《DNS基础及安全防护》.docVIP

DNS基础及安全防护 李原昊 上海市教委信息中心 200020 摘 要：DNS服务是互联网的基础服务，HTTP、FTP、Email等服务都需要DNS的支持。建立DNS服务器，可以实现域名和IP地址之间的转换，是实现Internet应用的基础。本文介绍了DNS的基本概念、域名解析的工作原理，并详细分析了DNS服务的安全隐患及防范措施。 关键字：DNS；域名解析；信息安全 1．DNS的基础概念 DNS是Domain Name System的缩写。中文解释是域名系统，用于命名组织到域层次结构中的计算机和网络服务。网络中为了区别各个主机，必须为每台主机分配一个惟一的地址，这个地址即称为IP地址。但IP地址是难以记忆的数字，所以就采用“域名”的方式来取代这些数字。 在因特网上人们经常使用域名来访问网站，域名与IP地址之间是互相对应的，但是域名虽然便于我们记忆，但机器之间只能识别二进制的32位IP地址。域名和IP地址之间的转换工作称为域名解析，我们可以建立专门的DNS域名解析服务器来完成。当某台主机要与其他主机通信时，就可以利用主机名称向DNS服务器查询该主机的IP地址。DNS将枯燥、没有意义的数字映射成具有特定含义的词或缩写，便于人们记忆和理解。 2．DNS的工作原理 2.1　域名空间 DNS的命名结构称为域名空间，域名空间是一个呈树型、层次结构分布式数据库。DNS的根是整个DNS的根本，也是互联网上最关键的服务之一。 根域名服务器具有指向第一层域的初始指针，也就是顶层域，如.com或者.net等等。顶层域名最初由Internet授权给一些管理机构，各管理机构再对其管辖的域名空间继续划分后授予子管理机构。如此下去，就形成了层次型域名。由于管理结构是逐级授权的，所以最终的域名都成为Internet上唯一名字。由此通过域名代替IP地址，便于用户理解和记忆。 2.2　域名解析 人们在访问互联网时输入的其实是一个域名，用户计算机将其交给DNS域名解析服务器，服务器在接到请求后会回应用户计算机一个IP地址，用户计算机再通过DNS服务器返回的IP地址访问互联网。当用户计算机把要访问的域名交给DNS域名解析服务器时，服务器开始查询自己的DNS数据库。 域名解析通常有三种方式：递归查询、迭代查询和转发器。递归查询是在当用户计算机发送给DNS服务器要求解析某个域名时，DNS服务器首先查找自己的数据库，如果数据库中有对应的域名和IP地址的映射信息，则把该域名所对应的IP地址返回给用户计算机。如果服务器在自己的数据库中没有发现记录，则查询失败。 而迭代查询主要是由一台DNS服务器发往另外一台DNS服务器的查询。用户计算机向本地DNS服务器发起请求解析某个域名，本地DNS服务器收到请求后，根服务器作出响应，提供靠近所请求域名的DNS服务器的IP地址，依次类推，直到本地DNS服务器接收到所要查询的记录，随后将其回应给用户计算机。 另外，转发器是当内部DNS服务器无法解析域名的情况下，转发器通过内部DNS服务器把用户计算机发送来的请求转发给外部网络上的DNS服务器进行解析。用户计算机向本地DNS服务器发送请求，本地DNS服务器在数据库中没有发现记录，但由于配置了转发功能，把该请求转发给外网的DNS服务器。外网DNS服务器接到请求后，查询记录并把记录返回给本地DNS服务器，由本地DNS服务器将结果返回给用户计算机。 3．DNS服务器面临的安全隐患 DNS服务面临的安全隐患主要包括：DNS欺骗（DNS Spoffing）、拒绝服务（Denial of service，DoS）攻击、分布式拒绝服务攻击和缓冲区漏洞溢出攻击（Buffer Overflow）。3.1　DNS欺骗 DNS欺骗即域名信息欺骗，是最常见的DNS安全问题。当一个DNS服务器掉入陷阱，使用了来自一个恶意DNS服务器的错误信息，那么该DNS服务器就被欺骗了。DNS欺骗会使那些易受攻击的DNS服务器产生许多安全问题，例如：将用户引导到错误的互联网站点，或者发送一个电子邮件到一个未经授权的邮件服务器。网络攻击者通常通过三种方法进行DNS欺骗。 （1）缓存感染 黑客会熟练的使用DNS请求，将数据放入一个没有设防的DNS服务器的缓存当中。这些缓存信息会在客户进行DNS访问时返回给客户，从而将客户引导到入侵者所设置的运行木马的Web服务器或邮件服务器上，然后黑客从这些服务器上获取用户信息。 （2）DNS信息劫持 入侵者通过监听客户端和DNS服务器的对话，通过猜测服务器响应给客户端的DNS查询ID。每个DNS报文包括一个相关联的16位ID号，DNS服务器根据这个ID号获取请求源位置。黑客在DNS服务器之前将虚假的响应交给用户，从而欺骗客户端去访问恶意的网站。 （3）DNS重定向 攻击者能够将DNS名