（通信与信息系统专业论文）dns安全问题及解决方案研究.pdf

华中科技大学硕士学位论文 摘要 随着今年来i n t e r n e t 飞速发展，电子邮件，电子商务，电子政务等等多种基 于i n t e r n e t 的新型技术给人们的生活、工作带来了极大的便利。但是，应该看到， 大量的私人文件、数据在i n t e r n e t 上传输带来的安全隐患，一旦这些文件、数据 被截获或者被破译，可能导致的后果是不堪设想的。 网络域名系统( d o m a i nn a m es y s t e m ，d n s ) 负责完成从域名到i p 地址以及 i p 地址到域名的翻译工作，另外，随着技术发展，d n s 还承担了邮件服务器的交 换工作。因此，d n s 是i n t e r n e t 上不可缺少的一部分。近年来，d n s 遭受到了 系列的攻击，导致i n t e r n e t 的通信受到严重的影响。在某些严重的情况下导致数 据被骗取。造成公司、机构巨大损失。因此，众多业内人士开始关注d n s 的安全 问题。乙。7 本文首先分析了d n s 系统的体系结构和查询流程，使得对d n s 的工作流程有 总体的了解。接着通过对d n s 遭受攻击的方式的分析，找出d n s 容易遭受攻击的 原因。在这个基础上，本文首先研究了目前流行的一系列加密技术，作为网络安 全的基础和核心，在解决d n s 安全中显然起着举足轻重的作用；然后深入研究了 目前流行的d n s s e c 技术是采用何种策略来保护d n s 系统，通过这一系列分析研究， 本文总结出d n s s e c 技术的优势和不足，并且提出了采用该策略在实现过程中需要 注意的地方。针对它的一个最明显的不足一一效率低下，本文提出了一种基于对 称证书的策略保护d n s 系统的安全，能够很好地解决这个闯题。但是，本文并没 有彻底解决d n s s e c 技术的一些不足之处和需要完善之处，这也是本课题接下来需 要做的工作。 关键词：网络安全 莉磊面劝 飞 9 7 l 7 弋 ，d n s i 砸照，公钥加密宴癌畴对称加密算南趔唔重! 二扔 i 华中科技大学硕士学位论文 a b s t ra c t w i t ht h ef a s td e v e l o p m e n to fi n t e r n e t ，i tb r i n g su sl o t so fa d v a n t a g e a n df a c i i i t yi no u rw o r ka n dl i r i n ge n v i r o n m e n t ，s u c ha se - m a i l ，e - b u s i n e s s a n de - g o v e r n m e n t b u tw es h o u l dn o t i c et h a ti th a ss e c u r eh i d d e nt r o u b l e b e c a u s el o t so fp r i r a t ef i i e sa n dd a t aw e r et r a n s p o r t e di ni n t e r n e t o n c e t h o s ef i l e sa n dd a t ab e e ni n t e r c e p t e do rd e c o d e d ，i tw i l lb r i n go ns e r i o u s r e s u l t d n s ( d o m a i nn a m es y s t e m ) t a k ec h a r g eo ft h et r a n s f e rb e t w e e ni pa d d r e s s a n dd o m a i nn a m e w i t ht h ed e v e l o p m e n to ft e c h n o l o g y ，d n st a k eo nm a i l e x c h a n g et o o f o rt h i sr e a s o n ，d n si st h eh a r dc o r eo fi n t e r n e t i nr e c e n t y e a r ，d n sh a ss u f f e r e df r o mas e r i e s o fa t t a c k i tb a d l ye f f e c t e dt h e c o m m u n i c a t i o no fi n t e r n e t i n s o m es e r i o u sc o n d i t i o n ，t h a ta t t a c k e r i n t e r c e p ta n dd e c o d et h es e c r e td a t at h r o u 【g hd n ss p o o fb r i n gh u g e l o s st o c o r p o r a t i o no ri n s t i t u t i o n t h e r e f o