维普资讯 http://www.cqvip.com
《宁夏电力)2007年第5期 浅析DNS技术与安全防护 李莹岚 (宁夏石嘴山供电局,石嘴山市753000) 摘要:DNS(Domain Name System)是网络建设中首要解决的问题之一,是实现Intemet应用的基础,其作 用是实现域名和IP地址之间的转换。本文介绍了DNS的基本概念、域名解析的工作原理,分析了DNS在 安全方面的漏洞及防范措施。 . 关键词:DNS;域名解析;IP地址;安全 中图分类号:TP393 文献标志码:B 文章编号:1672-3643(2007)05-0057-03 Analysis of DNS technology and security protection UYing_l蛐 (Shizuishan Electric Power Supply Bureau,Shizuishan 753000,China) Abstract:Introduces the basic concep6on of Domain Name System NS)and work principle of domain name analyzer,analyzes hte leaks of the security and protective countermeasures for DNS. Key words:DNS(Domain Name System);domain name naalyzer;IP address;security 1引言 型、层次结构分布式数据库。如图1所示。 根(无名) 随着Internet/Intranet技术的发展和应用日益普及,越来 越多的企业都建立了自己的Intranet,并且通过各种不同的方 式接入Internet。Internet上计算机之间的TCP/IP通信是通过 IP地址来进行的,因此,Internet上的计算机都应有—个IP地 gov net tom edu …… 。n 址作为其唯一标识。但IP地址是数字型名字,难于记忆和理 解。为了便于应用,TCP/IP提供了一种字符型的主机命名机 制,即域名系统(DNS,Domain Name System)。它将枯燥、没有 意义的数字映射成具有特定含义的的词或词的缩写,便于人们 m瓜 记忆和理解。在网站架构过程中,DNS是首要解决的问黾亘之・, WWW mail 也是实现www ̄p、E-mail等多种Internet应用的基础。所以, 图l DNS域名树型层次结构 DNS技术的应用及安全性研究具有深远的意义。 域是域名空间的一棵子树或一个分支,树的根就是根 域,根是没有名字的,用“.”表示。树中最靠近根域的节点, 2 DNS的工作原理 称为顶级域,每个顶级域下面又包含很多级、很多子域,主 机则位于树的叶子上。同一级中拥有同一个父节点的标示 2.1域名空间 各不相同,主机名由从相应的叶子到这一路径的各个节点 DNS的命名结构称为域名空间。域名空间是一个呈树 的标示组成。 收稿日期:2007---04—10 作者简介:李莹岚(1976一),女,助理工程师,从事计算机及网络维护工作。 ・57・ 维普资讯 http://www.cqvip.com 《宁夏电力》2007年第5期 根域各服务器具有指向第一层域的初始指针,也就是 顶层域,如.eom,.net。顶层域名最初由Intemet授权给一些 组织,如interNIC来管理。NIC将第一级域的管理分派 “浅析DNS技术与安全防护 WWW.szs.nx.sgec.com.en”主机的IP地址(④);“.en”域名服 务器将“eom.en”的域名服务器的IP地址返回给本地域名 服务器(⑤);本地域名服务器再向“eom.en”域名服务器发 出“WWW.SZS.nx.sgee.tom.en”的主机IP地址是什么的请求 给指定管理机构,各管理机构再对其管辖的域名空间继续 划分,并将各子部分管理授予子管理机构,如此下去, 便形成了层次型域名。由于管理机构是逐级授权的,所以最 终的域名都得到NIC承认,成为全球Intemet的唯一名字。 (⑥);“eom.en”域名服务器“WWW.szs.nx.sgee.eom.en”的IP 地址返回给本地域名服务器(⑦);本地域名服务器“WWW. SZS.nx.sgee.eom.en”域名服务器发送查询“WWW.SZS.nx.sgee. 