何自動發(fā)現(xiàn)提供解析服務(wù)的DNS服務(wù)器也是一個需要解決的問題。正在研究的DNS服務(wù)器的自動發(fā)現(xiàn)的解決方法可以分為無狀態(tài)和有狀態(tài)兩類。在無狀態(tài)的方式下，需要為子網(wǎng)內(nèi)部的DNS服務(wù)器配置站點范圍內(nèi)的任播地址。要進(jìn)行自動配置的節(jié)點以該任播地址為目的地址發(fā)送服務(wù)器發(fā)現(xiàn)請求，詢問DNS服務(wù)器地址、域名和搜索路徑等DNS信息。這個請求到達(dá)距離最近的DNS服務(wù)器，服務(wù)器根據(jù)請求，回答DNS服務(wù)器單播地址

11、、域名和搜索路徑等 DNS信息。節(jié)點根據(jù)服務(wù)器的應(yīng)答配置本機DNS信息，以后的DNS請求就直接用單播地址發(fā)送給DNS服務(wù)器。另外，也可以不用站點范圍內(nèi)的任播地址，而采用站點范圍內(nèi)的多播地址或鏈路多播地址等。還可以一直用站點范圍內(nèi)的任播地址作為DNS服務(wù)器的地址，所有的DNS解析請求都發(fā)送給這個任播地址。距離最近的DNS服務(wù)器負(fù)責(zé)解析這個請求，得到解析結(jié)果后把結(jié)果返回請求節(jié)點，而不像上述做法是把DNS 服務(wù)器單播地址、域名和搜索路徑等DNS信息告訴節(jié)點。從網(wǎng)絡(luò)擴展性，安全性，實用性等多方面綜合考慮，第一種采用站點范圍內(nèi)的任播地址作為DNS服務(wù)器地址的方式相對較好。在有狀態(tài)的DNS服務(wù)器發(fā)現(xiàn)方式下

12、，是通過類似DHCP這樣的服務(wù)器把DNS服務(wù)器地址、域名和搜索路徑等DNS信息告訴節(jié)點。當(dāng)然，這樣做需要額外的服務(wù)器。2.4 IPv6過渡階段與DNS在IPv4到IPv6的過渡過程中，作為Internet基礎(chǔ)架構(gòu)的DNS服務(wù)也要支持這種網(wǎng)絡(luò)協(xié)議的升級和轉(zhuǎn)換。IPv4和IPv6的DNS記錄格式等方面有所不同，為了實現(xiàn)IPv4網(wǎng)絡(luò)和IPv6網(wǎng)絡(luò)之間的DNS查詢和響應(yīng)，可以采用應(yīng)用層網(wǎng)關(guān)DNS-ALG結(jié)合NATPT的方法，在 IPv4和IPv6網(wǎng)絡(luò)之間起到一個翻譯的作用。例如，IPv4的地址域名映射使用“A”記錄，而IPv6使用“AAAA”或“A6”記錄。那么， IPv4的節(jié)點發(fā)送到IPv6網(wǎng)絡(luò)的D

13、NS查詢請求是“A”記錄，DNS-ALG就把“A”改寫成“AAAA”，并發(fā)送給IPv6網(wǎng)絡(luò)中的DNS服務(wù)器。當(dāng)服務(wù)器的回答到達(dá)DNS-ALG時，DNS-ALG修改回答，把“AAAA”改為“A”，把IPv6地址改成DNS-ALG地址池中的IPv4轉(zhuǎn)換地址，把這個IPv4轉(zhuǎn)換地址和IPv6地址之間的映射關(guān)系通知NATPT，并把這個IPv4轉(zhuǎn)換地址作為解析結(jié)果返回IPv4主機。IPv4主機就以這個IPv4轉(zhuǎn)換地址作為目的地址與實際的IPv6主機通過NATPT通信。(如圖1 所示)圖 13 IPv6域名系統(tǒng)下的安全分析3.1 IPv4DNS的安全性問題某些 DNS 服務(wù)器支持的反向查詢（iquery）

14、功能可使攻擊者獲得區(qū)域傳輸。所謂DNS服務(wù)器反向查詢，就是輸入IP地址，可以查出域名。攻擊者獲得區(qū)域傳輸后可以識別出注冊到您的 DNS 服務(wù)器的每臺計算機，并且可能被攻擊者用來更好的了解您的網(wǎng)絡(luò)。甚至當(dāng)您在 DNS 服務(wù)器上禁用了區(qū)域傳輸時，iquery 功能仍舊可以允許區(qū)域傳輸發(fā)生。例如“網(wǎng)絡(luò)釣魚（Phishing）”攻擊、“DNS中毒（DNS poisoning）”攻擊等，這些攻擊會控制DNS服務(wù)器，將合法網(wǎng)站的IP地址篡改為假冒、惡意網(wǎng)站的IP地址等。3.2 IPv6 對DNS安全的增強(1)掃描子網(wǎng)難度的增加 IPv6的地址由32bit增加到128bit就能讓現(xiàn)在攻擊前常用的端口掃描難

