域名基础及其安全性问题

1、DNSDNS基础及其安全性问题基础及其安全性问题目录一、域名介绍一、域名介绍二、DNS基本概念及工作原理三、DNS安全问题四、DNS风险防范措施2021-12-292一、域名介绍1.1 域名概念1.2 中文域名概念1.3 域名应用1.4 相关国际组织2021-12-2931.1 域名概念2021-12-294域名（Domain name）p企业或个人在网络上的身份唯一性：如IP一样易记忆：域名比IP好记好记的域名成为大家申请的对象字数少特殊意义单词谐音字随着Internet及IPv6的发展，域名的作业将显得更为重要1.1 域名概念2021-12-295域名规范pRFC的定义在RFC中定义的do

2、main name的label由a-z（大小写），0-9及“-”所构成（“-”不得以第一及最后一个字符形式出现），长度最长为63 bytes，labels间“.”连接，每个domain name最长为255bytes，最多由127个label组成。/rfc/rfc1034.txt (DOMAIN NAMES - CONCEPTS AND FACILITIES)/rfc/rfc1035.txt (DOMAIN N A M E S - I M P L E M E N T A T I O N A N D SPECIFICATIO

3、N)1.2 中文域名概念2021-12-296中文域名的优点就中国人而言中文较英文好记能和企业名称一致1.2 中文域名概念2021-12-297国际域名（IDN）标准Unicode是国际化域名所使用的基本字集，包含世界上所有国家所使用的文字由于DNS是以ASCII为基础的系统，而Unicode的系统中字符超过现有域名使用的范围，于是IDNA提出了一个可以使Unicode可以在DNS系统上工作的机制Nameprep包含了Mapping，Normalization，Prohibit三部分。Punycode则是一个将unicode字符转换为ACE（ASCII Code Enable）的方法1.2 中

4、文域名概念2021-12-298国际域名（IDN）标准中文可以通过某种方式转换为英文，并与就有的DNS系统兼容DNS设定及服务器设定应都根据这个编码定义目前国际上认可的编码为AMC-ACE-Z，称为puny code（RFC3492）PUNYCODE则是将一个经过NAMEPREP处理过的IDN，从一个8位的编码形式转换为7位编码的形式。目前Internet IDN一向是7位ASCII编码的环境，经过这个Puny Code转码程序，便将IDN从一个8位的IDN转换为与现有DNS环境兼容的编码1.2 中文域名概念2021-12-299中文域名以往的域名只能使用RFC1034，1035中规范的英文字

5、符（a-z，0-9与-），现在新的RFC3490-RFC3492则可以使用国际化域名国际化域名让非英语系国家可直接采用其母语作域名，能够符合区域性的需求，加速Internet的普及1.3 域名应用2021-12-2910域名分类分类：区分不同属性Top Level Domain（TLD顶层域名）ngTLDs： Com/net/org/gov/edu/共13类nccTLDs： Cn/hk/us共243个Second Level Domain （第二层域名）nC 域名应用2021-12-2911gTLDcom,net,org,mil,gov,edu,int,arpa,biz,coop,info,m

6、ueum,name,proccTLDus,cn,jp,（ISO 3166-1）在ccTLD依各国管理政策有下列三种情况：单位名称，如：ibm.uk属性名称，如：，ne.jp地理名称，如：tokyo.jpICANN在最近新增了七个gTLDaero,biz,coop,info,museum,name,pro1.3 域名应用2021-12-2912域名与Internet相关服务的关系为Internet服务最基础的一环提供机器名称与IP地址的双向映射机制域名比IP容易记，具有代表意义使用域名让系统更具移植性随着IPv6的推广，更需要使用域名使用者经常使用正解来查询IP计算机经常使用反解来查主机名称DN

