DNS系統(tǒng)安全解決方案之DNS系統(tǒng)安全風(fēng)險(xiǎn)分析
DNS系統(tǒng)概述
域名系統(tǒng)(DNS)作為互聯(lián)網(wǎng)基礎(chǔ)設(shè)施,在互聯(lián)網(wǎng)服務(wù)中占據(jù)著越來越重要的地位,保障域名系統(tǒng)安全運(yùn)行對(duì)于維護(hù)互聯(lián)網(wǎng)安全、提升客戶感知具有重要意義。
近期互聯(lián)網(wǎng)領(lǐng)域頻繁發(fā)生針對(duì)DNS系統(tǒng)的DDOS攻擊(分布式拒絕服務(wù)攻擊)、緩存投毒、權(quán)威域名篡改等導(dǎo)致互聯(lián)網(wǎng)斷網(wǎng)或者重要應(yīng)用無法訪問等安全事件;有些DNS安全事件造成的損失非常巨大,以“5.19斷網(wǎng)事件”為例,據(jù)有關(guān)人士估計(jì),電信運(yùn)營(yíng)商損失約為1.2億元。
如何保障DNS系統(tǒng)的安全迫在眉睫,勢(shì)在必行。該文檔將給出DNS系統(tǒng)的安全防護(hù)整體解決方案,為運(yùn)營(yíng)商的DNS系統(tǒng)保駕護(hù)航,使其為用戶提供可信、安全、可靠的DNS服務(wù),滿足運(yùn)營(yíng)商DNS系統(tǒng)“業(yè)務(wù)可用、解析正確、狀態(tài)可視”的安全需求。
DNS系統(tǒng)安全風(fēng)險(xiǎn)分析
1.DNS系統(tǒng)的重要性
DNS (英文單詞的全稱是:Domain Name System,域名系統(tǒng)),是Internet的一項(xiàng)核心服務(wù),它作為可以將域名和IP地址相互映射的一個(gè)分布式數(shù)據(jù)庫(kù),能夠使人更方便的訪問互聯(lián)網(wǎng),而不用去記住能夠被機(jī)器直接讀取的IP數(shù)串。完整的域名系統(tǒng)由遞歸域名服務(wù)系統(tǒng)(即本地域名服務(wù)器)、根域名服務(wù)系統(tǒng)、頂級(jí)域名服務(wù)系統(tǒng)以及各級(jí)域名服務(wù)系統(tǒng)等四個(gè)層級(jí)構(gòu)成。
DNS是十分重要的 Internet基礎(chǔ)設(shè)施,是Internet的基石,是互聯(lián)網(wǎng)的起點(diǎn)和入口,是全球互聯(lián)網(wǎng)通信的基礎(chǔ),基于Internet的各種Web服務(wù)、Email服務(wù)、路由服務(wù)都依賴或者間接依賴DNS。DNS的作用相當(dāng)于互聯(lián)網(wǎng)的中樞神經(jīng)系統(tǒng),域名系統(tǒng)的故障會(huì)導(dǎo)致互聯(lián)網(wǎng)陷入癱瘓。域名系統(tǒng)就像是“空氣”,平時(shí)我們感覺不到它的存在,但是一旦出現(xiàn)問題,其影響可能是“致命”的。
眾所周知的“5.19斷網(wǎng)事件”,為DNS的安全再一次敲響了警鐘,并給了一次深刻的教訓(xùn)。5月19日21時(shí)起,由于baofeng.com網(wǎng)站的域名解析系統(tǒng)受到網(wǎng)絡(luò)攻擊出現(xiàn)故障,導(dǎo)致電信運(yùn)營(yíng)企業(yè)的遞歸域名解析服務(wù)器收到大量異常請(qǐng)求而引發(fā)擁塞,造成廣西、江蘇、海南、安徽、甘肅和浙江等省寬帶用戶大面積斷網(wǎng)。此次斷網(wǎng)事件造成的損失非常巨大,據(jù)有關(guān)人士估計(jì),電信運(yùn)營(yíng)商損失約為1.2億元,游戲運(yùn)營(yíng)商損失1億元,網(wǎng)吧經(jīng)營(yíng)者損失約為1000萬元。
2.DNS系統(tǒng)面臨的主要風(fēng)險(xiǎn)
目前,DNS面臨的安全問題主要可以分為三類:DNS欺騙攻擊、拒絕服務(wù)攻擊、系統(tǒng)漏洞,下文將分別進(jìn)行介紹。
DNS欺騙攻擊
當(dāng)一個(gè)DNS服務(wù)器遭到欺騙攻擊,使用了來自一個(gè)惡意域名信息記錄的,將會(huì)產(chǎn)生許多安全問題。常見的DNS欺騙方式有以下種:緩存投毒(cache poison或緩存污染)、域名劫持、IP欺騙(IP Spoofing)、不安全的動(dòng)態(tài)更新。
拒絕服務(wù)攻擊
一旦DNS系統(tǒng)遭受拒絕服務(wù)攻擊,其服務(wù)將停止,會(huì)導(dǎo)致互聯(lián)網(wǎng)將處于癱瘓狀態(tài)。針對(duì)DNS的拒絕服務(wù)攻擊主要有:通用型DDoS攻擊、、DNS Query Flood攻擊(常見的Query Flood攻擊有IP Spoofing型攻擊、Random Qname型攻擊、濫用型攻擊等);利用DNS的拒絕服務(wù)攻擊主要有反射DDoS攻擊(DrDDoS)、放大攻擊等。
系統(tǒng)與應(yīng)用漏洞
BIND已經(jīng)是DNS服務(wù)器的事實(shí)標(biāo)準(zhǔn),但是BIND自身存在安全漏洞,如遠(yuǎn)程緩存破壞漏洞、可預(yù)測(cè)DNS查詢ID漏洞、驗(yàn)證遠(yuǎn)程拒絕服務(wù)漏洞、上下文遠(yuǎn)程拒絕服務(wù)漏洞等。
DNS系統(tǒng)還有很多的內(nèi)容和知識(shí)點(diǎn),本文只想大家介紹了關(guān)于DNS系統(tǒng)安全風(fēng)險(xiǎn)的內(nèi)容,我們還會(huì)在以后的文章中繼續(xù)向大家介紹其他模塊的內(nèi)容。