rm o r e a n dm o r ep e o p l eb e g i nt op a y a t t e n t i o nt ot h es e c u r i t yp r o b l e mo fd n s a tt h eb e g i n n i n g ，t h ep a p e rc o m p r e h e n dt h ep r o c e s so fd n ss y s t e mt h r o u g h a n a l y z e i n gt h ed n sc o n s t r u c t i o na n dq u e r yp r o c e s s a n d t h e nf i n do u tt h e r e a s o nt h a tm a k et h ed n sb e e na t t a c k e de a s il yt h r o u g has e r i e so fe x p e r i m e n t t h a ts i m u l a t et h ea t t a c ks c e n a r i o i nt h i sb a s i s 。t h ep a p e rf i r s tr e s e a r c h as e r i e so fe n c r y p t i o n st e c h n i q u e s a st h eb a s i sa n dh a r dc o r eo fn e t w o r k s e c u r i t y ，e n c r y p t i o n st e c h n i q u e sh o l dt h eb a l a n c ei nd n ss e c u r i t yo b v i o u s l y i n s u c c e s s i o n ，t h r o u g hl u c u b r a t e ，t h ep a p e rd e t a i l e da n a l y z et h ep o l i c y o fd n s s e c ，w h i c hi st h em o s tp o p u l a rt e c h n i q u e st or e s o l v et h es e c u r i t y p r o b l e mo fd n s ，a n ds u mu pt h ea d v a n t a g ea n dt h es h o r t a g eo fd n s s e c i n a ll u s i o nt ot h ep r i m a r ys h o r t a g eo fd n s s e c ，l o we f f i c i e n c y ，t h ep a p e rp u t f o r w a r dan e wp o l i c y ，b a s e do ns y m m e t r i c a lc e r t i f i c a t e ，t or e s o l y et h i s p r o b l e m b u t t h ep a p e r d o e s n tr e s o l v ea 1 1 t h e p r o b l e m o f d n s s e c d r a s t i c a l l ya n dc o n s u m m a t ei t t h a ti s t h er e s e a r c hw en e e dc o n t i n u et o d o k e y w o r d ：n e t w o r k s e c u r i t y ，d n s ，d n ss p o o f , p u b l i c - k e ye n c r y p t i o n a r i t h m e t i c ， s y m m e t r i c a le n c r y p t i o na r i t h m e t i c ，d n s s e c ，s y m m e t r i c a le n c r y p t i o nc e r t i f i c a t i o n 华中科技大学硕士学位论文 1 绪论 本章对网络安全进行了一个系统性的描述，并且对本文的研究背景、主要内 容以及实际意义进行了说明。 1 1 网络安全 l1 1 网络安全的概念 随着i t 市场及i n t e r n e t 的飞速发展，个人以及企业将越来越多的商务活动 放到i n t e r n e t 网上进行，如何保护网络数据的机密性，完整性和真实性，从而避 免其他人或者商业对手的窃听，冒充，篡改，非授权访问及破坏成为人们越来越 关注的一个焦点。因此网络安全的问题被人们越来越重视。 网络安全是一个很广泛的概念，但是具体到不同的角度、应用和环境，网络 安全的侧重点存在着不同。 