赵逸琼

[摘要]DNs安全技术问题值得深入研究，从DNS体系结构自身存在的安全问题，BIND软件的漏洞，到DNS服务器存在的攻击等安全问题的分析}}l发，发]~DNS系统的主要受攻击手段，总结出DNS系统的薄弱环节以及如何保护这些弱点。

[关键词]DNs安全DNS服务器攻击软件漏洞

中图分类号：TP3文献标识码：A文章编号：'671—7597(2009)1020084--01

由于DNS系统是作为一个开放系统设计的，存在未授权信息的泄漏，网络攻击等安全问题，使得其保密性无法保证，同时缺乏有效的接入控制。网络黑客针对这一安全漏洞，通过攻击DNS，从而造成整个或部分网络的瘫痪。本文将从各方面来分析DNS系统自身存在的安全漏洞以及DNS服务器存在的安全攻击。

一、DNS结构的单点故障

DNS采用层次化的树状结构，由树叶走向树根就可以形成一个全资格域名(FQDN)，每个个FODN都是唯一的。在树中，给出主机名由根到计卜的查询，可找到属于这台主机的IP地址。对于反向映射也有类似的树存在，在树中查询IP地址可找到对应这个IP地址的主机名或者FQDN。DNS网络拓扑结构如图1所示。DNS服务器s2为网络结点A，B，c，D，E提供域名解析服务-由于大部分的网络应用通过域名访问Internet，所以如果s2不能正常工作，则其所辖的所有节点都无法通过域名连接到网络，s2成为该子网的瓶颈，存在单点故障风险的问题。

二、DNS软件漏洞

BIND(Berkeley Internet Name Domain)是我们所熟知的域名软件，具有广泛的使用基础，Internet上的绝大多数DNS服务器都是基于这个软件的。BIND提供高效服务的同时也存在着众多的安全性漏洞。Cert2002年度报告中指出，DNS-BIND的安全漏洞成为当年最具威胁的漏洞。

构成严重威胁的漏洞主要有两种。一种是缓冲区溢出漏洞，严重的可以使攻击者在DNS服务器上执行任意指令，如BIND SIG Cached RR DoS在BIND4和BIND8中存在一个远程缓冲溢出缺陷，该缺陷使得攻击者可以在DNS服务器上运行任意指令。另一种是拒绝服务(DOS)漏洞，受攻击后DNS服务器不能提供正常服务，使得其所辖的子网无法正常工作，如BINDOPT DoS递归方式的BIND8服务程序会在assertion失败时突然中断服务。DNS拒绝服务漏洞的另一个例子是BIND SIG Expire Time DoS递归方式的BIND8服务程序会因为使用一个无效空指针而突然中断服务。

三、DNS服务器存在的攻击

(一)域名劫持

域名劫持通常是指通过采用黑客手段控制了域名管理密码和域名管理邮箱，然后将该域名的NS纪录指向到黑客可以控制的DNS服务器，然后通过在该DNS服务器上添加相应域名纪录，从而使网民访问该域名时，进入了黑客所指向的内容。值得注意的是：域名被劫持后，不仅网站内容会被改变，甚至可以导致域名所有权也旁落他人。如果是国内的cN域名被劫持，还可以通过和注册服务商或注册管理机构联系，较快地拿回控制权。如果是国际域名被劫持，恰巧又是通过国际注册商注册，那么其复杂的解决流程，再加上非本地化的服务，会使得夺回域名变得异常复杂。

(二)域名欺骗(缓存投毒)

域名欺骗的方式有多种多样，但其攻击现象就是利用控制DNS缓存服务器，把原本准备访问某网站的用户在不知不觉中带到黑客指向的其他网站上，其实现方式可以通过利用网民ISP端的DNS缓存服务器的漏洞进行攻击或控制，从而改变该ISP内的用户访问域名的响应结果。或者黑客通过利用用户权威域名服务器上的漏洞，如当用户权威域名服务器同时可以被当作缓存服务器使用，黑客可以实现缓存投毒，将错误的域名纪录存入缓存中。从而使所有使用该缓存服务器的用户得到错误的DNS解析结果。

(三)DOOS(分布式拒绝服务)攻击

针对DNS服务器的拒绝服务攻击有两种，一种攻击针对DNS服务器软件本身，通常利用BIND软件程序中的漏洞，导致DNS服务器崩溃或拒绝服务；另一种攻击的目标不是DNS服务器，而是利用DNS服务器作为中间的“攻击放大器”，去攻击其它互联网上的主机，导致被攻击主机拒绝服务，这种攻击的原理为：黑客向多个DNS服务器发送大量的查询请求，这些查询请求数据包中的源IP地址为被攻击主机的IP地址，DNS服务器将大量的查询结果发送给被攻击主机，使被攻击主机所在的网络拥塞或不再对外提供服务。这种服务会导致域名的正常访问无法进行。即该域名下的ww服务和邮件服务都将无法正常进行。

四、DNS扩展应用面临的威胁

DNS所面临的诸多攻击，不仅给基本的域名解析服务带来风险，同时也使众多基于DNS的应用面临威胁。

DNS负载均衡，即把DNS服务器作为网络负载分配的关键设备，利用DNSround-robin算法把对该服务器集群域的服务请求，轮流解析到不同的IP地址，以分配到服务器集群中的不同的服务器上。当DNS自身面临DDoS(distributed deny 0f servl‘ce，分布式拒绝服务)攻击的威胁，其也就无法实现负载均衡的作用。

基于DNS的ENUM(RFC2916一E，164 number and DNS)技术伴随着三网合一的发展趋势和VolP应用的普及，日趋重要。ENUM信息中包含更多的用户信息，对授权访问的需求更加突出，DNS所面临的缓冲区中毒和区域信息泄漏问题，都给基于DNS的ENUW技术的发展带来威胁。

五、结语

本文从DNS体系结构自身存在的安全问题，BIND软件的漏洞，到DNS服务器存在的攻击等安全问题的分析出发，发现DNS系统的主要受攻击手段，总结出DNS系统的薄弱环节以及如何保护这些弱点：对于DNS系统，需要保护数据包的完整性和数据源的合法性。