张俊祥

（首都经济贸易大学教育技术中心 北京 100070）

0 引言

2015年第二届国家网络安全宣传周即将启动，5月底就传出各种网络攻击事件。先是支付宝短暂断网，后澄清是“施工被断光纤”，接着“携程故障，24小时以上不能提供服务，具体故障原因不明”，然后传出黑客公开要攻击国家重点网络设备。网络形势表明，网络安全无论是对于普通用户，还是对于服务器管理员已经到了非常重要的程度。

DNS服务器作为网络核心服务之一，是网络攻击的首要目标，如何做好DNS服务器的管理是服务器管理员的主要目标。

1 DNS服务简介

1.1 DNS简介

DNS 是域名系统（Domain Name System）的缩写，是因特网的一项核心服务，它作为可以将域名和IP地址相互映射的一个分布式数据库，能够使人更方便的访问互联网，而不用去记住能够被机器直接读取的IP地址。通常 Internet 主机域名的一般结构为：主机名.三级域名.二级域名.顶级域名。Internet 的顶级域名由 Internet网络协会域名注册查询负责网络地址分配的委员会进行登记和管理，它还为 Internet的每一台主机分配唯一的 IP 地址。全世界现有三个大的网络信息中心：位于美国的 Inter-NIC，负责美国及其他地区；位于荷兰的 RIPE-NIC，负责欧洲地区；位于日本的APNIC，负责亚太地区。

用户通过访问域名，DNS服务器解析域名，返回用户 IP地址，完成整个服务。DNS服务器就是网络中提供地址解析服务的网络服务器。

1.2 近期攻击事件

2014年12月10日，爆发了今国内规模最大的针对运营商DNS网络的恶性DDoS攻击事件。攻击是从12月10日凌晨开始，现场网络监控到攻击流量突增的情况，多个省份不断出现网页访问缓慢，甚至无法打开等故障现象。经过分析样本发现，12月10日的攻击主要是针对多个域名的随机查询攻击，造成多省的 DNS递归服务器延迟增大，核心解析业务受到严重影响。

2014年1月21日发生全国大部分网站不能访问的情况，事后国家互联网应急中心发布通告宣称，此次事件是由网络攻击导致国内互联网用户访问国际域名解析服务时出现异常。

事实上，针对DNS的攻击就一直没有中断过。2009年国内断网，2010年baidu网络域名被劫持事件，2011年电信宽带断网事件等，网络攻击者针对DNS服务的攻击一直持续不断。笔者作为DNS服务器管理员在日常维护中经常遇到对DNS服务器的各种攻击。

2 DNS相关的攻击类型及原理

2.1 针对DNS服务器的DDoS攻击

分布式拒绝服务（DDoS：Distributed Denia1 of Service）攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。这类攻击就是向受害者DNS服务器发送大量的DNS解析请求包，由于DNS服务器每秒查询的次数有限，使得它忙不过来造成拒绝服务，从而发生故障。

简单说就是攻击者可以借助多个肉鸡同时向 DNS服务器发起请求，从而引起服务器解析故障，造成服务宕机。

2.2 DNS反射型攻击

大量主机伪造受害者 ip向网络上的大量开放式递归 DNS服务器发送DNS查询请求包。由于开放递归DNS服务器并不对请求包进行地址真实性验证，因此都会进行应答，这样受害者将同时接收到大量的DNS请求应答包，堵塞受害DNS服务器的网络，最终形成拒绝服务攻击。

这种攻击利用了递归查询的漏洞，攻击者伪造DNS服务器ip向递归查询DNS服务器发起查询请求，递归查询DNS服务器返回请求，当这种请求达到一个量级，就对正常DNS服务器形成了一种DDoS攻击。

2.3 针对用户的DNS劫持

dns劫持就是本来你想访问百度的网站www.baidu.com，结果输入域名后返回给你的是搜狐的服务器ip，那么自然显示在浏览器中的也就是搜狐的页面。那么这是怎么发生的呢？

