应对DNS安全威胁
开篇:润墨网以专业的文秘视角,为您筛选了一篇应对DNS安全威胁范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
众所周知,DNS(域名解析系统,Domain Name System)的主要作用是维护互联网上人们日常使用的域名和IP地址的对应关系。域名解析系统是一个非常复杂的系统,加上最近频繁发生DNS劫持事件,其安全性已成为业界十分关注的问题。
DNS工作原理
互联网基于TCP/IP协议构建,任何一个网络资源(比如一个网站)首先要有一个IP地址才能被访问。IP地址相当于网络世界的地址,但由于这个地址是一个32位(IPv4)的数字编码,非常不方便记忆,所以发明了DNS,将人们容易记忆的且有一定特别含义的文字串,如.cn、等转化成IP地址,极大地简化了互联网的访问。
下面通过一个最简单的场景来说明DNS的基本工作原理。当我们需要通过域名访问一个网站时,本质就是需要将域名转换成IP地址;因此我们需要设置至少一个DNS服务器(通常称为LDNS,下文中会详细介绍)。计算机上的DNS客户端向LDNS发出请求;LDNS做为服务器端会通过递归的方式从根域开始逐级解析,最终获得用户需要的IP地址并将IP地址返回给客户端,此时计算机就能向解析出来的IP地址发送HTTP请求。
图1. 互联网用户访问网络资源的基本流程
近期经常发生大型网站DNS的安全事件,下文将详细介绍解析服务所面临的威胁、应对措施,以及相关的防范技术。
从安全的角度来看,对DNS的攻击方式主要包括三大类,一种是流量型拒绝服务攻击,如UDP flood、TCP flood、DNS请求flood,和PING flood等。这种类型的攻击的典型特征是消耗掉DNS服务器的资源使其不能及时响应正常的DNS解析请求,资源的消耗包括对服务器CPU、网络等的消耗。第二种是异常请求访问攻击,如超长域名请求、异常域名请求等,这类型攻击的特点是通过发掘DNS服务器的漏洞 ,通过伪造特定的请求报文,导致DNS服务器软件工作异常而退出或崩溃而无法启动,达到影响DNS服务器正常工作的目的。第三种是DNS劫持攻击,如篡改LDNS缓存内容、篡改授权域内容、ARP欺骗劫持授权域、分光劫持等,这种类型攻击的特点是通过直接篡改解析记录或在解析记录传递过程中篡改其内容或抢先应答,从而达到影响解析结果的目的。
DNS劫持
域名劫持简单地说就是LDNS由于某种原因缓存了错误的结果,所以也叫做域名服务器缓存污染(DNS Cache Poisoning)。
DNS按工作机制来划分一般可以分为两种。一种是只有缓存(Cache)功能的DNS服务器,这类服务器最典型的就是各个ISP提供的负责解析服务的服务器,通常称为LDNS。LDNS服务器上没有原始的域名解析记录,所有的记录都需要通过查询授权域名服务器来获得,同时根据授权域名服务器返回的结果中给定的过期时间(TTL)来确定这些记录的有效性。在TTL时间内,服务器可以直接将已经获得的结果返回给所有来查询的客户端;TTL时间过期后,再向授权域名服务查询获得最新的结果。另一种是授权域名服务器,上面保存着自己管理的域下的各种解析记录,供LDNS或其它客户端查询。
由于被污染的LDNS会将返回的结果缓存一定时间,并且在这个期间内对所有向它请求的客户端都直接返回错误结果,所以具有非常大的影响力和破坏力。可以把LDNS考虑成一个火车站问询处,它的设立是为了方便旅客了解信息,例如列车会停靠在哪个站台(相当于域名到IP的转换)。但是问讯处的人员在获取这个信息时,本来应该向火车站调度员去询问,而由于某种原因,比如调度员被劫持胁迫,或者与调度员的对话上出现误差,导致其获得的列车停靠站台信息有误,就会造成所有向调度员询问信息的人都获得了错误的结果,从而前往一个错误的站台接站。
DNS劫持理论上可以发生在整个DNS解析过程中的任何一个环节,比如客户到LDNS的访问过程、LDNS访问根域的过程,或者LDNS访问某一级授权域的过程;其中以后两种最为常见。
如何应对DNS劫持
出现域名劫持后,首先要及时确定域名劫持发生的范围及影响程度,确定域名被修改的原因是什么;比如是LDNS的缓冲信息被直接修改?还是某一级的授权域名服务器的记录被修改?或者授权域名服务器所在的网络发生ARP欺骗攻击导致信息出现错误?抑或是在LDNS到授权域名服务器的访问链路上返回结果的报文被直接修改等等。
确定了问题点后,就需要及时修补漏洞,并及时重启被污染的LDNS,以防止错误的解析结果由于TTL缓存继续影响更多的用户访问。
DNS劫持的防范通常用DNSSEC技术,除此之外,ChinaCache(蓝汛)还利用冗余性多重域名的方式降低域名劫持的风险;自主研发的解析验证系统更能为客户带来更安全的服务。
DNS劫持防范与ChinaCache创新技术
目前在业界比较好的方法是使用DNSSEC的方式来防止域名劫持。DNSSEC简单来说就是在LDNS向授权域请求解析时,支持DNSSEC的授权域名服务器会将解析结果进行一次授权加密,LDNS拿到结果后会进行一次解密,同时校验解析结果的完整性,以避免获得的结果是从非授权域获得的,同时还可以避免获得的结果在过程中被篡改。ChinaCache承担上万台设备的DNS解析指向,每天有上亿次解析任务。因此,安全性是ChinaCache DNS服务最重视的环节之一。除了支持DNSSEC来获得解析的安全性以外,ChinaCache还拥有其它专利技术和手段,进一步降低DNS被污染的风险。
ChinaCache利用DNS解析的特点,其DNS解析由多组DNS服务器群组成,每组DNS服务器群负责一个特定域的管理。ChinaCache还通过多重业务域名将客户业务进行备份,将解析过程合理分布于多个域名中,有效降低被劫持的概率。另一方面,与运营商的合作关系也是提供优质DNS解析服务的重要保障。当域名污染出现时,电信运营商的作用和反应速度将直接关系到为客户提供的服务质量。ChinaCache通过与全国各运营商的良好合作关系,可在危险发生的第一时间联系本地运营商,迅速排除故障。此外,ChinaCache还自主开发了独特的解析验证系统;其可自动绕过全球LDNS的缓存,对DNS解析的正确性进行实时有效的直接监控。一旦发生任何异常,解析验证系统将自动生成错误诊断报告,以便相关人员采取应急措施。
ChinaCache的一系列DNS技术“组合拳”确保了客户网络服务的稳定性和安全性,得到许多对安全性要求较高的企业的青睐;例如中国工商银行等金融机构。随着IPv6等更多新标准和新技术的推出与普及,ChinaCache也将相应推出更具创新性的DNS产品,与其完善的CDN服务相配合,为业界创造更健康、稳定的网络环境。