从不同的角度来看，对于网络运营以及管理者来说，他们希望对本地网络信 息的访问、读写等操作受到保护和控制，避免出现“陷门”、病毒、非法存取、 拒绝服务和网络资源非法占用和非法控制等威胁，制止和防御网络黑客的攻击； 对于安全保密部门来说，他们希望对非法的、有害的或涉及国家机密的信息进行 过滤和防堵，避免机要信息泄露，避免对社会产生危害，对国家造成巨大损失； 对于社会教育和意识形态角度，网络上不健康的内容，会对社会的稳定和人类的 发展造成阻碍，必须对其进行控制i l j 【2 j 。 从本质上来说，网络安全就是网络上的信息安全，是指网络系统的硬件、软 件及其系统中的数据受到保护，不会由于偶然的或者恶意的原因而遭到破坏、更 改、泄露，系统能够连续可靠正常地运行，网络服务不中断。广义来说，凡是涉 及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论 都是网络安全所要研究的领域。网络安全涉及的内容既有技术方面的问题，也有 管理方面的问题，两方面相互补充，缺一不可。技术方面主要侧重于防范外部非 法用户的攻击，管理方面则侧重于内部人为因素的管理。 1 1 2 网络安全要实现的目标 通俗地说，网络信息安全与保密主要是指保护网络信息系统，使其没有危险、 不受威胁、不出事故。从技术角度来说，网络信息安全与保密的目标主要表现在 2 华中科技大学硕士学位论文 系统的保密性、完整性、真实性、可靠性、可用性、不可抵赖性等方面。 1 可靠性：可靠性是网络信息系统能够在规定条件下和规定的时间内完成规定 功能的特性。可靠性是系统安全的最基于要求之一，是所有网络信息系统的 建设和运行目标。 2 可用性：可用性是网络信息可被授权实体访问并能够按照需求使用的特性。 即网络信息服务在需要时，允许授权用户或实体使用的特性，或者是网络部 分受损或需要降级使用时，仍能为授权用户提供有效服务的特性。可用性是 网络信息系统面向用户的安全性能。 3 保密性：保密性是网络信息不被泄露给非授权的用户、实体或过程，或供其 利用的特性。 4 完整性：完整性是网络信息未经授权不能进行改变的特性。 5 不可抵赖性：不可抵赖性也称作不可否认性，在网络信息系统的信息交互过 程中，确信参与者的真实同一性。即，所有参与者都不可能否认或抵赖曾经 完成的操作和承诺。 6 可控性：可控性是对网络信息的传播及内容具有控制能力的特性。 1 2 网络安全技术 1 数据加密技术 数据加密技术是保障信息安全的最基本、最核心的技术措施和理论基础，由 加密算法来具体实施，可以以较小的代价获得较大的安全保护。目前常用的加密 技术主要有一下三大类【3 1 1 4 1 ： 1 ) 对称密钥加密：加、解密使用同样的密钥，依据d e s 算法为典型代表，其加、 解密过程主要由初始置换、子密钥生成、乘积变换和逆初始置换等过程组成。 优点是加解密速度快，算法易实现，安全性好；缺点是密钥量短，容易被穷 尽，在复杂网络中难实现密钥管理。 2 ) 非对称加密：加、解密使用不同的密钥，每个用户保存着一对密钥，分公开密 钥和秘密密钥。r s a 算法是其最为著名的算法，其主要优点是在网络中易实现 密钥管理，便于进行数字签名，缺点是算法复杂，加解密速度慢。 3 ) 不可逆加密技术：其特征是加密过程不需要密钥，并且经过加密的数据无法被 解密，只有同样的输入数据经过同样的不可逆加密算法才能得到相同的加密数 据。其优点：不存在密钥保管和分发问题，适合在分布式网络系统上使用；缺 点是加密计算工作量大，通常用于数据量有限的情形下的加密。近来，随着计 算机系统性能的不断改善，不可逆加密的应用逐渐增加。 2 鹱别技术 鉴别技术主要是在信息交换过程中防止信息被非法伪造、篡改和假冒的种 3 华中科技大学硕士学位论文 技术。如果黑客进入了计算机系统，发布虚假信息或更改真实的信息，通过鉴别 技术即可作出判断。鉴别技术主要有： 1 1 报文鉴别：是指在两个通信者之间建立通信联系之后，每个通信者对收到的信 息进行检证，以保证所收到的信息是真实的过程。 2 ) 身份鉴别：主要指在网络系统中对用户身份真实性的鉴别。 3 1 数字签名：是信息接收和发送双方在收到和发出信息时的身份验证技术。可使 信息发收双方不能根据各自利益互相修改签名后的文档和推卸责任，当发生争 执时可由第3 方仲裁。 3 网络控制技术 1 ) 防火墙技术：“防火墙”是在两个网络之间实行控制策略的系统，通常安装在 单独的计算机上，与网络的其余部份分隔开，在内部网与i n t e m e t 之间建立起 一个安全屏障，以保护私有网络资源，使其免遭非法使用者的侵入。 2 ) 审计计跟踪技术：审计跟踪技术是对使用何种系统资源、使用时间、如何使用 以及由哪个用户使用等问题提供一个完备的记录，以备非法事件发生后能够有 效的追查，是对系统安全实施有效监控的一种重要手段。 3 ) 访问控制技术和安全协议。 4 入侵检测技术 入侵检测就是通过从计算机网络或计算机系统中的若干关键点收集信息并对 其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹 象。 5 信息泄漏防护技术 主要是采用两方面的防护技术，一是抑止和屏蔽电磁泄漏；二是干扰性防护 措施，即在系统工作的同时施放伪噪声，掩盖系统的工作频率和信息特征，使外 界无法探测到信息内容。 1 3 本文研究背景 上面已经提到，网络安全的研究范围非常广泛，完全的研究是不现实的。