7、S提供主机名称及IP的精确对应DNS不是一个目录服务，无法提供检索功能1.4 相关国际组织2021-12-2913IANAInternet Assigned Numbers Authority一个有IAB所资助的组织，任务是管理与分配IP地址、ccTLD的注册于管理ICANNThe Internet Corporation for Assigned Names and Numbers负责Internet IP address分配及域名架构规范的管理单位IETFInternet Engineering Task Force由与因特网（Internet）相关的产业及学术机构人员所组成的组织，是因特

8、网最主要标准的制定组织APTLDAsia Pacific Top-level Domain Forum，讨论亚太区Domain Name，DNS，NIC相关议题。会员包括亚太区主要地区及国家。1.4 相关国际组织2021-12-2914APNICAsia Pacific Network Information Center，亚太网络信息中心，主要掌管亚太地区的新IP address申请及反解域名注册1.4 相关国际组织2021-12-2915各国NIC各 个 国 家 地 区 往 往 都 有 类 似 的 单 位 ， 如 中 国（CNNIC），日本（JPNIC），韩国（KRNIC），香港（HKNI

9、C），新加坡（SGNIC）等。各国NIC主要由ccTLD组成，ccTLD（country code TLD）如“.cn”（中国）“.uk”（英国）（ISO-3166所定义的2个byte国码）CDNC2000年5月19日，中文域名协调联合会（CDNC）有两岸四地网络信息中心（CNNIC，TMNIC，HKNIC，MONIC）在北京正式成立。作为一个独立、非营利的组织，该机构将在国际上担负起中文域名的协调和规范工作目录一、域名介绍二、二、DNSDNS基本概念及工作原理基本概念及工作原理三、DNS安全问题四、DNS风险防范措施2021-12-2916二、DNS基本概念及工作原理2.1 DNS背景介绍2

10、.2 DNS相关概念2.3 DNS整体架构2.4 DNS工作原理2.5 不同DNS服务器类型说明2.6 正解/反解的意义与原理2021-12-29172.1 DNS背景介绍2021-12-2918HOSTS文件：70年代ARPAnet仅仅拥有几百台主机，一个HOSTS文件就可以容纳所需要的主机信息，HOSTS提供的是主机名和IP地址的映射关系。但随着网络的扩展，HOSTS文件已经不能够快速完成解析任务DNS：作为替代HOSTS而出现，是一个分布式数据库。一旦DNS配置成功，HOSTS文件可以为空，只需一条就可以 localhost1984年Paul Mockapetrics

11、建立了第一个DNS规范（RFC1034，RFC1035）,85年出现第一个域名2.2 DNS相关概念2021-12-2919DNS(Domain Name System,域名系统)：一种用于TCP/IP应用程序的层次性分布式数据库，包含Internet主机名到IP地址的映射信息、IP地址到主机名的映射信息、邮件路由信息等Domain（域）：INTERNET组织机构设立了根域，包含.com、.net、.gov等，每个根域下又细分许多子域，并根据实际需求一层一层细分下去，形成一个树状结构Delegation（授权）：域根据实际需求细分为子域，并将子域的管理权限交给另一台机器成为授权Zone（区）：

12、域除了授权过的子域之外的部分2.2 DNS相关概念2021-12-2920Resolver(解析器)：通常以函数库的方式嵌在操作系统中，负责接收各类应用程序的DNS查询请求，并把请求转发给域名服务器。解析器与域名服务器之间存在两种工作方式，递归式和迭代式。域名服务器之间使用的也是这两种工作方式： Recursive Query(递归查询)：n客户端只发出一个询问给所属的DNS服务器nDNS服务器会不断进行查询，直到有结果为止n最后将结果传回给客户端Iterative Query(迭代查询)：n如果服务器查找不到对应的记录会返回另一个可能知道结果的服务器的IP地址给查询的发起者一般来说Resol

13、ver对local DNS server都是Recursive query；DNS server 之间的查询多是Iterative query；大部分的DNS server两种方式都接受，但Root name server只接受Iterative query2.3 DNS整体架构2021-12-2921DNS运行模式名称查询服务分布式n没有一台计算机会有全部的DNS数据n全球最大的分布式数据流系统稳定n负载平衡：可由Master主机自由的复制到slave主机n备份：一个名称可有多台主机共同服务树状结构效率n经由Cache来加速DNS查询2.3 DNS整体架构2021-12-2922DNS组成n