首先的原因是 DNS服务器地址被劫持。用户的网络中的DNS服务器地址被修改为恶意的DNS服务器。当你访问网络时，你访问的任何域名都被解析成其他的地址。

但是这种情况一般是不会发生的，因为恶意人员登录不了的路由器修改不了 DNS服务器地址，就更修改不了你本机的DNS设置。不过当几个小的漏洞结合在一起的时候就成为了大的漏洞。比如之前出现过的路由器劫持事件。

还有一种情况是用户的hosts文件被修改。根据解析流程来看，如果要解析www.qq.com的ip，系统会首先访问hosts文件，看看有没有相关的绑定。如果有直接返回绑定ip，如果没有访问DNS服务器进行解析。如果hosts文件被修改，那么用户访问绑定域名就会访问绑定ip。

还有一种劫持就是直接劫持域名服务器根服务器，这种情况比较少见，但也有出现的例子。

2.4 侵入DNS服务器修改记录。

针对网络服务提供商的DNS地址，进行暴力入侵DNS服务器，获取管理员权限，直接进行域名记录修改。这种方式比较困难，但也是存在着可能。

2.5 缓存区中毒攻击

恶意人员向受害DNS服务器发送域名的解析请求，然后抢在权威服务器应答前伪造应答包发送给受害服务器。这样错误的解析记录就保存到了缓存中，那么接下来缓存时间内所有该域名的解析就都是错误了。这种攻击伪造的是回答资源记录，攻击时间很短，效率低。

3 DNS服务器安全管理与防范

DNS服务是网络基础服务，由于网络的自适应性，DNS采用的面向非连接的UDP协议，但UDP协议又是不安全的，而域名的树形结构是为了便于查询服务，这都使得单点故障明显，网络安全威胁加剧。要提高DNS服务器安全，有以下几种思路：

3.1 把DNS服务器放在网络内部区域

在网络设计过程中，把DNS服务器放在安全区域。访问互联网时，先有防火墙进行安全保护，现在防火墙产品可以有效抵御大多数网络攻击。

3.2 提高DNS服务器的安全配置和硬件等级

DNS服务器内部的安全防护策略有很多，应针对DNS服务器安全设定高优先级防护策略。首先要对服务器进行专一化服务，去掉各种不需要的网络服务，DNS服务器的防火墙也要打开，只开放管理端口和53端口，使用非root权限、隐藏DNS服务器软件的版本信息，降低针对漏洞进行的DNS攻击。设置单一ip管理，也就是只有固定的ip才能进入修改记录和管理。提高硬件等级，可以提高服务器响应处理能力，面对DDoS攻击时能提高处理能力。

3.3 根据需要分ip进行递归查询

一般把DNS服务器的查询ip进行区分，可信任的ip可以进行递归解析，不信任的或不属于区域的ip地址一律不给于递归查询，只能进行权威查询。这样可以防止恶意递归查询攻击。

3.4 加强DDoS攻击的防护

目前的域名服务器有自己搭建的bind系统，也有购买的智能DNS系统。目前已经有了针对DDoS攻击的防护产品，必须增加DNS服务器的DDoS防护模块，加强DNS服务器的DDoS攻击防护是服务器管理员的重要工作。

3.5 要做好DNS服务器系统的定期升级服务

这里有操作系统的升级和DNS应用系统的升级。服务器应不仅使用最新版本的 DNS 服务器软件，随时更新版本，及时下载并安装相应的补丁程序，预防攻击者利用软件漏洞进行攻击，也要经常操作系统升级，防止攻击者利用操作系统漏洞攻入服务器。

DNS服务器安全直接关系到整个网络的安全，我们只有实施具体的安全措施，才能有效杜绝网络安全攻击。保证DNS服务器正常运行，是保证网络服务的重要保障。

[1]毛乐琦.DNS安全与防护[J].电脑知识与技术.2014.

[2]徐斌.DNS安全分析与防范[J].网络安全技术与应用.2014.

[3]孙巍等.分布式 DNS 反射 DDoS 攻击原理与防范[J].通信管理与技术.2014.

[4]白竞雄.DNS拒绝服务攻击以及防范措施分析[J].硅谷.2014.

[5]夏宏利.让DNS服务器远离疯狂的DDoS攻击[J].计算机与网络.2014.