《网络系统安全运行与维护教案》-网络系统安全运行与维护27

郑州铁路职业技术学院教案首页序号：27授课班级信息安全22A1信息安全22A2授课日期5.206.14出勤情况课程名称网络系统安全运行与维护教学类型理实结合复习旧课引入新课复习旧课：配置主从DNS服务配置DNS子域配置DNS服务高级选项引入新课：Linux系统DNS服务安装与配置（三）教学目标学生通过该能力模块的学习,能够独立完成和熟练掌握安全配置DNS服务器，加强Linux系统的DNS服务的安全防御能力。讲授要点教学设计讲授要点：保护DNS服务器本身安全保护ZoneTransfer的安全保护DNS免于Spoofed攻击教学设计：回顾上节内容DNS的配置和主从服务器的配置引入本节内容保护DNS服务器自身的安全任务实施分3个实验步骤，完成DNS安全的配置课堂总结重点难点解决方法重点：保护DNS服务器本身安全保护ZoneTransfer的安全保护DNS免于Spoofed攻击难点： 保护ZoneTransfer的安全解决方法：演示+上机操作课后作业完成本节实验，并上交实验课后总结DNS的安全设置既复杂又难度较大，稍微一点错误，就会引起整个实验的失败，因此应当在实验中加倍认真。郑州铁路职业技术学院教师教案第27-PAGE13页Linux系统DNS服务安装与配置（三）教学过程步骤主要内容教学组织复习配置主从DNS服务配置DNS子域配置DNS服务高级选项教师带动学生复习5分钟任务引入加强DNS的安全，首先应该从DNS服务器自身的安全开始进行配置教师讲授5分钟知识讲授一、ZoneTransferDNS的区域传输目的是为了DNS的备份，当DNS服务器坏了，它的数据不会丢失。注意在配置区域传输是一定要注意辅助服务器上建立的区域是辅助区域且与主服务器的域名相同，而且区域传输是双向的，不但需要在辅助服务器上配置还要在主服务器上进行相应的配置。二、DNS威胁 DNS服务面临的安全问题主要包括：DNS欺骗（DNSSpoffing）、拒绝服务（Denialofservice，DoS）攻击、分布式拒绝服务攻击和缓冲区漏洞溢出攻击（BufferOverflow）。1.DNS欺骗

DNS欺骗即域名信息欺骗是最常见的DNS安全问题。当一个DNS服务器掉入陷阱，使用了来自一个恶意DNS服务器的错误信息，那么该DNS服务器就被欺骗了。DNS欺骗会使那些易受攻击的DNS服务器产生许多安全问题，例如：将用户引导到错误的互联网站点，或者发送一个电子邮件到一个未经授权的邮件服务器。网络攻击者通常通过三种方法进行DNS欺骗。图1是一个典型的DNS欺骗的示意图。（1）缓存感染黑客会熟练的使用DNS请求，将数据放入一个没有设防的DNS服务器的缓存当中。这些缓存信息会在客户进行DNS访问时返回给客户，从而将客户引导到入侵者所设置的运行木马的Web服务器或邮件服务器上，然后黑客从这些服务器上获取用户信息。（2）DNS信息劫持入侵者通过监听客户端和DNS服务器的对话，通过猜测服务器响应给客户端的DNS查询ID。每个DNS报文包括一个相关联的16位ID号，DNS服务器根据这个ID号获取请求源位置。黑客在DNS服务器之前将虚假的响应交给用户，从而欺骗客户端去访问恶意的网站。（3）DNS复位定向

攻击者能够将DNS名称查询复位向到恶意DNS服务器。这样攻击者可以获得DNS服务器的写权限。2.拒绝服务攻击

黑客主要利用一些DNS软件的漏洞，如在BIND9版本（版本9.2.0以前的9系列）如果有人向运行BIND的设备发送特定的DNS数据包请求，BIND就会自动关闭。攻击者只能使BIND关闭，而无法在服务器上执行任意命令。如果得不到DNS服务，那么就会产生一场灾难：由于网址不能解析为IP地址，用户将无方访问互联网。这样，DNS产生的问题就好像是互联网本身所产生的问题，这将导致大量的混乱。3、分布式拒绝服务攻击