14、etcomripewwwwwweduisitislabsdisiws1ws2ftpsungooglemoon树状结构每个分支以“.”分隔限制最多127层每个分支最长63字符（a-z，0-9，-）总长255字符2.3 DNS整体架构2021-12-2923DNS树状分层架构：分散管理、分散储存、分散查询2.4 DNS工作原理2021-12-2924DNS查询和响应报文的一般格式2.4 DNS工作原理2021-12-2925DNS流程解析当被询问到有关本域名之内的主机名称的时候，DNS服务器会直接做出回答；如果所查询的主机名称属于其它域名的话，会检查内存，看看有没有相关资料；如果没有发现，则会转向

15、root服务器查询；然后root服务器会将该域名的授权服务器（可能会超过一台）的地址告知；1.本地服务器然会向其中的一台服务器查询，并将这些服务器名单存到内存中，以备将来之需（省却再向root查询的步骤）2.4 DNS工作原理2021-12-2926DNS流程解析远方服务器响应查询；将查询结果响应给客户，并同时将结果储存一个备份在自己的缓存里面；6.如果在存放时间尚未过时之前再接到相同的查询，则以存放于缓存里面的资料来做响应2.4 DNS工作原理2021-12-2927查询 1. 是否属于自己的 DN ? 是则回应结果 2. 是否有 Cache 资料 ? 是则回应结果; 皆非则向 root “

16、.”询问 3. 得到的 DNS 资料及主机资料都会 Cache 以借下一次资料被查询时使用询问 .cn 在哪 ?回应.cn 位置询问 在哪 ?回应 位置询问 在哪 ?回答 DNS 位置询问 到底在哪 ?回答 1回应结果RecursiveIterative2.5 不同DNS服务器类型说明2021-12-2928平台UNIXn常见为ISC BINDn共约发行30多个版本n稳定，可靠，最多人使用Windowsn可见于Windwos Server 级的版本n简单设定是优点nGUI设定n根据BIND 4.x修改而来2.5 不同DNS服务器类型说明2021-12-2929服务器类型

17、授权主机n可管理或回答其域名的答案nMaster主机指DNS所管辖的数据从区文件（Zone File）中而来nSlave主机指DNS所管辖的数据是以区传送（Zone Transfer），Cache-only主机n即没有管理任何的域名，接受查询与响应并将其缓存以备使用slaveslaveZone FilemasterInternet区传送区传送2.6 正解/反解的意义与原理2021-12-2930正解（forward domain）：由域名对应至IP反解（reverse domain）：由IP对应至域名反解的DNS Query远比正解高出许多，这是一般人常忽略之处正反解一致有其必要性有些系统较不

18、严谨，不会检查正反解的一致性，但国外有许多比例都会进行这个部分的确认由来源IP查反解名称，依结果再查正解，并检验其结果有部分的Mail server也会使用正反解确认的机制来减少SPAM的问题目录2021-12-2931一、域名介绍二、DNS基本概念及工作原理三、三、DNSDNS安全问题安全问题四、DNS风险防范措施三、DNS安全问题3.1 单点故障3.2 DNS软件漏洞3.3 对DNS服务器的攻击 域名劫持 DNS欺骗 DDoS 僵尸网络2021-12-29323.1 单点故障2021-12-2933DNS服务器S2为网络结点A、B、C、D 、E提供域名解析服务，由于大部分的网络应用通过域名

19、访问Internet，所以如果S2不能正常工作，则其所辖的所有节点都无法通过域名连接到网络，S2成为该子网的瓶颈，存在单点故障风险的问题3.2 DNS软件漏洞2021-12-2934绝大多数DNS软件使用BIND（Berkeley lnternet Name Domain）BIND存在众多安全漏洞：缓冲区溢出漏洞如BIND SIG Cached RR DoS在BIND4和BIND8中存在一个远程缓冲溢出缺陷，该缺陷使得攻击者可以在DNS服务器上运行任意指令拒绝服务（DoS）漏洞如BIND SIG Expire Time DoS递归方式的BIND8服务程序会因为使用一个无效空指针而突然中断服务3