如域名WWW.ibm.eom,其中WWW是主机名,ibm代表IBM公 司,.eom代表商业组织。由此通过域名代替IP地址,便于用 eom.en”的IP地址的请求(⑧);““WWWSZS.nx.sgee.eom.en” 域名服务器给本地域名服务器返回“WWW.sz8.nx.sgee.com. 户理解和记忆。 2.2域名解析 为了把一个域名映射为一个IP地址,应用程序调用一 种名叫解析器(resolver)的库过程,参数为域名。解析器将 UDP分组传送给本地DNS服务器上,本地DNS服务器查 找域名并将IP地址返回给解析器,解析器再把它返回给应 用程序。 域名解析有两种方式:反复解析和递归解析。在反复解 析方式中,如果服务器查不到相应的记录 会返回另一个可 能知道结果的服务器发送查询请求。在递归解析方式中,要 求域名服务器系统一次性完成全部名字一地址转换,即如 果不能从该服务器本地得到解析,就由该DNS服务器向其 他DNS服务器发出请求,直到得到查询结果或出现错误为 止,相当于由收到递归请求的DNS服务器来完成反复解析 中用户的工作。 域名解析是按照分层结构的特点自顶向下进行的。然 而,如果每一个解析请求都从根服务器开始,那么到达根服 务器的信息流量随互联网规模的增大而增大。在大型互联 网中,根服务器有可能因负荷太重而超载。在实际中,大多 数域名解析都是解析本地域名,可以在本地域名服务器中 完成。因此.往往域名解析都先向本地域名服务器发出请 求,这样可以提高域名解析的效率。解析过程如图2所示。 : 二二二二 二: t … - ●… ………… ・… … (1 0) 匦至至 巨2 DNS的解析过程 客户机向本地域名服务器发送请求,请求回“WWW.SZS. nx.sgee.com.cn”主机的IP地址(①);本地域名服务器检查 其数据库,发现数据库中没有域名为“www.SZs.nx.sgcc.com. cn”的主机,于是将此请求发送给根域名服务器(②):根域 名服务器将“.cn”一级域名服务器的IP地址返回给本地域 名服务器(③);本地域名服务器向“.cn”域名服务器询问 ・58・ cn”所对应的IP地址;最后本地域名服务器“www.SZS.nx. sgee.com.cn”的IP地址返回给客户机(④),至此,整个解析 过程完成。 在大型的TCP/IP互联网中,除了从本地域名服务器 开始解析外,还可以采用高速缓冲技术来提高域名解析的 效率。在域名服务器开辟一个专用内存,存放最近解析过的 域名及相应的IP地址。服务器收到域名请求后,若在本地 数据库中未找到对应信息,则回去检查缓冲区,看是否最 近解析过该域名,有则报告给解析器,没有再去向其他服 务器发送解析请求。同样,高速缓冲机制也可以在主机上 使用。当然,在使用时,要采取相应措施保证缓冲区中域名 和IP地址的映射关系的有效性。 3 DNS安全风险分析 DNS服务主要完成域名与IP地址间的转换及有关电 子邮件的路由信息。DNS使用超高速缓存将收到的有关映 射信息存放在高速缓存中,以后有相同的请求就直接使用 缓存中的信息,大大提高了解析的速度。由于本地存在高速 缓存,所以,一旦高速缓存的信息被修改,就会产生错误的 解析结果,这是DNS潜在的安全问题之一,此外还有许多 其它方面的安全隐患。 DNS的安全隐患有以下方面: (1)缓冲区溢出漏洞允许远程控制计算机; (2)域名欺骗(DNS Spoofing); (3)利用区传输造成D N S信息泄密; (4)DoS(Denial of Service)拒绝服务攻击; (5)无访问控制的递规查询; (6)反向查询缓冲区超时(Inverse Query Buffer Overrun) 版本所衍生的安全问题; (7)动态更新和递规查询。 DNS欺骗(DNS Spoofing):主要有以下三种形式: ①攻击者在自己的主机上安装网络侦听器,劫持域名 查询请求,然后假冒DNS的响应,返回一个错误解析地址, 使发出该域名查询请求的客户机得到—个错误的解析地址; ②攻击者通过污染DNS的缓冲区(DNS Cache Poi— soning)将DNS高速缓存内的信息修改。由于DNS的解析 过程是先从本地的缓存中查找要求解析的域名的IP地址,当 一维普资讯 http://www.cqvip.com 《宁夏电力))2007年第5期 本地的缓存内的信息被修改后,就会将—个被篡改后的IP地 址发送给请求者,使请求者得到—个错误的解析地址。 浅析DNS技术与安全防护 进行区域复制,这样入侵者就无法利用区域复制获取区域 中的所有数据了。 