白竞雄

摘 要 文章首先就DNS拒绝服务供给的概念与原理进行分析，而后进一步针对DNS服务器攻击防范措施展开了讨论，对于深入了解DNS的工作机制，提升其安全水平都有一定的积极意义。

关键词 DNS；拒绝服务；攻击；防范

中图分类号：TP3 文献标识码：A 文章编号：1671-7597（2014）08-0082-01

当前信息时代之下，各种网页访问的有效性和信息的可得性，是衡量网站健康状况的基本准绳，然而与信息化共同发展起来的，除了成熟的网络环境，相关的安全问题也愈加尖锐。在诸多安全问题中，关于DNS的拒绝服务，作为一个危机典范，受到越来越多的关注。

1 DNS拒绝服务供给的概念与原理

想要了解关于DNS安全攻击的原理，首先需要对DNS的工作原理有所了解。域名系统（DNS，Domain Name System）是当前互联网环境下关键的基础设施之一，其存在价值主要在于提供诸多网页的主机名称以及IP地址之间的映射，确保包括网页浏览以及电子邮件在内的诸多访问请求能够顺利展开。从工作原理角度看，DNS系统以一个分布式数据库系统的形式存在，当客户段需要解析某一个域名的IP地址的时候，需要先向DNS服务器发起查询请求，由DNS服务器先行搜索本地缓存，如果缓存中不存在相关记录，则进一步展开递归查询直到获取到相应记录，将获取到的映射信息依据优化算法进行存储并且对客户端的查询请求予以回应。

从供给的表现角度看，拒绝服务攻击（DoS，Denial of Service）的本质目的在于剥夺计算机或网络为合法用户提供正常服务的能力，攻击方通常通过网络向DNS服务段发起大量查询服务，耗费DNS服务器查询资源导致无法对正常的用户需求做出响应，也有可能篡改DNS本地缓存的数据导致其真实性出现误差，从而出现错误解析结果。从原理上看，可以将对于DNS的攻击划分为两种，包括欺骗式攻击和反弹式攻击。在欺骗式攻击中，攻击方采用缓冲区溢出或者特洛伊木马等攻击方式对DNS服务器的高速缓存实现入侵，并且诱导使其存储虚假信息，或者获得root权限改变服务器的转换表使不同的域名映射到被攻击的目标IP上。对于这种情况，当正常用户发出域名解析查询请求的时候，会得到错误的IP应答，从而使得用户的计算机访问跳转到错误的网址。而对于反弹式攻击而言，则是指攻击方发送源IP为被攻击目标IP的查询报文到大量开放的DNS服务器，DNS服务器把相应的应答报文发送到被攻击目标。被攻击目标所在的网络被大量的DNS应答报文淹没，导致带宽被完全消耗无法对外提供服务。

DNS作为整个网络正常秩序的一种索引，其存在的价值不言而喻，当DNS遭受攻击而失去其本身存在价值或者解析能力的时候，就会直接影响到人们对于网络的正常访问，并且基于这种索引本身的作用地位考虑，其影响面之大不容忽视。因此对于DNS服务器本身的安全工作水平提升，必须正视。

2 DNS服务器攻击防范措施分析

对于DNS的攻击，虽然明确隶属于安全攻击的范畴内，但是发起攻击的报文本身却呈现出合法特征，因此想要建立起类似于防火墙或者攻击嗅探等功能的软硬件系统，借以实现对于DNS服务器的保护，并不容易。但是经过对于DNS攻击行为特征的长期分析，仍然可以从如下几个方面加以提升DNS服务器本身的安全水平。

2.1 建立镜像服务器

此种方法的实现目标，在于在网络中实现对于DNS信息查询的负载均衡。在同一区域内，考虑配置主服务器和从服务器两个并行服务器，其中主服务器可以用于ROOTZONE文件的维护，而从服务器在工作过程中则定期从主服务器上读取数据以保持二者的同步。区域内部的多个自治系统，均可依据从服务器数据建立起相关的镜像服务器，这种方式可以帮助用户就近获取到DNS解析服务，一方面提升了整个DNS解析系统的响应效率，另一个方面，这种多级的状态可以对DNS主服务器实现保护，从安全角度看多了一个层级保护，有效降低了主服务器被直接攻击的可能性。

2.2 加强防火墙等保护系统建立

虽然防火墙对于DNS攻击防范的作用相对有限，但是仍然需要基于安全考虑加强各方面的建设，其中包括防火墙以及嗅探器等在内的手段都应当在这个过程中予以重视。防火墙以及嗅探器的工作重点在于针对网络数据流展开监听监测，当网络中的流量超过一定的阈值时检测系统会发出报警信息。这一方面的工作通常由网络入侵检测系统（NIDS，Network Intrusion Dete ction Systems）协助防火墙加以实现，并且在实际的工作过程中注意及时更新NIDS的相关安全策略判断规则。与此同时，在DNS服务器上仍然应当安装有完整防火墙，实现对于来往数据流的监听检测。但是对于此种防火墙的作用，其工作重点并不在于此，更为重要的工作应当是对单个IP地址每秒的域名解析请求次数，从而克服DNS应答无状态的缺陷。

2.3 加强DNS服务器的管理

DNS服务器本身也是网络上的一个节点，同样要面对黑客以及木马等攻击，如果遭受这些攻击，无异于为拒绝服务攻击敞开大门。基于这样的考虑，同样应当为DNS展开必要的维护，包括及时更新系统，修改默认端口，加强用户管理等，都应当包含在这个范围之内。在加强管理的过程中，应当重点关注对于数据档案的建立，这不仅仅是对于算法的优化，更应当是对于不同解析请求行为识别的优化。同时还应当加强交叉检验功能的建设，即当服务器能够通过反向查询得到IP所对应的主机名的时候，用该主机名查询DNS系统对应于该主机名的IP地址，在二者相一致的情况之下才做出相应的应答。

3 结论

DNS服务器的安全，直接关系到整个网络的安全，并且影响着用户需求能否有效得到满足，在某些情况下甚至会成为关系到国家利益和安全的重大问题。基于此种考虑，必须认真对待，不断分析现有不足，有的放矢地提出改进建议并且加以落实执行，才能够为加强DNS服务建设作出贡献。

参考文献

[1]李德全.拒绝服务攻击[M].北京：电子工业出版社，2007.

[2]贺龙涛，方滨兴，胡铭曾.主动监听中协议欺骗的研究[J].通信学报，2003（24）.

[3]张小妹，赵荣彩，单征，陈静.基于DNS的拒绝服务攻击研究与防范[J].计算机工程与设计，2008（01）.endprint