20、.3 对DNS服务器的攻击2021-12-2935域名劫持域名劫持通过采用黑客手段控制了域名管理密码和域名管理邮箱，然后通过在该DNS服务器上添加相应域名记录，从而使网民访问该域名时，进入了黑客所指向的内容。域名被劫持后，不仅网站内容会被改变，甚至可以导致域名所有权也旁落他人。2021-12-2936DNSDNS欺骗（欺骗（DNS SpoofingDNS Spoofing）欺骗用户：DNS ID Spoofing欺骗DNS服务器：DNS Cache poisoning（DNS毒害攻击）3.3 对DNS服务器的攻击2021-12-2937DNSDNS欺骗（欺骗（DNS SpoofingDNS S

21、poofing）DNS ID Spoofing攻击过程机器X想要访问CNN的网站（机器Y），于是它向附近的DNS Server发出了一个DNS request，并且请求中绑定了一个伪随机码（这样回答中必须也携带这个伪随机码，才能被机器 X接收，否则被抛弃）3.3 对DNS服务器的攻击2021-12-2938DNSDNS欺骗（欺骗（DNS SpoofingDNS Spoofing）DNS ID Spoofing攻击过程攻击者可以通过Sniffer来监听，看到请求以及request ID number。然后，攻击者发给机器X一个伪造的回答，由于这个伪造的回答是带有正确 ID number的，于是机

22、器X就转到了攻击者指定的IP 一般情况下，DNS Server还是能发过来正确的回答的。要使攻击成功执行，必须要能够保证攻击者伪造的回答比DNS Server正确的回答先抵达客户机X。所以这个攻击比较适合在局域网中进行。3.3 对DNS服务器的攻击2021-12-2939DNSDNS欺骗（欺骗（DNS SpoofingDNS Spoofing）DNS Cache Poisoning攻击过程前提条件：前提条件：攻击者拥有他自己的域名()，和已经被修改部分缓存记录的DNS Server（），比如让指向1攻击者向客户机的DNS Server发送一个特定的解析请求（）客户机的DNS

23、 Server并不知道如何解析该域名，于是向该域名的DNS Server（ ）请求“帮助”3.3 对DNS服务器的攻击2021-12-2940DNSDNS欺骗（欺骗（DNS SpoofingDNS Spoofing）DNS Cache Poisoning攻击过程对客户机的DNS Server做出回应，返回了的IP地址。与此同时，还返回了它所有其他的缓存记录，记录中包括和1这个错误的对应关系这样，只要那个的缓存还存在，客户机的DNS Server就一直处于“毒害”状态一旦用户向他的DNS Server请求解析，那个DNS服务器就返回错误的13.3 对DNS

24、服务器的攻击3.3 对DNS服务器的攻击2021-12-2941DDoSDDoS（分布式拒绝服务）攻击（分布式拒绝服务）攻击分布式拒绝服务攻击(DDoS)是目前黑客经常采用而难以防范的攻击手段，对DNS服务器攻击主要采用的就是分布式拒绝服务攻击(DDoS)。DDoS基本原理就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。近些年来，采用DDoS对DNS服务器的攻击不断被报道。519断网事件，其根源就是DDoS攻击。3.3 对DNS服务器的攻击2021-12-2942僵尸网络攻击僵尸网络攻击另一种DDoS攻击的目标是利用DNS服务器作为中间的袭击放大器”，去攻击其它互