选 择d n s 系统作为研究对象，在于d n s 虽然应用极为广泛而且非常重要，但是到目 前为止，d n s 可以说是i n t e r n e t 上最容易被攻击的系统，它设计上的缺陷以及人 们的重视程度不够导致了这一结果。 因此本文着重于讨论d n s 的安全性问题，并且在综合运用上述的数据加密技 术，鉴别技术，网络控制技术等多种网络安全技术的基础上提出一系列的解决方 案及改进意见。 本文的具体内容包括： 4 华中科技大学硕士学位论文 ld n s 的功能，结构的探讨。论文详细分析了d n s 的功能及其层次结构，这些 是讨论d n s 安全问题的基础。 2d n s 现阶段的安全问题探讨。讨论了目前针对d n s 系统的几种典型的攻击手 段，通过试验展现了这些典型的攻击手段的过程和后果，由此分析了d n s 系 统的安全问题的特点。 3针对d n s 目前的安全问题特点，分析了d n s s e c 扩展协议的关键技术。对 于d n s 系统的不同的应用场景和查询过程，提出了不同的安全策略，这样， 提高了解决安全问题的针对性。 4 针对d n s s e c 的效率问题，提出了基于对称加密算法的改进策略。并且通过 一系列的试验对两种策略的效率做了比较，得出结论。 1 4 本章小结 本章主要在总体上描述了网络安全的概念以及网络安全要实现的目标。分析 了在现代社会环境下，在网络高速发展的情况下网络安全采用的主要技术。最后， 提出了本文要研究的方向是d n s 的安全防护，描述了对d n s 的安全进行研究的必 要性以及如何解决d n s 安全问题。 一一 5 华中科技大学硕士学位论文 2d n s 体系结构及安全问题研究 2 1d n s 的由来及发展历史 d n s 是d o m a i nn a m es y s t e m 的简称，它代表了一系列的t c p i p 协议和服务， 这些协议和服务能够提供给网络用户友好的、分层次的网络名称来访问其它主机， 而不是用那些难于记忆的i p 地址。几乎所有的网络程序和协议在网络通信中都需 要用到d n s ，例如w e b ，f t p ，t e l n e t ，或者其它的t c p i p 协议程序p 1 1 6 1 。 在i n t e r n e t 开始阶段，并没有d n s ，所有的名字解析都是由一个h o s t 文件 来完成的，例如u n i x 系统中的e t c h o s t s 。这些文件由网络信息中心( n e t w o r k i n f o r m a t i o nc e n t e r ，n i c ) 集中管理，每一台要连上i n t e r n e t 的计算机都需要 周期性地连接到n i c 上升级这些h o s t 文件。随着i n t e r n e t 爆炸性地增长，这种 低效率的方法变成了网络管理员的负担，并且极大地阻拦了i n t e r n e t 的发展。因 此，p a u lm o c k a p e t r i s 教授设计了d n s 系统来解决这些问题。 d n s 的主要，也是最著名的功能就是它可以在全球范围内把可以识别的主机 名惟一地映射成i p 地址，即所谓的前向映射。随着d n s 技术和i n t e r n e t 技术的 不断发展，d n s 逐渐增加了一些其他功能，包括反向映射( i p 地址到主机名的解 析) 、邮件交换信息( 给一个给定主机或者域确定一个邮件交换器) 以及规范命名 ( 系统化的命名方案) 。最终，在1 9 8 7 年，i e t f 发布了d n s 的两个规范：r f c l 0 3 4 ， r f c l 0 3 5 ，前者主要规范了d n s 的概念和功能，后者主要说明了d n s 的规范和实现。 在i s o o s i 层次结构中，d n s 位于应用层( a p p l i c a t i o nl e v e l ) ，尽管它能 够提供给用户透明服务。d n s 报文的传输采用t c p 和u d p 皆可，一般来说，目前都 是采用u d p 传送，这样可以减少主机的负担和网络负担，但是对于某些情况，也 可采用t c p 传输，例如，当d n s 服务器返回的数据过长( 超过了u d p 5 1 2 字节的限 制，而t c p 的最大字节数可以达到6 5 5 3 5 ) ，采用t c p 传输d n s 报文。 2 2d n $ 的关键概念 在理解d n s 结构和工作过程之前，很有必要正确理解d n s 中几个关键的概 念和组件，包括名字服务器( n a m es e r v e r s ) ，资源记录( r e s o u r c er e c o r d s ) ，解析 器( r e s o l v e r s ) ，域名空间( d o m a i n n a m es p a c e ) ，顶级域( t o p l e v e l d o m a i n ) ， 正向映射和反向映射，域( d o m a i n ) ，区域( z o n e ) ，授权( d e l e g a t i o n ) 。正确的 理解这些概念和组件才能够正确的理解d n s 系统结构和工作原理。