国科云提供域名管理、域名锁、智能解析、DDI、IPv6转换、SSL证书等一站式域名解决方案,并形成以云解析、云监控、云盾、云服务器为核心的云计算产品服务体系。
分类: 网络与安全
2023-05-24 16:34:26
作为互联网上的一项基础服务,DNS在网站运行中起到了至关重要的作用,然而其安全性在很长一段时间内都没有得到足够的重视。DNS采用不可靠的UDP协议,安全性具有较大的漏洞,攻击者很容易利用这些漏洞发动攻击,从而引起一些安全问题,如数据被拦截、缓存区中毒、拒绝服务攻击等。
近年来,针对域名发起的劫持和攻击事件频繁发生。2009年巴西{BANNED}最佳大的银行遭受DNS缓存投毒攻击,用户被重定向至一个伪装的银行网站,导致用户密码被窃取。2013年,国家域名解析节点受到DNS拒绝服务攻击,导致.cn的部分网站无法打开,造成了非常恶劣的影响。这些DNS攻击事件让人们真正意识到DNS的安全已经成为目前互联网存在的{BANNED}最佳严重的安全漏洞与隐患之一。
本文主要从DNS自身架构存在的缺陷以及目前所面临的常见威胁做下简单论述,并针对当前内外部DNS风险提出相应的防护建议,以提升DNS自身安全的稳健性,增强其对日益高发的网络攻击的抵抗能力,有助于提升DNS在新模式下的功能多样性和覆盖领域广泛性。
基于DNS协议特点和层级关系,本文将DNS自身安全风险概括为协议脆弱性、系统脆弱性和体系脆弱性三个方面。
1.1协议脆弱性
DNS协议在设计之初,没有充分考虑安全问题,采用的是UDP协议传输信息,消息传输过程中不作加密处理,资源记录也不进行任何防伪造保护,因此DNS协议很容易遭受缓存投毒、数据窃听等攻击,其中DNS缓存投毒是非常普遍的攻击方式,对DNS的安全性和准确性造成了极大破坏。
DNS协议还存在比较严重的隐私泄露问题,由于DNS查询过程中可能包含许多敏感信息,在域名解析过程中,可能会导致用户身份和设备类型等重要信息的泄露,目前很多非法公司利用DNS这一缺陷搜集用户信息,分析用户行为,谋取广告盈利。
此外,利用DNS漏洞发起的攻击行为还有很多,如中间人攻击(MITM)、缓存攻击、分布式拒绝服务攻击(DDoS)等,本文会在下面详细讲述。
1.2系统脆弱性
在当前DNS软件服务中,{BANNED}最佳为常用的技术方案是采用Berkeley Internet Name Domain 技术,英文简称BIND,据数据表明,全球DNS服务器系统中有超过90%采用了BIND技术,BIND是互联网系统协会开发并进行日常维护的,虽然BIND经历多次更新,其软件安全性得到了一定提升,安全漏洞也修复了很多,但其开源的特点决定了其不可避免地存在一定的安全风险。
根据漏洞信息库CVE披露的数据,BIND软件漏洞高达102项,涉及BIND8、BIND9和BIND4.9等主要版本,漏洞主要包括DoS、缓冲区溢出、权限漏洞等。2016年,ISC BIND9 远程动态更新消息拒绝服务漏洞导致多家DNS运营服务商出现缓存中毒问题,对全球网络秩序造成了严重影响。
1.3结构脆弱性
DNS体系脆弱性主要体现在DNS根服务器在DNS分层结构中扮演的核心作用。为了减轻单个服务器造成的压力,同时避免单节点服务器故障造成整个DNS体系的崩塌,DNS系统采用了树状分层结构,而根服务器处于整个DNS系统的核心位置,维护着全球所有顶级域名(TLD)的位置信息,当用户发起访问时,在DNS缓存不能命中的情况下都需要从根服务器发起查询。在域名验证过程中,部署DNSSEC协议的根服务器作为信任锚,存储着顶级域名服务器的密钥和签名记录,为域名验证提供{BANNED}最佳终的权威认证,根服务器控制着域名的解析和验证。
DNS的这种体系结构,决定了一旦根服务器发生故障,将会对整个DNS系统以及互联网造成严重影响。2002年10月21日,13台根服务器遭受了有史以来{BANNED}最佳严重的DDoS攻击,导致其中9台根服务器瘫痪,2007年2月6日,根服务器再次遭受DDoS攻击,这两次大规模的DDoS攻击都对根服务器的正常运行造成了巨大破坏,对全球数亿用户正常访问互联网造成了严重影响。
目前IPv4协议下,全球只有13台根服务器,而在IPv6环境下,全球再配置了25台IPv6根服务器,通过增加根服务器数量提升了全球互联网多边共治的能力,但并没有从根本上解决DNS体系结构脆弱的难题。