內(nèi)網(wǎng)域名系統(tǒng)的安全保密風(fēng)險（上）

時間：2023-02-21 14:15:01 | 來源：建站知識

時間：2023-02-21 14:15:01 來源：建站知識

內(nèi)網(wǎng)域名系統(tǒng)的安全保密風(fēng)險（上）：內(nèi)網(wǎng)域名系統(tǒng)中的安全保密風(fēng)險情況分為9類，由于篇幅太長，小編將整篇文章分為上下文。上文主要介紹內(nèi)網(wǎng)域名系統(tǒng)中的9類安全保密風(fēng)險情況，下文并歸納了5種防護措施，希望可以幫助企事業(yè)單位做好風(fēng)險防范工作。

緩存投毒

緩存投毒主要針對的是遞歸解析服務(wù)器，攻擊者是利用遞歸解析服務(wù)器無法驗證DNS數(shù)據(jù)真實性的特點。將虛假的DNS查詢回復(fù)寫入遞歸解析服務(wù)器的高速緩存中，同時為延長緩存中毒的時間，攻擊者還會將回復(fù)TTL設(shè)得足夠大。這樣客戶端向遞歸解析服務(wù)器查詢有關(guān)域名信息時，會命中高速緩存的中毒信息，導(dǎo)致客戶端收到錯誤的IP地址，訪問到攻擊者控制的服務(wù)器，造成用戶數(shù)據(jù)泄露。

在內(nèi)網(wǎng)域名系統(tǒng)中，此種攻擊方式只適用于多級部署且DNS服務(wù)器開啟遞歸解析功能的情況。對于僅主、輔兩臺DNS服務(wù)器的單級部署方式，因為主、輔DNS服務(wù)器不需要向其他DNS服務(wù)器查詢，因此一般不會緩存中毒。

DNS ID欺騙

域名解析采用基于UDP協(xié)議的數(shù)據(jù)報文進行通信，且請求報文和響應(yīng)報文具有相同的數(shù)據(jù)結(jié)構(gòu)，如圖4所示。

其中報文頭部的ID是DNS查詢應(yīng)答的唯一標(biāo)識，通常是隨機生成的。當(dāng)客戶端發(fā)起DNS查詢時，攻擊者可以在DNS服務(wù)器應(yīng)答前偽造同樣ID的響應(yīng)報文對客戶端進行欺騙攻擊，其危害和緩存投毒一樣，都會使客戶端訪問到攻擊者控制的服務(wù)器，但其攻擊不如緩存中毒攻擊持久。DNS ID攻擊需要獲取客戶端DNS請求報文頭部的ID，采用窮舉法顯然效率不高，通過監(jiān)聽客戶端網(wǎng)絡(luò)數(shù)據(jù)包或者采取ARP欺騙的方式，更容易實現(xiàn)，特別是攻擊者和客戶端在同一個內(nèi)網(wǎng)、同一個網(wǎng)段的情況下。

普通DDoS攻擊

分布式拒絕攻擊（DDoS）是網(wǎng)絡(luò)中最常見的攻擊方式，不僅域名系統(tǒng)，網(wǎng)絡(luò)中所有服務(wù)器都深受其害。其具體攻擊方式有多種，針對域名系統(tǒng)的DDoS攻擊最基本方法就是利用大量正常的DNS查詢請求來占用DNS服務(wù)器的網(wǎng)絡(luò)帶寬、CPU、內(nèi)存等資源，使得其他合法的DNS查詢得不到響應(yīng)。

普通DDoS攻擊常常需要控制較多的傀儡主機完成飽和攻擊，如果查詢數(shù)量不足，不能覆蓋住DNS服務(wù)器的資源，就無法攻擊成功。由于內(nèi)網(wǎng)中本身客戶端數(shù)量就有限，再加上防護措施比較多，較難控制大量主機進行DDoS攻擊。另外，DDoS攻擊只會導(dǎo)致DNS服務(wù)器性能下降，延遲提高，但查詢結(jié)果還是正確的，因此在內(nèi)網(wǎng)中的安全保密風(fēng)險較低。

