dns安全风险与应对策略研究

信息科技探索DCDNS安全风险与应对策略研究胡芳芳摘 要 在互联网服务中,DNS是一项非常重要的基础性服务，但其本身存在一定的安全缺陷，容易受到不同类型的 攻击，可能会造成DNS网络服务的瘫痪与崩溃.对此，文章对DNS协议框架存在餉安全风险漏洞和设计缺陷进行了详 细餉分析,讨论了 DNS常见的被攻击方式,最后有针对性地提出了加强DNS安全防护的应对策略，希望为我国网络安 全建设提供一些有价值的参考借鉴.关键词DNS;安全风险;防护策略；安全管理中图分类号TP3 文献标识码A 文章编号1674-6708 ( 2019 ) 248-0119-02随着信息时代的来临，互联网服务已经成为了 我们日常生活必须的组成部分，而网络域名系统即 DNS,是网络服务的重要基础性设施，在互联网的有 效运行过程中起到了关键性作用，网络页面查询搜 索等服务都是通过DNS来实现的，利用DNS将难以 记住的IP地址转换成了网络域名，方便用户的登 录与查询，为网络的高效利用提供了有益的帮助。 然而，DNS的安全问题日益凸显，主要表现在缺乏 通信双方的身份真实性与完整性认证，也难以对数 据是否被篡改进行识别和分析，导致DNS安全问题 层出不穷，因此，加强DNS安全防护技术的研究是 非常有必要的。1 DNS主要的自身安全风险分析 1-1网络架构存在缺陷DNS服务提供商通常在各个省份建立DNS网络 服务，通常每个省份的DNS架构可采用两种技术方 案，传统的技术方案通常采用四层交换机实现DNS 组网，通过负载均衡方式实现服务器的域名解析， 在两个核心节点上构建两组DNS,并采用四层交换 技术建立DNS服务集群，且在每套DNS服务节点上 都采用不同的IP地质,每个单独的DNS节点主要 是三层架构的网络结构，包括四层交换机硬件、安 全防火墙软件、和DNS服务器群组,四层交换机用 于将用户DNS请求平均分配给集群中的每个DNS服 务器，并且实现网络负载流量均衡。防火墙软件主 要用以保护DNS,防止黑客和非法入侵者对DNS进 行数据窃取或对服务器进行攻击，DNS服务器群组 的功能是实现域名解析，这种四层交换机DNS建立 服务节点能力较强，运行可靠性较高，但在网络架 构方面依然存在明显的缺陷，主要反映在以下几方 面：首先，四层交换机系统的流量分配需要利用网

作者简介：胡芳芳,92146部队,研究方向为计算机科学与技术.络设备内部的软件系统和硬件芯片来检查、重组和 分发数据包，对硬件性能要求较高；其次，虽然四 层交换机适用于各种复杂协议的应用，但DNS业务 是一种相对简单的应用，具有业务带宽小、分组交 换容量大的特点，采用四层交换机网络架构优势并 不明显；最后，系统容灾性相对较低：作为集中服 务，一旦受到外部异常流量的攻击，很容易引发络 系统过载，进而影响DNS网络服务。1.2 DNS软件漏洞在DNS软件服务之中，最为常用的技术方案 时采取 Berkeley Internet Name Domain 技术，英 文简称BIND,根据相关数据表明,全球DNS服务系 统中超过90%采用了 BIND技术，BIND是互联网系 统协会开发并进行日常维护的，当前最新版本是 BIND1O软件，BIND虽然在历次更新中软件安全性 得到了一定的提升，安全漏洞也修复了很多，但其 开源的特点不可避免的存在一定的安全风险，比如 前一阶段发生的ISC BIND9远程动态更新消息拒绝 服务漏洞导致多家的DNS运营服务商系统出现缓存 中毒问题，导致DNS服务难以正常运行。2 DNS受到的外部攻击分析 2.1反射放大攻击反射放大攻击是DNS最容易遭受的攻击方式之 一。要实现此攻击，有两个要求：一是攻击者需要 伪造DNS查询的源地址，二是需要有开放的递归解 析服务器。DNS是一种UDP网络通信协议，源地址 容易伪造，并且缺少源地址的真实性与安全认证机 制，与此同时，在网络上存在大量的开放性递归解 析服务器，具备了以上两个条件，DNS攻击者便可 以轻易发起反射放大攻击。首先，攻击者向一个开 放的递归解析服务器发送大量的DNS查询请求，请