DDOS攻击通过使用攻击者控制的几十台或几百台计算机攻击一台主机，使得服务

拒绝攻击更难以防范：使服务拒绝攻击更难以通过阻塞单一攻击源主机的数据流，来防范服务拒绝攻击。SynFlood是针对DNS服务器最常见的分布式拒绝服务攻击。4.缓冲区漏洞

Bind软件的缺省设置是允许主机间进行区域传输（zonetransfer）。区域传输主要用于主域名服务器与辅域名服务器之间的数据同步，使辅域名服务器可以从主域名服务器获得新的数据信息。一旦起用区域传输而不做任何限制，很可能会造成信息泄漏，黑客将可以获得整个授权区域内的所有主机的信息，判断主机功能及安全性，从中发现目标进行攻击。教师讲授，演示DNS可能遭遇的威胁35分钟任务实施一、选择没有安全缺陷的DNS版本BIND主要分为三个版本：（1）v4：1998年多数unix捆绑（2）v8：如今使用最多最广大版本安全信息：/showQueryL.asp?libID=530（3）v9：最新版本，免费（)2.保持DNS服务器配置正确、可靠dlint是专门检查DNS配置文件开源代码软件：/dns/dlint.shtmldnstop可以查询DNS服务器状态：/dnstop/dentop-20010809-1.i386.rpm二、保护DNS服务器本身安全第一步：隔离DNS服务器DNS服务器要专用，不要在DNS服务器上运行其它服务，尽量允许普通用户登录。第二步：隐藏DNS服务器网络攻击者对DNS服务进行攻击前，首先要知道BIND有版本号，根据BIND版本号找到漏洞来确定攻击DNS服务器方法，攻击者使用dig命令可以查询到BIND的版本号。为了保障DNS服务器安全的首先要隐藏DNS服务器。下面是没有隐藏DNS服务，攻击者查询到的DNS服务器的版本。[root@centos~]#dig@1txtchaosversion.bind;<<>>DiG9.3.4-P1<<>>@1txtchaosversion.bind;(1serverfound);;globaloptions:printcmd;;Gotanswer:;;->>HEADER<<-opcode:QUERY,status:NOERROR,id:10122;;flags:qraard;QUERY:1,ANSWER:1,AUTHORITY:1,ADDITIONAL:0;;QUESTIONSECTION:;version.bind.CHTXT;;ANSWERSECTION:version.bind.0CHTXT"9.2.4";;AUTHORITYSECTION:version.bind.0CHNSversion.bind.;;Querytime:20msec;;SERVER:1#53(1);;WHEN:ThuJan1418:33:272010;;MSGSIZErcvd:62[root@centos~]#通过下面对服务器进行安全配置，攻击者无法查询到DNS服务地版本信息，编辑BIND配置文件，如下所示。[root@lab2~]#vi/etc/named.conf////named.confforRedHatcaching-nameserver//options{directory"/var/named";version"unknowonthisplatform";dump-file"/var/named/data/cache_dump.db";statistics-file"/var/named/data/named_stats.txt";/**Ifthereisafirewallbetweenyouandnameserversyouwant*totalkto,youmightneedtouncommentthequery-source*directivebelow.PreviousversionsofBINDalwaysasked*questionsusingport53,butBIND8.1usesanunprivileged*portbydefault.*///query-sourceaddress*port53;};////acachingonlynameserverconfig//"/etc/named.conf"79L,1572C在配置文件中加入“version"unknowonthisplatform";”，保存配置文件，然后退出，重启DNS服务器。[root@lab2~]#servicenamedrestart停止named：[确定]启动named：[确定][root@lab2~]#再使用dig命令进行测试，如下所示：[root@centos~]#dig@1txtchaosversion.bind;<<>>DiG9.3.4-P1<<>>@1txtchaosversion.bind;(1serverfound);;globaloptions:printcmd;;Gotanswer:;;->>HEADER<<-opcode:QUERY,status:NOERROR,id:61670;;flags:qraard;QUERY:1,ANSWER:1,AUTHORITY:1,ADDITIONAL:0;;QUESTIONSECTION:;version.bind.CHTXT;;ANSWERSECTION:version.bind.0CHTXT"unknowonthisplatform";;AUTHORITYSECTION:version.bind.0CHNSversion.bind.;;Querytime:16msec;;SERVER:1#53(1);;WHEN:ThuJan1418:40:232010;;MSGSIZErcvd:80通过上面测试，可以看到攻击者无法查询到DNS的版本信息。第三步：避免透露DNS服务器信息和版本号一样，也不要轻易透露服务器其他信息。