DNS(Domain Name System )域名系統是支撐互聯網運行的重要核心基礎設施，因此DNS系統也成為互聯網攻擊的最主要目標。DNS安全意義重大，一旦發生重大DNS攻擊事件，將可能會影響大范圍互聯網的正常運行，并給社會帶來巨大經濟損失。

隨著中國推進IPv6規模部署行動計劃快速實施，中國三大電信運營商的固定和4G LTE網絡已經大范圍部署IPv6協議，隨著一批TOP ICP網站和APP支持IPv6協議，目前中國已經有超過5億用戶獲得IPv6地址，開始使用IPv6網絡服務。中國互聯網正在向IPv6時代全面演進。在這個階段，必須要高度重視DNS安全問題。

[[262318]]

1. 遞歸DNS的運行機制

DNS系統可以分為：根DNS服務器、域名DNS服務器(TLD)、權威DNS服務器、遞歸DNS服務器等幾類。

用戶訪問互聯網，第一步需要向本地遞歸DNS申請域名解析。遞歸DNS查詢緩存或向上一級DNS進行遞歸，獲得域名解析結果并返回給用戶，然后用戶瀏覽器就可以訪問目標網站和網頁。從互聯網DNS體系架構來看，遞歸DNS是一個綜合體系，包含多個層級。用戶向低級遞歸DNS查詢，低級向高級遞歸DNS查詢，高級遞歸DNS向根DNS、域名DNS、權威DNS服務器查詢，這樣一級一級遞歸查詢。權威DNS解析出來域名的IP地址再一級一級返回，最后發給用戶主機。

遞歸DNS在日志里面將會記錄用戶的DNS查詢記錄，包括用戶主機的源IP地址、目標網站、查詢時間、返回DNS查詢結果(目標網站的IP地址)等等。

2. IPv6 與IPv4環境下遞歸DNS運行機制的差異及風險

IPv6網絡環境下，DNS的運行機制與IPv4網絡環境下存在一些差異。

由于IPv4地址資源缺乏，所以IPv4網絡通常會在出口部署NAT設備，內網主機向遞歸DNS申請域名解析申請時，遞歸DNS收到的是NAT設備IP地址，無法獲得用戶主機的IP地址。

IPv6協議提供了海量IP地址資源，所有用戶主機/聯網終端都配置真實IPv6地址。IPv6主機(或聯網終端)使用真實IPv6地址向遞歸DNS發起域名解析申請，遞歸DNS服務器向用戶主機返回域名解析結果，并在日志中記錄用戶的真實IPv6地址。

互聯網IP地址掃描探測是黑客常用的攻擊手段。由于IPv6協議設計有海量地址，原有IPv4地址段掃描的探測方式在IPv6網絡上基本失效，所以黑客需要獲得用戶的真實IPv6地址，就需要找到一個擁有大量用戶真實IPv6地址記錄的系統，入侵破解之后獲取用戶IP地址數據。而遞歸DNS服務器恰恰能夠滿足黑客的探測需求，無論是內網遞歸DNS系統，還是公共遞歸DNS系統，在DNS日志文件里面都記錄了海量用戶的真實IPv6地址與域名解析記錄。

3. IPv6網絡環境中竊取將成為遞歸DNS重要攻擊方式

對遞歸DNS系統的攻擊，主要包括破壞、投毒、竊取三種方式。

• IPv4時代對DNS的攻擊以破壞為主，包括DDOS攻擊等，目的是造成DNS服務停止。這種攻擊發生后很快就會被發現，并在12-24小時內修復。
• DNS緩存投毒是指遞歸DNS向上級DNS申請查詢，攻擊者仿冒上級DNS服務器向遞歸DNS 服務器發送偽造應答包搶先完成應答，用虛假數據污染遞歸DNS 緩存，從而使遞歸DNS向用戶主機返回錯誤的解析IP結果，將用戶訪問重定向到危險網站。
• 進入IPv6時代，由于獲取用戶真實IPv6地址變得困難，因此竊取將成為遞歸DNS攻擊的重要方式。黑客入侵DNS后，不干擾DNS正常運行，而是長期潛伏起來，持續竊取DNS服務器的日志數據，從日志數據中即時獲取海量用戶的真實IPv6地址，并作為網絡探測的目標。

如果黑客入侵并攻破校園網、政務網，企業網的遞歸DNS服務器，以及公共DNS服務商的遞歸DNS系統，就可以獲取DNS日志并抓取大量新鮮有效的用戶IPv6地址，以進行精準IPv6地址掃描探測。潛伏竊取是靜默無聲并且長期的，其帶來的風險要遠遠大于DDOS攻擊破壞和DNS緩存投毒。

目前很多園區網、企業網的DNS服務器安全防護薄弱，隨著用戶網絡IPv6升級和DNS系統IPv6升級，將可能成為黑客重點攻擊目標。

4. IPv6網絡隨意配置和使用公共DNS的風險

目前網上有很多文章推薦國外的公共DNS，

包括：

• GooglePublic DNS (IPv4：8.8.8.8;IPv6：2001:4860:4860::8888);
• IBMQuad9 DNS (IPv4：9.9.9.9;IPv6：2620:fe::fe);
• CloudflareDNS (IPv4：1.1.1.1;IPv6：2606:4700:4700::1111);
• CiscoOpenDNS (IPv4：208.67.222.222;IPv6：2620:0:ccc::2);
• HurricaneElectric Public DNS (IPv4：74.82.42.42;IPv6：2001:470:20::2 )

由于國內網絡受互聯互通、國際出口擁堵等情況的影響，一些網站訪問速度較慢。在一些介紹全球公共DNS的網絡技術文章影響下，很多用戶在自己的電腦上設置國內、國外公共DNS作為首選DNS，以求實現網絡加速。還有一些企業沒有內網DNS服務器，網管技術人員往往在路由器上將DNS設置為公共DNS的IP地址，內網用戶直接使用公共DNS的域名解析服務。這種情況在IPv4網絡環境下的問題不大，因為主機都在NAT設備之后配置內網IP，沒有publicIP地址。但是在IPv6網絡中，所有主機都將配置真實IPv6 Public IP地址，一旦IP地址暴露，即可被精準掃描。

Google、IBM、Cloudflare等全球公共DNS系統為全球互聯網用戶提供免費的DNS解析服務，正面看是一種公益和慈善，但從IPv6網絡安全的角度看，其實也是一個全球主機IP地址收集器。如果用戶主機DNS設置直接寫入這些公共DNS的IP地址，或者小企業出口路由器的DNS設置直接寫入這些公共DNS的IP地址，那么用戶主機發起DNS解析請求時，這些公共DNS將直接獲得用戶主機(或企業內網主機)的真實IPv6地址。假設某個公共DNS系統的日志數據庫與網軍的IP地址掃描探測系統直聯共享，那么情況簡直不堪設想。

5. 在中國IPv6規模部署初期就要重視IPv6網絡安全

兩辦《推進IPv6規模部署行動計劃》文件中明確提出了“兩并舉三同步”原則：“發展與安全并舉，同步推進網絡安全系統規劃、建設、運行”。

中國IPv6規模部署剛剛進入發展期，已經有超過5億部手機實現了IPv6聯網，一批高校、政府、企業的網絡正在升級支持IPv6協議。在目前階段，重視IPv6網絡安全問題處于最佳階段，而不能等到發生事故之后再亡羊補牢。可以預見，在不遠的將來，IPv6 DNS安全將成為IPv6網絡安全的最重點問題之一，必須要予以高度重視，提前做好網絡安全防護。