安全資訊

眾所周知，域名系統(DNS，Domain Name System)作為互聯(lián)網(wǎng)的重要基礎設施，其主要功能是提供域名解析服務(wù)。隨著(zhù)互聯(lián)網(wǎng)的發(fā)展，DNS系統也被賦予了其他的應用功能，如 DKMI(即Domain Keys Identified Mail，縮寫(xiě)為DKIM)、負載均衡、域名封鎖等方面。絕大多數的互聯(lián)網(wǎng)應用都需要依賴(lài) DNS 才能正常工作，一旦 DNS 系統受到攻擊，整個(gè)互聯(lián)網(wǎng)將會(huì )受到嚴重影響。

隨著(zhù)網(wǎng)絡(luò )技術(shù)的不斷發(fā)展，攻擊 DNS 的技術(shù)也變得更加豐富，手段更加復雜。

美國 Coleman Parkes 公司調查了來(lái)自北美、亞太、歐洲共 1000個(gè)組織的 DNS 系統安全狀況發(fā)現 ，在 2017 年有 76%的組織受到了 DNS攻擊。在這些攻擊中，惡意軟件攻擊占 35%、DDoS 攻擊占 32%、緩存投毒占 23%、DNS 隧道占 22%、零日漏洞攻擊占19%。超過(guò) 90%的惡意軟件使用DNS協(xié)議與惡意軟件的命令和控制(Command and Control，C&C)中心保持聯(lián)系，以此獲取攻擊命令、下載軟件更新、獲取隱私信息。DDoS 攻擊也變得越來(lái)越復雜，攻擊者使用廣泛的技術(shù)手段，從基本的方法(如：放大/轉發(fā)、泛洪)，到涉及僵尸網(wǎng)絡(luò )、連鎖反應等高度復雜的攻擊，這些攻擊可能來(lái)內部或外部DNS服務(wù)器。

根據 Arbor Network 發(fā)布的調查報告顯示，有84%的反射和放大攻擊采用DNS協(xié)議，是所有調查協(xié)議中占比最高的。此外，報告中還顯示 DNS 的服務(wù)器是 DDoS 攻擊的首要目標，有78%的DDoS 攻擊對 DNS的應用層服務(wù)進(jìn)行攻擊。

攻擊DNS 有利可圖，商業(yè)利益驅動(dòng)促使攻擊行為加劇。有攻擊者通過(guò)攻擊DNS服務(wù)器，造成企業(yè)服務(wù)中斷，損壞企業(yè)信譽(yù)，造成用戶(hù)流失。如 2016 年 10 月在 Dyn域名服務(wù)供應商受到大規模DDoS攻擊之后，Dyn公司失去了8%的域名客戶(hù)。

DNS 攻擊還會(huì )造成關(guān)鍵數據泄露和經(jīng)濟損失。根據 EfficientIP 的調查報告，在調查的1000個(gè)公司和組織中，有三分之一的公司因 DNS 攻擊數據被盜，這些數據中16%是用戶(hù)敏感信息15%是知識產(chǎn)權信息。此外，DNS 攻擊每年會(huì )給受害公司造成 200 萬(wàn)美元的經(jīng)濟損失。

域名服務(wù)主要由3部分組成，分別是：

1、域名空間(domain name space)和資源記錄(resource record)，包括樹(shù)形結構的命名空間和與名稱(chēng)相關(guān)聯(lián)的數據；

2、名字服務(wù)器(name server)，包含域樹(shù)結構信息和設置信息的服務(wù)器程序；

3、解析器(resolver)，響應請求并從名稱(chēng)服務(wù)器獲取查詢(xún)結果。DNS 通常提供兩種域名解析方式，分別是：遞歸式查詢(xún)和迭代式查詢(xún)。在通常情況下，應用系統主機向本地域名服務(wù)器請求域名解析時(shí)，采用遞歸查詢(xún)。

在遞歸查詢(xún)模式下，本地域名服務(wù)器直接向應用系統主機返回域名解析結果，當地域名服務(wù)器需要向根域名進(jìn)行請求。

以下是對CVE 漏洞信息庫若干條DNS相關(guān)漏洞進(jìn)行對比分類(lèi)，針對不同類(lèi)型的DNS系統漏洞對攻擊目標及攻擊后果進(jìn)行總結歸納，統計結果如下表所示： 

為了解決DNS系統在數據傳輸過(guò)程真實(shí)性和完整性保護，IETF(The Internet Engineering Task Force)提出了DNS安全增強方案 DNSSEC。DNSSEC 通過(guò)對資源記錄進(jìn)行簽名，用戶(hù)在收到相關(guān)請求域名信息時(shí)也會(huì )收到該記錄的簽名，用戶(hù)可以根據簽名檢測數據的真實(shí)性和完整性。DNSSEC 在DNS的基礎上，增加了四種安全記錄：