25、联网上的主机，导致被攻击主机拒绝服务原理：黑客利用僵尸电脑连成的网络（BotNet）向多个DNS服务器发送大量的查询请求，这些查询请求数据包中的源IP地址为被攻击主机的IP地址，DNS服务器将大量的查询结果发送给被攻击主机，使被攻击主机所在的网络拥塞或不再对外提供服务。这种服务会导致域名的正常访问无法进行。即该域名下的WWW服务和邮件服务都将无法正常进行。目录2021-12-2943一、域名介绍二、DNS基本概念及工作原理三、DNS安全问题四、四、DNSDNS风险防范措施风险防范措施四、DNS风险防范措施4.1 单点故障的防范4.2 DNS软件漏洞的防范4.3 DNS域名欺骗的防范4.4 DD

26、oS攻击的防范4.5 僵尸网络攻击的防范4.6 DNS其他防范措施2021-12-29444.1 单点故障的防范2021-12-2945网络方面n不要将所有DNS服务器都放到有单点故障节点的子网中n不要将所有DNS服务器共用一条路径n总是将DNS服务器分布到不同网络，使用不同路径主机方面n至少两台不同的服务主机n将DNS运行在不同的硬件或操作系统平台之上n不同版本或不同的DNS服务器软件n安排额外的辅域名服务器4.2 DNS软件漏洞的防范2021-12-2946现在的软件漏洞攻击大多是针对BIND的各类版本，特别是低版本上已发现的漏洞。此种攻击最好的防御措施就是注意定期更新，到ISC网站下载最

27、新稳定版。通过及时更新，可以有效防御此类攻击。4.3 DNS欺骗的防范2021-12-2947静态静态MACMAC绑定绑定DNS欺骗是通过改变或冒充DNS服务器的IP地址，所以可用采用将DNS的MAC地址和IP静态绑定来进行防范当主机每次向DNS发出请求后，便检查DNS服务器应答中的MAC地址是否与保存的MAC地址一致，如不一致，就说明该区域的DNS服务器遭到攻击。但此方法有一定的局限性，如果是局域网内部的主机，仍可进行DNS欺骗，因为它也保存了DNS服务器的MAC地址，可以轻易伪装成DNS服务器。4.3 DNS欺骗的防范2021-12-2948DNSDNS缓存投毒防范缓存投毒防范DNS缓存投

28、毒攻击的历史悠久，但真正具有全球范围影响的是08年出现的Kaminsky缓存中毒及其后一系列的变种攻击，统称为Kaminsky-Class攻击。对于Kaminsky-Class攻击的解决方法是随机化源端口技术，已广泛实现在当前新版的DNS产品中，包括BIND。最根本最彻底的防御措施是DNSSEC(Domain Name Server Security)方案在DNS体系的全面部署。由于在解析过程中需要得到数字签名验证，这使得缓存中毒攻击基本没有可能性。但DNSSEC部署相当复杂，涉及技术、政治、协作等多方面的因素，仍然是一个较长期的过程。4.4 DDoS攻击的防范2021-12-2949从以下几

29、方面增强抗从以下几方面增强抗DDoSDDoS攻击的能力：攻击的能力：采用硬件防火墙及IDS的策略布署；采用双节点的双备份方案，一个节点被攻击后可以安全地切换到另一个节点，这也是当前大多数ISP采用的方式；软件防火墙的防DDoS方案通常也可减轻DDoS攻击效果，如syn cookie、syn proxy等技术。对域名的Top排名监控，发现域名解析的异常，分析可能的DDoS攻击，及时发现问题并进行处理。4.5 僵尸网络攻击的防范2021-12-2950设置好开放递归服务器的ACL（Access Control List），尽量将这些BotNet的DNS请求屏蔽在外。只让授权用户使用DNS Server，不仅对DNS Server安全有保障，也便于追踪攻击源。目前，大量的DNS Server不仅没有设置好ACL，甚至本应关闭递归服务的DNS Server却开放了递归解析，增加了安全隐患。4.6 DNS其他防范措施2021-12-2951限制区域传输（限制区域传输（Zone TransferZone Transfer）Hacker取得这些资料的用途n确认目标n获取相关资料How many hosts you haveWhat makes and models you haveWhat their names aren可在name.conf文件中设定限制对象或不启动