关于域名服务系统风险的调查报告
国际经济与贸易专业
李庆生
调查目的及意义:
我于2011年3至5月在上海琵西网络信息技术有限公司做毕业实习。我的实习的主要内容是联系国外的需要注册中国或亚洲境内域名的公司,申请作为其代理帮助他们注册包括.cn,.hk,.aisa在内的多种域名。主要工作就是联系国外公司的负责人,并洽谈相关的代理细节问题,并完成为其注册的相关步骤。 在实习过程中,结合自己的实习经历及域名服务行业的具体情况,做了一个关于域名服务行业普遍存在的风险的调查报告,最后在参考域名行业知识的前提下提出了相关的防范建议。
调查内容:
我国互联网络域名服务系统的相关风险。
调查方式:
在调查的过程中除了采用我国互联网络信息中心的一些统计数据及方法外,还通过具体的事件案例调查,一般分析与具体事例相结合,最后总结出我国互联网络信息域名服务系统存在的风险。
调查结果:
域名服务包含了权威域名服务和递归域名服务,服务的正确、安全和可靠运行对于整个互联网的发展和建设来说至关重要。分析发现,国内域名服务在配置管理和运行维护方面均存在不同程度的安全隐患,域名服务系统面临的风险如下:
风险一:信息更改或过期:各级域名解析系统通常与域名注册、WHOIS等系统协调工作,任一环节的漏洞都可能被黑客利用,篡改域名解析数据。权威域名解析服务的主服务器或辅服务器如因配置不当,也容易被攻击,造成权威解析服务故障。
风险二:DNS系统应用程序崩溃:域名解析服务系统所用软件极其重要,如因配置不当或升级延迟,软件存在的漏洞容易被黑客利用。近年来开源软件BIND被广泛使用,一旦该软件出现严重安全漏洞,互联网服务体系将面临灾难性崩溃。 风险三:域名劫持(Domain Name Hijacking):通过各种攻击手段控制了域名管理密码和域名管理邮箱,然后将该域名的NS纪录指向到黑客可以控制的DNS服务器,然后通过在该DNS服务器上添加相应域名纪录,从而使网民访问该域名时,进入了黑客所指向的内容。值得注意的是:域名被劫持后,不仅网站内容会被改变,甚至会导致域名所有权也旁落他人。如果是国内的CN域名被劫持,还可以通过和注册服务商或注册管理机构联系,较快地拿回控制权。如果是国际域名被劫持,而且又是通过国际注册商注册,那么其复杂的解决流程,再加上非本地化的服务,会使得夺回域名变得异常复杂。 风险四:中间人攻击(Man in the Middle Attack):中间人攻击,是攻击者冒充域名服务器的一种欺骗行为,它主要用于向主机提供错误DNS信息。中间人攻击大多数本质都是被动,其检测和防御十分困难。
风险五:NSEC游走:早期的DNSSec使用NSEC方案,会造成区文件被遍历、枚举,从而泄露所管理的域名解析数据,既是商业数据的泄露,也容易成为黑客攻击的靶子。
风险六:分布式拒绝服务攻击(DDoS Attack):DDoS攻击手段是在传统的DoS攻击基础之上产生的更有效的攻击方式。其攻击手段往往是攻击者组织大量的傀儡机同时向域名服务器发送大量查询报文,这些报文看似完全符合规则,但往往需要DNS服务器花费大量时间进行查询,从而使DNS瘫痪。2009年5月19日全国大面积断网事件起因即为DDoS攻击。
风险七:缓存窥探(Cache Snooping):DNS缓存窥探是一个确定某一个资源记录是否存在于一个特定的DNS缓存中的过程。通过这个过程攻击者可以得到一些信息,例如解析器处理了哪些域名查询。攻击者通常利用缓存窥探寻找可攻击对象。
风险八:缓存中毒(或DNS欺骗)(Cache Poisoning or DNS Spoofing):通过向DNS服务器注入非法网络域名地址实现缓存中毒攻击,对该类安全威胁的检测十分困难。利用该漏洞轻则可以让用户无法打开网页,重则是网络钓鱼和金融诈骗,给受害者造成巨大损失。由于软件实现技术水平参差不齐,端口、报文ID随机算法落后的域名服务器容易遭受缓存中毒攻击。
风险九:DNS放大、反射攻击:目前的DDoS攻击通常与“DNS放大攻击”和“DNS反射攻击”配合实施。在这两类攻击中,DNS服务器往往不受攻击目标,而是充当了无辜的被利用者的角色。这种攻击向互联网上的一系列无辜的第三方DNS服务器发送小的和欺骗性的询问信息。这些DNS服务器随后将向表面上是提出查询的那台服务器发回大量的回复,导致通讯流量的放大并且最终导致攻击目标瘫痪。提供递归域名解析服务的主体需要控制服务范围,尽可能的避免提供开放递归服务,并借助于流量分析监测等手段发现潜在的DDos攻。
防范建议:
一、确保域名解析服务的独立性,运行域名解析服务的服务器上不能同时开启其他端口的服务。权威域名解析服务和递归域名解析服务需要在不同的服务器上独立提供。
二、采用安全的操作系统平台和域名解析软件,并关注软件商发布的最新安全漏洞,定期升级软件系统。
三、选择安全性高、服务便捷的域名注册服务机构和域名注册管理机构;隐藏域名解析软件及操作系统等版本信息;限制域名区文件的传送权限;
四、使用入侵检测系统,尽可能的检测出中间人攻击行为;需对域名服务器边界网络设备的流量、数据包进行监控,监控方式可基于监听、SNMP、NetFlow等网管技术和协议;对域名服务协议是否正常进行监控,即利用对应的服务协议或采用相应的测试工具向服务端口发起模拟请求,分析服务器返回的结果,以判断当前服务是否正常以及内存数据是否变动。在条件允许的情况下,在不同网络内部部署多个探测点分布式监控;部署实施DNSSec;
五、采用NSEC3方案解决该问题;
六、提供域名服务的服务器数量应不低于2台,建议独立的名字服务器数量为5台。并且建议将服务器部署在不同的物理网络环境中;限制递归服务的服务范围;利用流量分析等工具检测出DDoS攻击行为,以便及时采取应急措施;在域名服务系统周围部署抗攻击设备,应对这类型的攻击;
七、限制递归服务的服务范围,仅允许特定网段的用户使用递归服务。
八、对重要域名的解析结果进行重点监测,一旦发现解析数据有变化能够及时给出告警提示;部署实施DNSSec;
九、利用流量分析等工具检测出攻击行为;在域名服务系统周围部署抗攻击设备,应对这类型的攻击;
此外,为了加强域名服务的安全可靠性,域名服务部署时,需要考虑单节点故障问题。所涉及的路由器、交换机等均需要有冗余备份能力,建立完善的数据备份机制和日志管理系统。应保留最新的3个月的全部解析日志。并且建议对重要的域名信息系统采取7×24的维护机制保障。应急响应到场时间不能迟于30分钟。