4.2保护DNS的方法 ③攻击者侵入操作系统,获得管理员权限,直接修改 DNS数据文件。 针对域名服务器的拒绝服务(DoS)攻击: (I)采用最新版本的DNS服务器软件,但随着新漏洞 和新版本的出现,要注意升级或安装相应的补丁程序。 (2)使用交叉检验,即服务器通过反向查询已得到IP 这种攻击主要有二种,一种是利用DNS软件本身的漏 洞进行攻击;另一种是用户端泛滥,攻击者仿造源地址,产 生一个查询请求,使域名服务器忙于应付大量的无效回应, 而无法处理正常的用户请求。 地址所对应的主机名后,再用该主机名查询DNS系统对应 于该主机名的IP地址。两者一致,判定用户合法。 (3)配置防火墙,将内、外DNS服务器隔离。内部 利用区传输造成DNS信息泄密: 名字服务器通常含有域名空间中某一部分的完整信 息,这一部分称为区;区的内容是从文件或其它名字服务器 中加载过来的,在加载的过程中,黑客可以劫获传输的内 DNS服务器只提供内部网名字解析,外部DNS服务器负责 外部用户的查询,并处理内网服务器提交的请求。这样还可 以简化安全管理。 (4)可通过访问控制列表用户对DNS服务器的访问。 容,造成整个区域的信息泄露,同时在加载的过程中,也会 增加服务器的负载。一旦DNS系统被攻击成功,入侵者就 会删除日志文件,销毁自己可能暴露的蛛丝马迹,然后在 DNS系统中安装程序,通过运行它获得管理员权限,同时 (5)区域传送,以防入侵者通过正常的查询命令 获得丰富的内部信息。 5结束语 从更安全、更可靠的角度来配置和使用DNS服务,是 面对日益复杂和不安全的网络应用的有效方法之一。DNS 开始向外进行扫描,在几分钟内就可发现大量的存在相同 漏洞的服务器,并可对之重复上述攻击,如此反复,后果不 堪设想。 不仅仅影响安全,它还影响到mail服务,WWW服务等等其他 4 DNS安全策略 由以上分析可知,DNS服务器一旦被控制,有可能造 成信息泄漏、关键资源被侵入、拒绝服务等严重后果,必 须采取措施,保证DNS的安全性。对于系统本身的设计和 重要内容。可以说除了网络层以下的物理连通之外。DNS是 所有网络应用层中最重要的服务内容。确保DNS的正常运 转和安全可靠,是怎样强调都不为过的。事实上,没有一种 安全策略是100%安全的,网络攻击手段的不断发展和变 化,要求服务器管理员强化安全意识,在实际工作中不断地 总结和积累经验,逐步提高DNS服务器的安全性和可靠 性。无论是在Intranet,还是在整个Intemet,采用新的技术.防 软件的漏洞,大部分用户无法直接参与,所以,对DNS的保 护关键是要进行安全的DNS配置。 4.I保护DNS的指导方针 范潜在的攻击,是我们始终面对的问题。 参考文献: [1]H untC.TCP//P网络管理[M].北京:电子工业出版社,2002. [2]吴功宜.计算机网络[M].北京:清华大学出版社,2003. [3]罗杰云,贺敏伟.DNS协议的安全浅析,2004. [4]王达.网管员必读~网络基础.北京:电子工业出版社,2004. (I)将内部用户与外部用户使用DNS可以访问的信息相 互隔开。确保可从外部访问的DNS服务器只包含与公共服务 有关的信息,例如Web服务器和电子邮件服务器的地址。 (2)在内部DNS服务器上可允许动态更新,但不要允 许外部DNS服务器的动态更新O (3)只允许经授权的计算机更新各自的DNS注册信 息,将内部DNS服务器配置为只允许安全更新。 (4)只能从主DNS服务器向辅助的DNS服务器 ・十一—’ 一+ —’ 一—’ 一+一+一+—+一+一+一+一+一+一+一+一+一+一+一+一+ +-+一+-—’ -+-+-十一+-+-+・+-+-+一+-+ (上接第38页) 回路中采用了主变三侧开关TWJ串联的方式,这大大减少 3结束语 完善主变备自投及过载切负荷装置回路和逻辑方案, 使之达到最优的配合,对提高变电所供电可靠性具有非常 重要的现实意义。随着新技术的不断发展和应用,各种自动 装置在应用中会不断遇到一些问题,这就需要我们不断发 现问题、分析问题、解决问题,只有这样才能使电网的二次 设备功能更可靠,更完善。 .了装置误动作的可能性,但是当主变中低压侧开关偷跳,造 成母线失压时,装置又显得为力。安全性和可信赖性是 相互矛盾的,如何合理地找到一个平衡点,必须结合实际, 对电网的运行方式和变电所的特点进行分析,才能找到最 佳方案。 59.
