今年的8月25日凌晨1点左右,以.CN为根域名的部分网站显示无法打开,中国互联网络信息中心25日上午发出通告称,国家域名解析节点受到DNS拒绝服务攻击;这次攻击事件使得DNS安全再次成为关注的焦点,
一、 DNS攻击大事记
盘点历年来的安全攻击事件,针对DNS的攻击因为其影响面大,尤其令人瞩目,典型的几起DNS安全攻击事件也相当有代表性。
? 暴风影音DNS DDOS攻击事件,针对DNS Pod主站及多个DNS服务器产生了10G以上流量的恶意攻击,导致暴风影音的域名解析服务无法提供,大量暴风语音用户持续不断的DNS请求将中国电信的DNS服务器冲垮,使得南方多省陆续出现大规模网络故障;
? 2010百度域名被劫持事件:这是百度自建立以来遭受到的持续时间最长、影响最严重的黑客攻击。网民访问百度时,会被重定向到一个位于荷兰的 IP 地址,百度旗下所有子域名都无法正常访问。网页中显示大幅的绿、白红色旗帜,网页中有波斯文字,并写有" IRANIAN CYBER ARMY (伊朗网军)"字样。
? 巴西银行大劫案:巴西最大的银行,2009年曾遭受DNS缓存病毒攻击,成为震惊全球的"银行劫持案"。受到影响的用户会被重定向至一个假冒的银行网站,该假冒网站试图窃取用户密码并安装恶意软件。
? 2013年5月6号,号称史上最大规模的DNS劫持攻击被监测到,数据显示我国至少有4%的全网用户受到感染,每天至少有800万用户处于DNS钓鱼攻击威胁中。
由此可见,DNS的安全风险已经影响到了每个互联网的用户。
二、 DNS域名解析的流程及协议缺陷
DNS域名解析是目前互联网最常见的服务之一,其解析过程及原理相对比较简单。
分析DNS解析过程,其在安全方面存在以下风险:
? DNS的解析过程缺乏认证机制
客户端和服务器之间采取C/S方式进行信息交互,但是该交互过程并没有提供认证机制;客户端DNS请求发起者在收到应答时无法确认应答信息的真假,这样也为DNS的欺骗攻击创造了条件;同样地每一台DNS服务器也无法知道请求域名服务的主机或其他的DNS服务器是否合法,是否盗用了地址。
? 缓存机制有被篡改的风险
由于DNS服务器实际上是保存着主机域名和IP地址的映射,当本地服务器在解析过程中收到域名和IP地址的对应关系时,会把该映射关系表存入到高速缓存中,为下一次的类似请求创造快速响应的条件;这种映射关系的缓存具备时间戳。由于正常映射的刷新时间都是有限的,因此一旦黑客在下次缓存更新之前通过修改高速缓存的方式更改了映射关系表,就会造成后续访问者的解析出现错误或被重定向到钓鱼网站。
? DNS服务器的管理软件本身也存在相应的安全漏洞,这也是DNS攻击产生的一个潜在原因。以目前比较流行的DNS服务器软件BIND为例,在2013年其陆续暴露出一些安全漏洞,如1月份的在BIND9的版本中,针对DNS64的响应策略区域缺少AAAA重写规则,远程攻击者通过AAAA记录查询,可造成DNS拒绝服务;
三、 DNS攻击的主要形式
根据对前期发生的DNS攻击事件进行分析总结,攻击类型大致有分为以下几种:
根据攻击目标的不同,DNS的DDOS攻击有两种发生形式,分别是针对DNS服务器的DNSquery Flooding攻击,和针对目标用户的DDOS攻击。
Flooding攻击的对象即为DNS域名服务器,攻击的目的就是使这些服务器瘫痪,无法对正常的用户查询请求做出响应。其攻击手段往往是攻击者组织大量的僵尸网络同时向域名服务器发送大量查询报文,这些报文看似完全符合规则,但往往需要DNS服务器花费大量时间进行查询,从而使DNS瘫痪,考虑到域名服务器对于网络应用的重要性,这种DDOS攻击的影响有时候是致命的,诸如前面提到的暴风影音,直接的导致了南方多省的互联网故障。
Flooding是针对具体的目标用户的DDOS攻击,黑客利用正常的DNS服务器递归查询过程形成对目标客户的DDOS攻击。假设攻击者已知被攻击机器的IP地址,然后攻击者使用该地址作为发送解析命令的源地址。这样当使用DNS服务器递归查询后,DNS服务器响应给最初用户,而这个用户正是被攻击者。那么如果攻击者控制了足够多的僵尸网络的"肉鸡",反复的进行如上操作,那么被攻击者就会受到来自于DNS服务器的响应信息DDOS攻击。