这些概念和组 6 华中科技大学硕士学位论文 件在后面的研究中会反复的使用f ”】f 】j l “j 。 1 域名空间( d o m a i nn a m es p a c e ) 在实际运用中，d n s 可以看成是一个主机名( n a m e s ) 的分布式数据库。这里 提到的分布式是指在i n t e r n e t 上的单个站点不能拥有所有的信息。每个站点( 如 大学中的系、校园、公司或公司中的部门) 保留它自己的信息数据库，并运行一 个服务器程序供i n t e r n e t 上的其他系统( 客户程序) 查询。这些主机名建立了一 个反方向的逻辑树形结构，称之为域名空间( d o m a i nn a m es p a c e ) 。可以形象地 说，域名空间就是由i n t e r n e t 上众多的d n s 服务器中的数据记录组成。 2 顶级域( t o pl e v e ld o m a i n ) d n s 域的根域( r o o td o m a i n ) 是由n i c 统一管理，它也负责分派全球范围内 的域名。在根域下面的子域，类似与e o m ，o r g ，e d u 等，就称为顶级域。 3 正向映射和反向映射空间 在上面提到了d n s 有正向映射和反向映射两种功能，这两种功能导致了两个 命名空间：一个正向映射空间首先分为c o m ，e d u 等顶级域，它们可以划分成各 个不同的子域，子域又可以继续分成下一层子域，等等，它们负责从域名到i p 地 址的映射；另一个反向映射空间中，所有的i p 组成一个叫做a r p a i n - a d d r 的顶 级域，然后再根据i p 层层细分。要注意的是：负责正向映射和反向映射的机器不 一定是同一部；域名和i p 并不是一一对应的，很简单，一台机器可能有多个i p 。 这也就为什么有时候需要把域名空间划分为正向映射空间和反向映射空间的原 因。 4 域( d o m a i n ) 域名空间中每一个节点以及节点下面的树枝构成了一个域( d o m a i n ) ，也就是 说，域名空间中一棵逻辑子树称为域( d o m a i n ) 。而每一个节点或者域( d o m a i n ) 都可以细分为多个子域( s u b d o m a i n ) ，也就是多条树枝。般来说，一个d o m a i n 中的映射关系是由一台主机服务器负责。 5 区域( z o n e ) 一般来说域名空间的一部分如果存有数据库记录并且这些记录是由一个特殊 的区域文件管理，这一部分域名空间就可以称为一个区域( z o n e ) 。简单来讲，一 个区域( z o n e ) 就是一棵独立管理的域名空间的子树。精确点来说，每个z o n e 由 一个名字服务器负责。对于z o n e 和d o m a i n 的关系，可以这么理解：一个d o m a i n 除去分派给子域负责的那部分，剩下的部分就成为z o n e 。因此，具体的对域中的 主机信息进行管理以及地址映射的功能可以从z o n e 来考虑。因此它是个具体的 管理实体，而d o m a i n 基本上是一个逻辑上的划分。 6 名字服务器( n a m es e r v e r s ) 一个包含了d n s 树形结构的信息并且能够设置这些信息的服务程序。名字服 华中科技大学硕士学位论文 务器能够高速缓存域名树的任何一部分信息，但是一般来说，一个名字服务器只 用来完善特定的一部分d n s 信息，这就意味着，某一个名字服务器只对域名空阁 的某一个特定子域拥有权利。一般一个区域拥有一台包含区域中所有主机信息的 名字服务器，该名字服务器也可称为授权( a u t h o r i t a t i v e ) 名字服务器，也称为 主名字服务器( p r i m a r y ，m a s t e r ) 。显然，为了防止主名字服务器当机而导致无 法实现域名解析，在个区域内，还应该存在一台或多台备用名字服务器 ( s e c o n d a r y ，s l a v e ) 。 7 资源记录( r e s o u r c er e c o r d s ，r r s ) 该组件规范了和名称相关联的数据的格式。在d n s 名字服务器中，一条信息 就是一个资源记录( r r ) ，每一个资源记录都有一种与之相关联的类型，描述了它 所表示的数据。名字服务器中所有的信息都是以r r 格式保存，该格式被用在d n s 报文中传送信息。是d n s 报文的关键组成部分。 8 解析器( r e s o l v e r s ) 简单来说，解析器就是一个位于服务器和客户端的中介程序，它从名字服务 器取得信息来响应客户端的d n s 请求。这里有一个重要的概念需要说明，r e s o l v e r s 和s t u br e s o l v e r s 是不同的概念。s t u br e s o l v e r s 是客户端的个程序库( 例如 u n i x 下的g e t h o s t b y n a r a e ，g e t h o s t b y a d d r 函数) ，客户端如果需要访问d n s ，通 过它向r e s o l v e r s 发送d n s 请求。