1.   DNSKEY記錄，存儲驗證DNS數據的公鑰；

2.   RRSIG 記錄，存儲DNS資源記錄的數字簽名；

3.   DS記錄，用于DNSKEY驗證，存儲密鑰標簽，加密算法和對應 DNSKEY 的摘要信息；

4.   NSEC 記錄，存儲和對應所有者相鄰的下一記錄，用于否定存在驗證。

當前DNS協(xié)議使用UDP協(xié)議傳輸數據，信息沒(méi)有進(jìn)行真實(shí)性和完整性驗證，因此對 DNS 傳輸協(xié)議進(jìn)行增強是增強 DNS 安全性的一種手段。T-DNS使用TCP和TLS協(xié)議替代 UDP傳輸DNS消息，解析器與服務(wù)器首先需要建立TCP連接，然后使用TLS協(xié)議對DNS消息的內容進(jìn)行加密保護，防止內容泄露和惡意篡改。

T-DNS利用TCP連接的數量限制機制，能夠防止惡意服務(wù)器主動(dòng)推送虛假應答信息，同時(shí)使用TLS協(xié)議保護數據傳輸安全，解決了數據泄露和惡意篡改問(wèn)題。這種方式的局限性是建立TCP連接的時(shí)間開(kāi)銷(xiāo)會(huì )影響解析效率，T-DNS 采用TCP和TLS協(xié)議，與傳統的 DNS不兼容，很難大范圍部署。

隨著(zhù)互聯(lián)網(wǎng)的發(fā)展，技術(shù)在不斷進(jìn)步，攻擊手段也在不斷變化，僅僅依靠協(xié)議的增強和系統的改變不一定能夠抵御所有的攻擊。因此，在現有系統的基礎上，進(jìn)行有效監控診斷，保護DNS系統的正常運行，也是一個(gè)重要的安全增強保障。對DNS系統進(jìn)行診斷監控不需要改變現有DNS實(shí)現方式，具有良好的漸進(jìn)部署能力，同時(shí)能夠有效監測各種攻擊。檢測監控的核心思想是對 DNS 的查詢(xún)流量進(jìn)行分析和檢測，構造檢測系統并運用如機器學(xué)習、信息熵等技術(shù)對檢測結果進(jìn)行學(xué)習和分類(lèi)，提高檢測精度。本節根據檢測流量的層級不同分為監測DNS用戶(hù)端與遞歸服務(wù)器間流量和檢測DNS服務(wù)器間流量。

DNS根服務(wù)器作為DNS 系統的核心，負責DNS主目錄的維護和管理，這種方式存在單點(diǎn)故障、易受攻擊等缺陷。為了解決 DNS中心化問(wèn)題，有學(xué)者提出設計去中心化的 DNS 系統。DNS系統去中心后，每個(gè)服務(wù)器節點(diǎn)都是平等的，單點(diǎn)故障和 DoS攻擊造成的影響將會(huì )降低。DNS的解析過(guò)程不再受限于根服務(wù)器，不會(huì )因為管理等因素對域名進(jìn)行封鎖，也能解決根服務(wù)器部署數量有限的弊端。

針對 DNS 的各種安全問(wèn)題，雖然涌現了大量的解決辦法，但是近年來(lái)的各種攻擊事件表明，DNS 安全問(wèn)題仍然十分嚴峻。通過(guò)分析發(fā)現，現有的研究成果仍存在不足，未來(lái)的工作可以更多地關(guān)注以下方面：

DNS 系統之所以受到各種攻擊，與 DNS 樹(shù)形結構、根服務(wù)器管理整個(gè)系統有重要關(guān)系。這種體系架構存在單點(diǎn)失效問(wèn)題，而歷史上有多次攻擊根服務(wù)器的案例，致使整個(gè)DNS服務(wù)癱瘓。因此，設計一種去中心化的DNS系統是一項具有重要意義的方向。

雖然開(kāi)放式服務(wù)器提供了各種便利，如可以應答外部資源的 DNS 請求，但是這些開(kāi)放系統給網(wǎng)絡(luò )的安全性和穩定性帶來(lái)了極大的隱患。一些開(kāi)放的服務(wù)器容易被攻擊者控制，進(jìn)行放大攻擊、投毒攻擊等惡意行為。據調查發(fā)現，在3200萬(wàn)個(gè)開(kāi)放式解析器，其中有2800 萬(wàn)存在嚴重的安全隱患。開(kāi)放式會(huì )給攻擊者進(jìn)行 DoS/DDoS、緩沖投毒、DNS ID劫持等攻擊帶來(lái)便利?，F有的實(shí)踐中很少有對這些開(kāi)放式系統進(jìn)行行規范和約束，如何識別和監控這些惡意的開(kāi)放式服務(wù)器，也是一個(gè)重要的內容。

由于 DNS 系統廣泛應用，有研究者雖然提出改進(jìn)方案，與現有的 DNS 系統不兼容，也很難被大范圍部署。DNSSEC雖然在1997年就已經(jīng)被提出，但是目前仍未廣泛部署，目前DNSSEC 在頂級域的部署率達到了89%，但是在二級域的部署率僅為3%。有很多新型的名字服務(wù)系統和架構都已提出來(lái)，但是與當前 DNS 系統不兼容，因此這些研究成果很難被網(wǎng)絡(luò )運營(yíng)商和大型公司采用。因此在設計防護方案的部署方式時(shí)應考慮防護方案要避免修改現有 DNS協(xié)議。