校园网的DNS安全问题
2013-08-21邹福泰
文/邹福泰
校园网内有4000多台开放的DNS递归解析服务器,占全部服务器的65.2%。
DNS安全问题已引起了广泛的关注。为此,我们利用自行开发设计的DNS安全检测软件,对中国教育和科研计算机网的IP地址范围进行了DNS服务探测,并对响应DNS请求的主机进行服务器安全检测。下面,我们给出我们的部分检测结果以及被攻击利用的危险。
对教育网IP地址范围扫描总共发现7235个主机提供DNS服务。
接下来,我们向7235个被测的DNS服务器发送递归查询请求,结果如表1。4720台服务器开放递归域名解析,占全部服务器的65.2%。其中,435台的回答中AA(Authoritative Answer)标志位置位,这些服务器并非测试使用域名的授权服务器,其回答含有AA可能因为软件实现错误,这类服务器大多采用Windows Server 2003的DNS服务。
在关闭递归的服务器中,775台DNS服务器的回答为NXDOMAIN。对这些服务器进一步的分析发现,其691台“version.bind”字符串为“Array SmartDNS”,IP地址也大多在连续的范围内,这些服务器对所有A记录查询返回NXDOMAIN,而对所有的NS记录查询返回REFUSED。这些地址可能采用了Array Networks公司的Global Server Load Balancing设备。
在EDNS0的支持上,被测服务器中仅24.7%支持EDNS0(表2)。对于不支持EDNS0的服务器,81.7%响应了查询,18.0%没有响应,0.3%返回格式错误的回答报文。支持EDNS0的服务器中,公布的UDP载荷尺寸有4096字节(57.4%)、1280字节(38.8%)、4000字节(3.4%)和512字节(0.3%)四类。对于TCP的支持,能够通过TCP查询的DNS服务器仅有36.5%(表3),其余服务器中90.8%的TCP/53端口关闭,2.2%建立TCP连接并发送请求后无响应,7.0%提供格式错误的回答。
对服务器信息的5种查询,检测结果如表4。4361台服务器对版本号查询(“version.bind”或“version.server”)给予回答,占全部主机的60.3%。
对DNS服务器进行端口扫描,结果显示56%的DNS服务器上开放了除53以外的其他端口。最常见的开放端口统计如表5。DNS服务器开放不必要的端口允许攻击者通过其他存在漏洞的服务入侵,从而影响DNS的安全性。
表2 EDNS0测试结果
表3 TCP测试结果
表4 服务器信息查询检测结果
然后,我们针对检测到开放递归解析的服务器,进一步对其递归解析功能进行检测。
各种查询类型的测试结果总结为表6。对于A记录的递归查询,79.6%的服务器给予了正确的回答,其中12台服务器返回的IP地址与正确值不符。这12台服务器对任何域名的查询均返回服务器自身的IP地址,且TTL为0,通过Web浏览器访问该服务器,显示为Aruba Networks设备的登录界面(图1)。
支持AAAA和MX记录查询的服务器数量相近,均为73%左右。支持TXT记录查询的服务器为69.8%,而递归服务器对SRV记录的支持较差,仅53.1%的服务器正确响应SRV记录查询,有22.5%的服务器在SRV类型查询的响应中没有回答数据(NODATA)。
在完成上述5种类型查询后,立即发送ANY类型的查询,83.9%的服务器响应了ANY查询并提供了回答资源记录。而对域名中含有二进制数据的查询(BinQN),70.4%的服务器能够正常地进行递归解析。
表5 端口探测结果(Top 10)
表6 递归查询测试结果
图2 DNSSEC验证测试结果
图3 端口和TXID随机性测试结果
检测发现,响应递归查询的服务器中,23.3%提供授权段的资源记录,6.3%的回答中含附加段资源记录。在NXDOMAIN劫持的测试中,总共检测到257台服务器存在NXDOMAIN劫持的行为,即查询不存在的域名时仍返回A记录,占所有递归服务器的5.4%。对这些服务器重定向的目标进行统计,总共采集到48个目标IP地址,其中大部分指向中国联通(16个)和电信114搜索(5个)等导航网站,其余部分指向一个登录页面。由于被检测的服务器位于教育网,因此,这些服务器可能配置成Forwarder,将客户端请求转发给联通和电信的DNS服务器解析。
对递归服务器是否启用DNSSEC验证的测试结果如图2。被测的4720台递归服务器中,仅3台服务器启用了DNSSEC验证。62%的递归服务器不支持EDNS0,而EDNS0是启用DNSSEC的前提。
对递归服务器的端口随机性和TXID随机性检测结果如图3。由于TXID安全性的研究较早,因此几乎所有被测的DNS服务器都实现了较好的TXID随机算法,仅45台服务器的TXID随机性不佳,占开放递归的服务器的1%。BIND等软件从2008年起才实施源端口随机化,并且还受到NAT等网络环境的限制,因此,在开放递归的DNS服务器中,有12%至今仍未采用随机的源端口。
检测显示,安全问题较为严重。这些安全隐患可为攻击者利用,如DNS放大攻击,并造成较严重的危害。因此,应当加强DNS安全配置,以减小安全风险。