而r e s o v l e r s 一般位于d n s 服务器端并且为一 组s t u br e s o v e r s 提供服务，r e s o v l e r s 收到s t u br e s o l v e r s 请求后，根据该 d n s 请求的内容向名字服务器查询，然后把查询结果返回给s t u br e s o l v e r s 。 9 授权( d e l e g a t i o n ) 上丽提到了每一个域( d o m a i n ) 可以根据需要细分成多个子域( s u b d o m a i n ) ， 这样，d o m a i n 可以将它分出来的s u b - - d o m a i n 的域名和i p 映射交给另一部机器管 理，这个动作就称为授权( d e l e g a t i o n ) 。在d n s 系统中，并没有哪个机构来专门 负责管理域名树中的每个标识，而只有一个机构，n i c ，负责分配顶级域和委派其 他指定地区域的授权机构。 2 3d n s 体系结构 d n s 的域名空间和u n i x 的文件系统很相似，也具有层次结构，如图2 1 所 示【1 3 1 【1 4 】。 每个结点( 图2 一l 中的圆圈) 有一个至多6 3 个字符长的标识。这棵树的树 根是没有任何标识的特殊结点。命名标识中一律不区分大写和小写。命名树上任 何一个结点的域名就是将从该结点到最高层的域名串连起来，中间使用一个点“” 分隔这些域名( 注意这和u n i x 文件系统路径的形成不同，文件路径是由树根依次 8 华中科技大学硕士学位论文 向下的形成的) 。域名树中的每个结点必须有一个唯一的域名，但域名树中的不同 结点可使用相同的标识。 以点“”结尾的域名称为绝对域名或完全合格的域名f q d n ( f u l lq u a l i f i e d d o m a i nn a m e ) ，例如s u n t u c n o a o e d u 。如果一个域名不以点结尾，则认为该域 名是不完全的。如何使域名完整依赖于使用的d n s 软件。如果不完整的域名由两 个或两个以上的标号组成，则认为它是完整的；或者在该域名的右边加入一个局 部后缀。例如域名s u n 通过加上局部后缀t u c n o a o e d u 成为完整的域名。 顶级域 第二级域 图2 1d n s 的层次组织 上面已经提到了z o n e 和d o m a i n 的区别，本节从图2 一l 的基础上扩展一下， 形象地说明这一点。图2 2 是图2 一l 的一部分的扩展，图中r o o t 和顶级 域c o m 、e d u 以及它们的子域构成一个d o m a i n ，由于e d u 已经被授权负责管理它 和它的子域，剩下的部分则由r o o t 直接管理。这样，r o o t 和t o m 以及c o m 的子 域就构成了一个区域( z o n e ) 。要说明的是：图2 2 只是为了说明z o n e 和d o m a i n 的区别假想的例子，和现实并不一样。一个常见的区域一般来说是一个二级域， 如r l o a o e d u 。许多二级域将它们的区域划分成更小的区域。一旦一个区域的授权 机构被委派后( 例如，n i c 授权一个组织管理e d u ) ，由它负责向该区域提供多个 名字服务器( 包括一个主名字服务器和一些备用名字服务器) 。当一个新系统加入 到一个区域中时，该区域的d n s 管理者为该新系统申请一个域名和一个i p 地址， 9 华中科技大学硕士学位论文 并将它们加到名字服务器的数据库中，这就是授权机构存在的必要性。 图2 2z o n e 和d o m a i n 的区别示意图 当一个名字服务器没有请求报文所需要的信息时，它必须与其他的名字服务 器联系。( 这正是d n s 的分布特性) 。然而，著不是每个名字服务器都知道如何同 其他名字服务器联系。相反，每个名字服务器必须知道如何同根的名字服务器联 系。1 9 9 3 年4 月时有8 个根名字服务器，所有的主名字服务器都必须知道根服务 器的i p 地址( 这些i p 地址在主名字服务器的配置文件中，主服务器必须知道根 服务器的i p 地址，而不是它们的域名) 。根服务器则知道所有二级域中的每个授 权名字服务器的名字和位置( 即i p 地址) 。这意味着这样一个反复的过程：正在 处理请求的名字服务器与根服务器联系，根服务器告诉它与另一个名字服务器联 系。 通过上面对d n s 系统结构的分析，可以看到，d n s 的设计能够给域名转换带 来高效率，但是这种高效率的设计背后是众多的安全漏洞，这些漏洞在下一节会 详细说明。 2 4d n $ 工作原理 2 4 1d n s 报文 在d n s 系统中，采用固定格式的d n s 报文在客户端和服务器端之间进行交互， 首先，分析一下d n s 报文的格式和结构，报文结构的合理性以及可扩展性对于网 络安全来说是重要的 d n s 查询和响应报文的一般格式如图2 3 所示： 1 0 华中科技大学硕士学位论文 孤甜0 # 卷轴采；嚣i i 蕊锭 辩k 贷 镬张蕞壤誉势嚣簿醵域簸 7 卷；每： i 弛秘 。 e 辩瓣澎辩或簌 。 ：较 i 磷簿避癌懿辑棼j 箨挣撼嚣i 糟鹫袁链摊嚣 图2 - - 3d n s 查询和响应报文的一般格式 这个报文是由1 2 字节的首部和四个长度可变的字段组成。 标识字段由客户端程序设麓并由服务器返回结果，一般来说该字段是一个序 列号，客户程序通常用它来判断响应和查询是否匹配。 标志字段占用i o b i t ，被划分为若干个子字段，如图2 4 所示。描述了该d n s 报文的类型，需要的服务等。 图2 4d n s 报文首部的标志字段 q r ：i b i t 字段，0 表示查询报文，1 表示响应报文。 o p c o d e ：0 表示标准查询，l 表示反向查询，2 表示服务器状态请求，5 表示 动态更新。 a a ：“授权回答( a u t h o r i t a t i v ea n s w e r ) ”，由响应服务器填写，一般来说， 该位置位表示响应来自授权的名字服务器，不置位表示响应来自c a c h e 。 t c ：表示相应数据包可截断，原因如2 1 节所述。 r d ：表示期待递归，在查询报文中填写，在响应报文中返回。该标志告诉服 务器必须处理这个查询，如果被请求的服务器没有对应的授权回答，它需要返回 给客户端一个能解答该查询的其他名字服务器列表。 r a ：表示可用递归，如果服务器支持递归查询，在响应中置位。一般来说， 除了根服务器，都应该支持递归查询。 l l q ， 噼量 华中科技大学硕士学位论文 z e r o ：必须为0 。 r c o d e ：返回码。0 表示没有差错。3 表示名字差错。 首部标志后面的四个1 6 b i t 的字段说明最后四个变长字段包含的条目数。 查询问题字段中可能包含一个或者多个问题，但是通常只有一个。每个问题 的格式是一样的，如图2 - - 5 。 81 5l 3 7 ；# 辩舅 囊l 弼霉搿 穗囊麓 图2 5d n s 查询报文中问题部分的格式 其中查询名就是要查找的名字，是一个可变长的序列，而且无需以整3 2 b i t 边界结束，它的结束标志为一个“0 ”，因此无需填充字节。查询类通常都为1 ，代 表互联网地址，即常说的m 地址，当然，某些站点也支持非印地址，在本文中不 予考虑。这里需要说明的是查询类型，每一个问题都有一个查询类型，而每一个 响应( 也就是资源记录，r r ) 也有一个类型。在表2 一l 中列举了一些常用的类型 和查询类型，查询类型是类型的一个超集( s u p e r s e t ) 。最常用的类型是a ，也就是 期望获得查询名的d 地址，对于反向查询，期望获得一个i i l 地址对应的域名，则 为p t r 类型。类型很重要，它规定了服务器作何种动作，某些恶意的攻击就是通 过伪造某些类型的数据来实现的，因此，在解决方案中需要对不同的数据类型进 行分析，找到解决办法。 表2 一ld n s 问题和响应的类型值和查询类型值 f名字数值描述 类型查询类型 ；ali p 地址 1n s 2 名字服务器 jc n a m e 5 规范名称 i p t r1 2 指针记录 j h i n f 01 3 主机信息 im x1 5 邮件交换记录 cs o 6 区域授权开始 “f r2 5 2 对区域交换的请求 或 n y2 5 5对所有记录的请求 d n s 报文最后的三个字段：回答字段，授权字段，附加信息字段都是采用r r ( r e s o u r c er e c o r d ) 格式。在前面已经提到了r r 概念，这里详细描述一下r r 的 格式，如图2 7 。 域名字段是记录中资源数据对应的名字，它和查询问题字段中的查询名格式 1 2 华中科技大学硕士学位论文 一样( 图2 - - 5 ) 。类型字段说明r r 的类型，和图2 - - 5 中介绍的查询类型是样 的。类通常为1 ，指i n t e r n e t 数据。生存时间( t t l ) 通常指数据在客户端或者c a c h e 中保存的时间，一般来说资源记录通常的生存时间为2 天。生存时间的长短也是 一个安全方面敏感的问题，在下面会提到。资源数据长度说明资源数据( r d a t a ) 的数量，一个资源数据字段可能有多条资源数据，r d a t a 的格式依赖于类型字段 的值，不同的资源记录类型的资源数据格式是不一样的，例如对于a 类型，资源 数据是四字节的地址。这里要提到一个资源记录集( r r s ) 的概念，一般来说 具有相同域名( n a m e ) 、类型( t 1 n e ) 、类( c l a s s ) 的资源记录被称为资源记 录集( 也称为资源记录序列，r rs e t ，m b ) 。 图2 - - 7d n s 资源记录( r r ) 格式 2 4 2d n s 资源数据( i i d a t a ) 资源数据是资源记录中的数据部分，d n s 系统中包括了很多种的资源记录， 它们分别完成不同的功能，这些资源记录( 包括后面提到为了实现d n s 安全提出 的几种新的资源记录) 的首部( 除资源数据部分以外的字段) 都是样的格式， 它们的不同就在资源数据的格式和记录的内容上。 这里介绍几种常用的资源记录中的资源数据格式：a ，m x ，p t r ，s e a ，n s 。 这几种资源数据是d n s 查询的基本类型。 