119^2019 \"42 （上门《科技传播》QU信息科技探索求提供伪造的源地址，以将DNS响应流量指向攻击 者的伪造源地址，即受害者。当响应流量足够大时， 这种攻击会对受害者造成拒绝服务攻击，导致受害 者的系统瘫痪。反射放大攻击是在反射攻击的基础 上添加另一个条件：查询响应流量乘以查询请求 流量，DNS才有这种能力。例如，通过查询“ANY” 资源记录的64字节就可以获得512字节的查询响 应，从而实现了近年来的响应流量放大。2013年， 反垃圾邮件组织spamhaus遇到了 DNS反射放大攻 击，攻击者发出了长度为36字节的DNS查询包， 但得到了一个长达3 000字节的响应包，流量峰值 超过300GB/S,这直接导致大量合法用户无法访问 该机构的网站，在当时引起了广泛的轰动。在2016 年巴西奥运会期间，也有针对巴西政府发动的DNS 反射放大攻击，网络峰值流量达到540GB/S,导致 巴西政府网站系统难以正常运行。2.2随机子域或无效域名查询攻击随机子域攻击是指非法攻击者利用向开放递归 解析服务器查询合法域名的随机子域或并不存在的 子域名称的来实现对DNS的攻击。比如，攻击者查 询并不存在的域名，导致服务器根本无法给出有效 响应，但却需要消耗较多的系统资源，如果入侵者 可以控制僵尸网络发送大量的此类请求，将会导致 DNS系统资源严重消耗，会影响正常域名查询用户 的使用，从而达到攻击DNS导致其性能下将或出现 严重故障或瘫痪的目的。2.3 DNS缓存投毒对DNS的攻击方式中，缓存投毒也是近年来非 常常见的一种方式，缓存投毒的主要目的是将受到 污染的缓存存储到正常的DNS服务缓存中，这些污 染的缓存记录解析的IP地址并不是对应着真正的 域名解析，而是由攻击者控制的非法地址，在用户 使用DNS服务时，会进入DNS攻击者控制的服务器， 导致用户的网络使用存在很大的安全风险。3几种DNS安全防护应对策略分析3.1采用DNSSEC技术DNSSEC技术是指利用数字签名和公钥来实现 DNS数据的完整性与可靠性，利用DNSSEC技术通过 权威名称服务器用自己的私钥签署资源记录，然后 解析服务器用权威的公钥认证来自权威名称服务器 的数据，如果秘钥验证成功,则意味着接DNS获得 的数据信息来自可以信任的权威名称服务器，再进 行解析服务器接收数据，有效的提高了连接的安全 性。如果身份秘钥验证失败，则意味着DNS接收到 的数据信息可能是不被信任的有风险信息，DNS可 以拒绝接入。采用此技术方案能够有效提升DNS的 安全性能，但由于认证过程涉及公钥操作的加密和 解密过程，因此将增加系统的消耗，延长DNS解析

《科技传播》2019 ■ 12 （上120时间，而且完成认证需要将信任链从根域名服务器 部署到站点域名服务器，会在一定程度上增加系统 资源的消耗。3.2 部署 Anycast部署Anycast是利用网络路由的技术方案来 增强DNS的安全性能。通过对Anycast的部署，可 以实现DNS中提供相同服务的服务器组公用统一 的IP。客户端向DNS发送的数据连接请求可以利 用Anycast接入最近的一台服务器主机上,采用此 技术方案能够有效阻止DDoS攻击，这是由于当网 络攻击者利用僵尸网络对DNS攻击时，采用的僵尸 网络上的主机具有不同的地理位置，并且各自有独 立的IP地址,这些巨量的网络信息会通过Anycast 分布到不同的DNS服务器上，进而缓解了单一服务 器的运行压力，利用大量的分散式服务器能够一定 程度上减少DDos攻击对DNS的破坏性。3.3区块链技术目前DNS系统是基于根域名服务器的集中式 管理系统，一旦根域名服务器出现故障，整个互联 网将受到严重影响。随着块链技术的快速发展，相 关机构利用分块链分散的特点，推动了块链技术和 DNS系统的集成，基于集中式块链技术的网络安全 比传统的集中式域名服务器安全，它可以支持域名 管理，防止域名服务器缓存和中毒，区块链通过其 网络节点构建DNS信息，能够有效提升DNS的安全 性能。4综上所述，DNS是整个互联网安全稳定运行的 基础，但其安全性由于其自身的设计问题依然存在 一定的缺陷,因此针对DNS的攻击事件层出不穷， 主要采用反射放大攻击、随机子域攻击与缓存投毒 等方式，导致DNS的可靠性与稳定性下降,并严重 影响用户网络使用的安全，因此DNS服务运营机构 应该加强安全风险防治技术的运用并加强管理，可 以采用DNSSEC技术、Anycast技术和区块链技术等 多种先进的网络安全技术提升DNS的安全性能,为 用户提供更加安全可靠的DNS服务。參考文献[1] 肖建春.影响企业物联网安全的八大DDoS攻击事件[J].计算

机与网络，2017 ( 10 ) : 56-57.[2] 庄天舒，刘文峰，李东.基于区块链的DNS根域名解析体系

[J].电信科学,2018 ( 3 ) : 17-22.[3] 徐斌.DNS攻击分析和防范[J].网络安全技术与应用，2014( 10 ) : 92-94.[4] 黄错，孔宁.DNS隐私问题现状的研究[J].计算机工程与应 用，2018 ( 9 ) : 28-36.