为了让潜在的攻击者更难得手，尽量不要在DNS配置文件中使用这HINFO和TXT两个资源记录。第四步：以最小的权限及使用chroot()方式运行BIND以root使用者的身分执行BIND有安全隐患，攻击者若找到BIND的安全漏洞，可能获取root的身分，从而进行对服务器攻击。BIND8.1.2+允許在启动DNS服务器後，变更其UID和GID，可以使用命令named-unamed以chroot()的方式执行BIND可将危害减至最低设置chroot之后的环境：设置dev/zero、dev/random、dev/log或etc/localtime，可以使用命令修改运行用户。named-unamed-t/var/named三、保护DNS免于Spoofed攻击DNS服务器若接受来自Internet的递归询问要求，易遭受Spoofing的攻击，导致攻击者修改DNS服务器区域文件，其它用户解析域名的时候，取回的是假造的名称信息。第一步：关闭rescursion的功能关闭rescursion功能后，DNS服务器只会响应非递归的询问要求无递归功能的DNS服务器不易易遭受Spoofing的攻击，因为它不会送出查询要求，所以也不会摄取所管区域以外的任何数据如果DNS服务器还提供服务给合法的解析器（resolver），或是充当其他DNS服务器的代询服务器（forwarder），就不应该关闭rescursion的功能。如果无法关闭rescursion的功能，应该限制查询要求的服务对象修改配置文件：/etc/named.conf.加入一行：[root@lab2~]#vi/etc/named.conf////named.confforRedHatcaching-nameserver//options{directory"/var/named";version"unknowonthisplatform";recursionno;fetch-glueno;dump-file"/var/named/data/cache_dump.db";statistics-file"/var/named/data/named_stats.txt";/**Ifthereisafirewallbetweenyouandnameserversyouwant*totalkto,youmightneedtouncommentthequery-source*directivebelow.PreviousversionsofBINDalwaysasked*questionsusingport53,butBIND8.1usesanunprivileged*portbydefault."/etc/named.conf"81L,1603C第二步：关闭gluefetching的功能修当DNS服务器为响应询问的DNS封包建立additionaldata区段的数据时，会自动解析NS纪录中任何DNS服务器的域名，这称为gluefetching，易遭受Spoofing的攻击。关闭gluefetching的功能，可避免DNS服务器送出任何的查询要求，所以也不会摄取所管区域以外的任何数据。当DNS服务器返回一个域的域名服务器纪录并且域名服务器纪录中没有A纪录，DNS服务器会尝试获取一个纪录。就称为gluefetching,攻击者可以利用它进行DNS欺骗。关闭gluefetching是一个好方法，修改配置文件：/etc/named.conf.加入一行：[root@lab2~]#vi/etc/named.conf////named.confforRedHatcaching-nameserver//options{directory"/var/named";version"unknowonthisplatform";recursionno;fetch-glueno;dump-file"/var/named/data/cache_dump.db";statistics-file"/var/named/data/named_stats.txt";/**Ifthereisafirewallbetweenyouandnameserversyouwant*totalkto,youmightneedtouncommentthequery-source*directivebelow.PreviousversionsofBINDalwaysasked*questionsusingport53,butBIND8.1usesanunprivileged*portbydefault."/etc/named.conf"81L,1603C第三步：限制查询要求的服务对象如果无法关闭rescursion的功能，应该限制查询要求的服务对象限制询问要求的来源（IP地址）限制可以查询的区域范围DNS服务器应该拒绝来自以下网络的询问要求私有网络（除非你自己在使用）实验性网络群播网络一般的DNS服务器对所管区域的名称信息，可以服务来自任何IP地址的查询要求，因为它是经授权而来管理该区域的权威DNS服务器对于所管区域以外的名称信息，只应该服务来自内部或可信赖之IP地址的查询要求cahing-onlyDNS服务器应该只服务来自特定IP地址的解析器authoritative-onlyDNS服务器必须服务来自任何IP地址的询问要求，但是应该拒绝任何递归的询问要求。具体配置如下所示。[root@lab2~]#vi/etc/named.conf////named.confforRedHatcaching-nameserver//options{directory"/var/named";version"unknowonthisplatform";recursionno;fetch-glueno;allow-query{/24;};dum