DNS 放大攻擊

通常的DNS響應(yīng)報文只有幾十個字節(jié)，但特定查詢的DNS響應(yīng)報文卻可以很長，例如ANY類型、TXT類型或者EDNS0的DNS響應(yīng)報文可以上千甚至幾千個字節(jié)；響應(yīng)報文的長度是通常請求報文的幾十倍。DNS放大攻擊就是利用了這一特性，向DNS服務(wù)器發(fā)送大量此類查詢請求，DNS服務(wù)器將回復(fù)幾十倍的應(yīng)答流量，資源被更快地消耗。

這種攻擊可以看作是普通DDoS攻擊的加強版，攻擊者可以用更少的查詢量、更快地攻癱DNS服務(wù)器。同普通DDoS攻擊一樣，由于內(nèi)網(wǎng)中可控制的主機數(shù)量有限，要成功完成此。

DNS反射攻擊和反射放大攻擊

DNS反射攻擊是利用DNS服務(wù)器的響應(yīng)報文攻擊客戶端或遞歸解析服務(wù)器的攻擊方式。攻擊者利用傀儡主機向多個DNS服務(wù)器（反射體）發(fā)起大量的DNS查詢請求，查詢請求的源IP地址偽造為受害客戶端或遞歸解析服務(wù)器的IP地址，這樣DNS服務(wù)器返回的響應(yīng)結(jié)果流量就會全部打到受害客戶端或遞歸解析服務(wù)器上，迅速消耗其資源，導(dǎo)致無法提供服務(wù)。

DNS反射攻擊通常結(jié)合DNS放大攻擊一起使用，即反射放大攻擊，發(fā)起大量偽造源IP地址的、會放大響應(yīng)報文的DNS查詢請求，以增強攻擊效果，這種方式往往比普通DDoS攻擊更有效。由于反射攻擊和反射放大攻擊都需要足夠多的反射體（即DNS服務(wù)器）來響應(yīng)查詢請求，而內(nèi)網(wǎng)中DNS服務(wù)器的規(guī)模數(shù)量要比互聯(lián)網(wǎng)中小得多，因此這兩類攻擊的在內(nèi)網(wǎng)中發(fā)生的概率較低。

DNS日志泄露

DNS服務(wù)器日志中含有客戶端請求域名解析的記錄，一般包括日期、時間戳、請求源IP地址和端口號、請求域名、解析記錄等信息。內(nèi)網(wǎng)域名系統(tǒng)中，請求源IP地址就是客戶端真實的IP地址，這樣，DNS日志記錄就提供了一個完整的存活主機列表。在內(nèi)網(wǎng)中，各種掃描工具會被嚴(yán)格限制，如果能夠訪問到DNS服務(wù)器日志，就代替掃描工具拿到了存活主機列表，完成了網(wǎng)絡(luò)滲透攻擊的第一步?；ヂ?lián)網(wǎng)域名系統(tǒng)中，在使用IPv4的情況下：

一是因為地址空間有限，客戶端訪問互聯(lián)網(wǎng)時，會進行網(wǎng)絡(luò)地址轉(zhuǎn)換。因此，遞歸解析服務(wù)器日志中的請求源IP地址并不是客戶端的真實地址（IPv6環(huán)境下，IP地址不再是緊缺資源，客戶端訪問互聯(lián)網(wǎng)不進行地址轉(zhuǎn)換，遞歸解析服務(wù)器上存儲的就是真實的客戶端IP地址）；

二是域名解析是由遞歸解析服務(wù)器代替客戶端向權(quán)威域名服務(wù)器查詢的，因此權(quán)威域名服務(wù)器上的DNS日志，請求源IP地址為遞歸解析服務(wù)器的IP地址，不是客戶端IP地址；

三是互聯(lián)網(wǎng)域名系統(tǒng)的DNS服務(wù)器中有海量的DNS日志，日志分析利用的難度比較大，因此安全保密隱患相對較低。DNS協(xié)議設(shè)計之初沒有過多考慮安全問題，為提高效率，幾乎所有DNS流量都是基于明文傳輸?shù)模瑳]有采取保護措施。因此通過鏈路監(jiān)聽的方式，也可以分析出請求源IP地址、查詢的域名等信息，甚至可以通過監(jiān)聽DNS響應(yīng)報文，獲取服務(wù)器的IP地址列表。