15、以繼續(xù)，IPv6子網(wǎng)掃描所消耗時間比起IPv4子網(wǎng)掃描所耗費的時間讓攻擊者難以接受，這將大大減少掃描整個子網(wǎng)情況的出現(xiàn)，或者使用變通的方法以縮小掃描范圍，如:考慮管理員手工配置時多使用prefix:1遞增的地址;考慮自動配置使用MAC地址作為最后48bit，而其中前24位是生產(chǎn)廠商的編碼，因此掃描范圍可以減小到224個主機:或者使用其它替代方法，而這些都將增大掃描的難度。(2)DNS安全擴展協(xié)議的引入 安全域名系統(tǒng)(域名系統(tǒng)安全擴展)DNSSEC是專門針對檢測仿冒性攻擊而設(shè)計的。DNSSEC目的是讓終端用戶的域名解析系統(tǒng)能夠獲知所解析的域名是否真正有效 ，從而避免用戶在仿 冒的網(wǎng)站上將自己的重

16、要信息泄露給攻擊者，保證用戶客戶端收到的DNS記錄的合法性。此外 ，DNS擴展與原有的DNS系統(tǒng)是向下兼容的，因此在實現(xiàn)上具有可行性 。但由于整個 Internet上的DNS系統(tǒng)已經(jīng)是一個非常龐大的分布式的域名記錄數(shù)據(jù)庫 ，完全實現(xiàn)向DNSSEC的轉(zhuǎn)換 ，需要投入大量時間和工作量 。此外 ，DNSSEC只是提供了對 DNS記錄真實性的驗證 ，只在有限的程度上為用戶通信的安全提供了保證。要完全保證用戶信息的安全 ，還需要在應(yīng)用層面 、傳輸層面提供更加完整的解決方案。另一方面，DNSSEC在 DNS請求和響應(yīng)中添加了數(shù)字簽名 ，也增加了通信的流量和復(fù)雜度 ，可能會導(dǎo)致新的基于加密算法的拒絕服務(wù)攻擊

17、(3)反向查詢機制的健全 RFC 1886中描述了為進(jìn)行IPV6反向查詢而創(chuàng)建的IP6.INT域，它根據(jù)主機的IP地址，來確定主機的域名。為了給反向查詢創(chuàng)建命名空間，在完整表達(dá)的IPV6地址中，每個十六進(jìn)制數(shù)都變成了以反序排列的反向區(qū)域結(jié)構(gòu)中一個單獨的級別。通過對IPv6所提供的新的安全機制的介紹，我們可以看出，IPv6可以進(jìn)行身份認(rèn)證，并且可以保證數(shù)據(jù)包的完整性和機密性，所以在安全性方面，IPv6相對于IPv4有了質(zhì)的提高。3.3 過度機制引發(fā)的安全問題IPv4和IPv6的DNS記錄格式等方面有所不同，尤其是IPv4-mapped IPv6地址的時，址有兩種不同的含義:用AF_ INET6表

18、示IPv4地址 (RFC3493);或用AF INET6表示IPv6通訊(RFC2765)。這種二義性導(dǎo)致可能的安全威脅，因為很難分辨一個IPv4-mapped IPv6地址是一個真實的IPv4地址表示為IPv6格式還是收到的偽造的IPv6地址。如數(shù)據(jù)包中IPv6源地址是:ffff:，目標(biāo)主機會以為是來自自己()，但這也可能是收到的來自外部偽造的IPv6地址(:ffff:)。4 總結(jié) 隨著Internet技術(shù)的不斷發(fā)展，IPv6已經(jīng)離我們越來越近。DNS作為IPv4時代的網(wǎng)絡(luò)基礎(chǔ)服務(wù)，對Internet起著重要的作用。在即將到來的IPv6時

19、代，新的協(xié)議和功能要求DNS不再是僅僅提供傳統(tǒng)意義上的簡單資源定位，而是一方面提供類似IPv4 DNS的基礎(chǔ)功能，另一方面結(jié)合IPv6的新特性，和其它協(xié)議有機的結(jié)合在一起，提供新的功能，使網(wǎng)絡(luò)的配置、維護(hù)、使用變的更加簡單方便，讓用戶感覺到新技術(shù)帶來的新體驗。參考文獻(xiàn) 1 Rolf Oppliger, Security at the Internet Layer, IEEE, September 19982李信滿.趙宏，IPv6的安全體系結(jié)構(gòu)，中興通訊技術(shù)，20023 Jari Arkko等，Securing IPv6 Neighbor and Router Discovery, WiSe02

20、, Sep 20024P.Savola, Security of IIvb Routing Header and Home Address Options, draft-savola-ipv6-rh-ha-security-02.txt5 P. Savola, Firewalling Considerations for IPvb, draft-savola-vbops-firewalling-02.txt(6 S. Deering and R. Hinden, Internet Protocol, Version 6(IPv6) Specification, RFC2460, Internet Engineering Task Force, Dec 20027 P. Savola and C. Patel, Security Considerations for 6to4, draft-ietf-v6ops-6to4-security-02.txt8 httpa/9王玲.錢華林，IPv6的安全機制及其對現(xiàn)有網(wǎng)絡(luò)安全體系的影響，微電子學(xué)與計算機2003年第1