DNS安全配置v1.0.0.0.ppt

1、DNS安全配置 陈磊,版本控制,版本控制,目 录,第一章 DNS的基本原理 第二章 DNS面临的常见威胁和漏洞 第三章 DNS的安全配置 第四章 DNS系统安全运维,第一章 DNS的基本原理,DNS基本原理,互连网上主机信息的分布式数据库 域名服务器 解析器即客户机 域名查询采用UDP协议(端口53) ，区域传输采用TCP协议(端口53)。 域名解析过程分为两种方式：递归模式和交互模式,DNS基本原理,通信端口,主域名服务器,辅域名服务器,resolver,resolver,UDP port 53,UDP port 53,UDP port 53,TCP port 53,DNS基本原理-域名解析

2、过程,DNS服务安全的重要性,几乎所有的网站都需要DNS 失去了DNS服务器的话，任何在internet网络上的人将不能够再使用域名找到你的服务器。 没有了DNS的服务，所有的邮件发送都将失败。而你的内部 网络将由于解析域名的失败而失去和外部网络联系。 DNS的本身性能问题可是关系到整个应用的关键,第二章 DNS面临的常见威胁和漏洞,DNS服务器面临的主要威胁,拒绝服务 DNS劫持 DNS缓冲污染 设置不当DNS泄漏过多的网络拓扑结构 远程漏洞入侵,拒绝服务,作为攻击源（帮凶） 根源 一个DNS查询包大小回应包的大小 全球有几十万开启递归的DNS服务器 作为被攻击目标 udp flood等等常

3、见拒绝服务攻击方法 2002、2007年针对根域名服务器的攻击(icmp flood) 利用软件漏洞,拒绝服务作为攻击源,DNS回应包远远大于查询包,拒绝服务-作为攻击源,伪造源地址查询,攻击者,被攻击 DNS 服务器,dns,dns,dns,dns,DNS劫持,含义 dns查询的返回信息，被篡改 1、客户端被劫持 dns查询没转发到真正DNS服务器 比如：局域网内部arp欺骗 2、DNS服务器被劫持 服务器被控制 服务器端流量被劫持,缓存污染,Black Hat 2008 公布了DNS缓冲污染漏洞 利用方法 危害 几乎所有的开启递归查询的DNS服务器，都有可能被攻击 原理 dns服务器在递归

4、查询时，源端口固定 QID字符空间可预测,缓存污染,缓存污染,设置不当的DNS将泄漏过多的网络拓朴结构 示例：用Nslookup命令踩点目标系统的域名信息,$ nslookup Default Server: Address: 202.112.*.* set type=ns Server: Address: 202.112.*.* origin = server - 设置新的缺省域名服务器 Default Server: Address: 202.112.*.1, ls -d ls -d dnsdump - 将取得的信息转储到本地文件 Received 8 answers (8 records

5、).,设置不当的DNS将泄漏过多的网络拓朴结构,远程漏洞入侵,BIND 8处理事务签名(TSIG)代码里的远程溢出漏洞。 BIND 4 nslookupComplain()缓冲溢出漏洞。 BIND 4 nslookupComplain()输入验证错误。 BIND 4/8 环境变量泄漏漏洞。 BIND 8.2 NXT 处理漏洞，导致缓冲溢出。 BIND 8.x,4.9.5 SIG处理漏洞，导致bind死掉。 BIND “so_linger”漏洞，导致bind停止响应120秒。 BIND “fdmax”漏洞，使远程入侵者控制bind耗尽文件描述符。 BIND “maxdname”漏洞，使入侵者可以

6、当掉bind服务。 BIND “naptr” 漏洞，使入侵者可以当掉bind服务。,第三章 DNS安全配置,DNS服务器安全配置,版本信息的隐藏 DNS服务器的访问控制 及时更新安装应用软件的最新版本 设置chroot运行环境（UNIX系统） 冗余性,DNS服务器安全配置,Bind的配置文件 默认：/etc/named.conf,DNS服务器安全配置,隐藏版本信息: options version xxxxxx; 检查方法： nslookup -q=txt -class=chaos version.bind 192.168.2.53,DNS服务器安全配置,服务器的访问控制: 限制查询 限制区域

7、传输 限制递归 限制更新 通过限制查询主机的IP地址可以有效的减轻拒绝服务攻击的影响，以及内部网络结构的泄露。,DNS服务器安全配置,限制查询 方法：allow-query ip；ip-list； 系统管理员可以限制哪些地址可以使用DNS服务器做名字查询。 从BIND 8开始，新增加的配置项allow-query可以指定一个基于IP地址的访问控制列表。,DNS服务器安全配置,限制区域传输 方法： allow-transfer ip；ip-list； 要确保只有备份域服务器可以请求区传输。如果远程用户能够做区传输，那么他就可以得到该区下登记的所有主机名和对应的IP地址。 如果没有配置备份域服务器

8、，建议在全局配置里禁止所有的区域传输,DNS服务器安全配置,限制递归查询 方法： allow-recursion ip；ip-list； 对dns服务器来说，如果客户端请求的域名不在本地缓冲或者不在本域内，则dns服务器将像其他dns服务器发起查询。,DNS服务器安全配置,限制区域更新 方法： allow-update ip；ip-list； 当域名记录有改变时，接收哪些dns服务器发来的更新。,DNS服务器安全配置-Bind配置,/etc/named.conf options allow-query 3.0.0.0/8; allow-transfer ; blackhole ; ;,DNS服

9、务器安全配置-chroot,chroot 是 ”change root” 的缩写， chroot重定义了一个程序的运行环境。重定义了一个程序的“ROOT”目录或“/”。也就是说，对于chroot了的程序或shell来说，chroot环境之外的目录是不存在的。,DNS服务器安全配-Chroot方法步骤,建立”监狱式”目录 拷贝本身服务软件和其他要求的文件 拷贝所需要系统库文件 变换启动脚本，使系统启动正确环境,DNS服务器安全配置,及时更新安装最新版本,DNS服务器安全配置系统冗余,配置多个DNS服务器（冗余性和高可用性） 恶意攻击者对DNS服务器进行拒绝服务攻击的一个保护手段。 为了应用上考虑

10、 配置的方式 DNS负载均衡 主、备方式,第四章 DNS的安全运维,DNS系统维护的注意事项,测试服务器能否正常解析 （nslookup ) DNS最新版本 日志审计,DNS系统维护的注意事项,日志审计-方式 1、默认/var/log/messages 2、定制named.conf,DNS系统维护的注意事项,日志审计-logging的配置 logging channel 指定应该向哪里发送日志数据 category 类别规定了哪些数据需要记录 ;,DNS系统维护的注意事项,日志审计-logging的配置 channel ; file ; syslog ; null; stderr; severity ; print-time ; print-severity ; print-category ; ; severity critical、error、warning、notice、info、debug,DNS系统维护的注意事项,日志审计-logging的配置 category ; ; . ; queries 查询日志 security认可/非认可的请求。 update动态更新事件。 xfer-in从远程到本地名字服务器的区传送 xfer-out从本地到远程名字服务器的区传送,DNS系统维护的注意事项,日志审计-例子 named.conf log