主/輔部署不當(dāng)

內(nèi)網(wǎng)域名系統(tǒng)通常以主/輔方式部署DNS服務(wù)器，當(dāng)其中某一臺服務(wù)器不能工作時，另一臺服務(wù)器仍然可以提供解析服務(wù)。然而實際部署中，主、輔DNS服務(wù)器常常位于同一網(wǎng)段、同一防火墻后、同一物理地點，不能有效防止區(qū)域性突發(fā)事件造成的服務(wù)中斷（例如網(wǎng)絡(luò)中斷、電力中斷、防火墻擁塞等），具有潛在的可用性問題。

在互聯(lián)網(wǎng)域名系統(tǒng)中，域名系統(tǒng)是關(guān)鍵基礎(chǔ)設(shè)施，無論是遞歸解析服務(wù)器，還是權(quán)威域名服務(wù)器，都部署了大量的輔服務(wù)器或鏡像服務(wù)器，此方面的安全隱患較低。

匿名區(qū)域文件傳輸

區(qū)域傳輸用于主、輔DNS服務(wù)器之間的數(shù)據(jù)更新和備份。例如，當(dāng)主DNS服務(wù)器上的權(quán)威記錄發(fā)生變化時，輔DNS服務(wù)器通過區(qū)域傳輸?shù)姆绞綇闹鱀NS服務(wù)器下載區(qū)域文件的完整副本，以保持?jǐn)?shù)據(jù)一致。在具體實現(xiàn)上，區(qū)域傳輸采用客戶端-服務(wù)器的形式進行，客戶端發(fā)送一個axfr（異步完整區(qū)域傳輸）類型的DNS查詢請求，通過TCP連接從服務(wù)器端獲取完整的區(qū)域文件。

區(qū)域文件為域名服務(wù)器的敏感數(shù)據(jù)，應(yīng)該嚴(yán)格保護，避免泄露，因此，異步完整區(qū)域傳輸應(yīng)當(dāng)僅允許在受信任的DNS服務(wù)器之間進行。但內(nèi)網(wǎng)中，由于和外部網(wǎng)絡(luò)隔離，此方面防范經(jīng)常疏忽，DNS服務(wù)器常配置不當(dāng)，任意匿名主機都可以利用異步完整區(qū)域傳輸獲取完整區(qū)域文件，暴露網(wǎng)絡(luò)中的信息，加快滲透攻擊進程。

匿名區(qū)域文件更新

主DNS服務(wù)器的區(qū)域文件更新可通過運維主機編輯服務(wù)器上的區(qū)域文件完成，運維主機通過update請求完成對區(qū)域文件的修改。這個操作也應(yīng)當(dāng)僅允許在受信任的主機和DNS服務(wù)器之間進行。但內(nèi)網(wǎng)中，有時為了便利操作，DNS服務(wù)器會開放配置，任意匿名主機都可以更新。這樣攻擊者可以通過構(gòu)造惡意的update請求對區(qū)域文件進行任意修改，將域名解析地址更改為攻擊者控制的IP地址，以便開展下一步竊密行為。

綜上，本文列舉了一些常見安全問題在內(nèi)網(wǎng)域名系統(tǒng)中的安全保密風(fēng)險情況。另外，還有一些老生常談的DNS服務(wù)器操作系統(tǒng)配置不完善、DNS軟件（Linux系統(tǒng)的BIND、Windows系統(tǒng)的DNS服務(wù)系統(tǒng)組件）配置不完善等風(fēng)險以及一些在內(nèi)網(wǎng)域名系統(tǒng)出現(xiàn)概率非常低的安全保密風(fēng)險，如相似域名欺騙、偽造DNS服務(wù)器、無效域名查詢攻擊等，就不再一一贅述。

---

內(nèi)容轉(zhuǎn)載自國家保密局，僅供學(xué)習(xí)分享，如有問題請直接咨詢或致電全國服務(wù)熱線：400-163-0608

關(guān)注我們，了解更多保密資格內(nèi)容。