a 资源记录记录的是地址，因此它的资源数据项只有口地址一项内容。 m x 是邮件交换记录，它的资源数据项包含两项内容：p r e f e r e n c e ，e x c h a n g e 。 p r e f e r e n c e 是一个1 6 b i t 的整数的优先级，表示了在同一个管理者下，同类型的h 厦x 记录中该记录的优先级。e x c h a n g e 记录的是在该区域下将要执行邮件交换的主机 的域名。 p t r 是反向查询指针记录，资源数据只包含p t r d n a m e 项，它表示对应某个i p 1 3 华中科技大学硕士学位论文 地址的本区域的域名。 n s 是域名服务器记录，资源数据中只包含n s d n a m e 项，它为给定的某个域指 定域名服务器。 a m e + 一一+ 一+ 一一十一一+ 一一+ 一一+ 一一+ 一一+ - - + 一一+ 一一十一一十一一十一一+ - - - + - - - - + r n a m e + - - - + - 一+ _ _ - v - - - + - - _ + - - - - + 一- - + - - - - + - - - - + - - 一+ - - - + - - - - - _ - - - - + - - + 一一+ - - - - + l s e r i a l l + 一一+ 一+ 一一+ + 一一+ 一一十一一+ 一一+ - - - - + - - - - + - - - - + - - - - + 一一+ 一一+ 一一十一一+ r e f r e s h 【 + 一一十一十一一十- - - - + - - _ + - - - - + 一一+ - - - - t - - - + 一一十一一十一一+ 一一+ 一一+ 一一十一一+ i r e t r y l + 一一+ 一+ 一一十一一+ 一一+ 一一。 一- - + - - - - + - - - - + - - - - + - - - - + 一一+ 一一十一 一一i 。- - - - + l e x p i r e + _ _ 叫一一一+ 一一+ - _ _ 一一+ 一一一+ - - - - + 一一+ - - - - + - - - - + 一一+ 一一+ - - - - + l m i n i m u mi + 一一+ 一+ 一一+ - - - - + - - _ + 一一- 卜_ - - + - - - - 4 - - - 一一十一一十一+ 一一十一- - 4 - - - - - + 一一+ 图2 8s o a 资源记录的资源数据项格式 s o a 比较复杂，它表示某个区域名字服务器记录描述的开始。它的资源数据 项的格式见图2 8 。m n a m e 表示给定区域的授权名字服务器或者主名字服务器； r n a m e 表示区域管理员的e m a i l 地址：s e r i a l 是一个无符号的3 2 b i t 整数，它表 示该区域文件的版本，当该区域文件中某一项记录进行了修改，就需要改动该 s e r i a l 值，升级为不同的版本，从而使服务器知道应该执行区域传输；r e f r e s h 是以秒为单位的刷新频率，这个值用来通知备用d n s 服务器应该多长时间向主服 务器查询一次以决定是否应该升级区域文件；r e t r y 是以秒为单位的重试频率，如 果备用服务器试图连接主服务器来查询是否需要升级区域数据的时候连接失败， 该值指定了重薪连接的时间间隔；e x p i r e 表示：当备用服务器缓存该项以后，如 果不能连接主服务器检查更新情况，应该在多长时间内抛弃该项，这个时间一般 是一至两周；m i n i m u m 表示如果备用服务器不能和主服务器取得联系，在多长时间 内应该把所有的记录项抛弃，这一时间为5 7 天比较合适。 2 4 3d n s 区域文件( z o n ef i l e ) 上面介绍了d n s 系统中常规的几种资源记录的资源数据格式以及它们的功 能，已经提到，这些资源记录时保存在名字服务器的区域文件中，所有的d n s 系 统的信息都包括在里面，因此，区域文件( z o n ef i l e ) 是很重要的一个d n s 组成 1 4 华中科技大学硕士学位论文 部分。下面，看看资源记录是如何保存在区域文件中的。 区域文件中每一行的格式为 n a m ec l a s sr e c o r d t y p e d a t a n a l l l e 指正在处理的主机名，比如说查询报文中的要求地址翻译的主机名，任 何没有以点号结尾的主机名在后面添加域名。c l a s s 一般都为i n ，i n t e r n e t 地址。 r e c o r d t y p e 和d a t a 指示所处理的资源记录类型( 见表2 1 ) 和与之相关联的参 数( 也就是资源记录的资源数据) 。来分析一个简单的区域文件，根据该文件来分 析一下区域文件的格式，见图2 9 。 可以看到，每条记录都是一个资源记录项，因此格式也是按照资源记录的格 式排列的。以第一个记录s o a 为例：第一行以一个域名“m y d o m a i n ”开始，表示 该s o a 记录对m y d o m a i n c o m 域