DNS欺骗是比较常见的一种攻击形式,在客户端发出DNS请求后,黑客通过各种技术手段假冒成DNS服务器并发送包含错误的IP地址的DNS响应报文,用户在获得该错误的地址后,其访问请求会指向假冒的非法网站,影响用户的正常访问。
一般情况下,如果DNS服务协议存在安全漏洞,那么攻击者可以通过技术手段欺骗下游的递归服务器,使得下游的递归服务器相信这个假冒的服务器是其的权威服务器,这样攻击者通过在假冒服务器上添加虚假的 DNS 信息来欺骗下游服务器,最终欺骗客户端。
另外一种 DNS的欺骗是借助其他欺骗达到DNS欺骗的目的。例如先在目标客户端或DNS服务器的同一局域网网段作ARP欺骗,使受攻击的计算机向ARP攻击的发起者作DNS查询,从而实现DNS欺骗的目地。当然这种攻击方式必须先攻破与目标主机同网段的另一台计算机,考虑到这些DNS服务器通常在ISP的严格控制之下,这种方式的难度较大。
如前面所述,当前的DNS服务器普遍都采用缓存机制来提升请求响应速度,减少服务器负载,在享受这些便利的同时,也给攻击者修改DNS缓存记录创造了条件。攻击者使用DNS请求,将数据放入一个具有漏洞的DNS服务器的缓存当中。这些缓存信息会在客户进行DNS访问时返回给用户,从而把用户客户对正常域名的访问引导到入侵者所设置挂马、钓鱼等页面上,或者通过伪造的邮件和其他的server服务获取用户口令信息,导致客户遭遇进一步的侵害。当然这种缓存中毒修改需要攻击者获取DNS服务器的管理权限,除了通过技术手段借助一些DNS服务器的漏洞入侵之外,基于助社会工程学等手段也很容易实现该类型攻击,攻击者可以通过多种方式窃取域名服务器的管理帐号密码,并且堂而皇之的登陆域名服务器并修改DNS记录。例如巴西银行DNS攻击事件。
DNS协议报文,采用的是UDP无状态连接的协议,为了能够识别来自不同服务器的回应,DNS协议利用端口号和一个TXID的识别符来区分不同的DNS用户源请求,考虑到现阶段的DNS协议经常固定使用53号端口,在这种情况下,只有16bit
的TXID就成了识别回应的唯一标识。攻击者只需设法让DNS缓存服务器相信自己伪造的来自权威DNS的回应是真实的,就可以进行攻击。入侵者如果通过监听客户端和DNS服务器的对话,可以猜测服务器响应给客户端的DNS查询ID,获取该ID信息后攻击者将伪造虚假的响应报文,在DNS服务器之前将虚假的响应交给用户,从而欺骗客户端去访问恶意的网站,或者重定向到事先预设好的钓鱼网站,趁机下载恶意代码到客户的计算机并攫取客户的个人信息。
当用户的计算机系统被病毒木马或恶意软件感染后,操作系统的HOSTS文件可能会感染,由于HOSTS文件是存储计算机网络节点信息的文件,其中也包含了部分主机域名和IP地址的对应关系。病毒可能在操作系统的HOSTS文件中添加了虚假的DNS解析记录。在这种情况下,当用户访问某个域名时,因为本地HOSTS文件的优先级高于DNS服务器,所以操作系统会先检测HOSTS文件,判断是否有这个地址映射关系,如果有则调用这个IP地址映射进行IP访问,如果没有才会向预设的DNS服务器提出域名解析;这种操作方式一方面可以借助HOSTS文件提升提高解析效率,但是在HOSTS被修改后也带来了安全隐患。为了避免本地劫持的发生,用户可以定期使用命令如ipconfig
/flushdns清理本机的DNS缓存,确保本地劫持不被发生。
四、 如何有效防范DNS的攻击
在DNS的长期维护运行过程中,从DNS服务器本身的安全属性出发,DNS的管理员本身也积累了很多的维护经验,典型的如使用非root权限运行诸如BIND软件、关闭DNS服务器上的不必要的服务、隐藏BIND等软件的版本信息避免黑客有针对性的漏洞攻击等,除此之外,从网络安全的角度,也可以从以下2个方面着手来提升DNS的安全。
1. 部署专业的DNS入侵防御设备
通过部署专业的安全设备,也可以有效的防止DNS攻击的发生,具体来说可以分为2个层次。
1) 通过网络设备保证DNS区域的安全
在网络设计过程中,可以采取多种手段尽可能保证内部网络的安全,避免DNS服务器遭受到外部攻击,这些具体的措施包括。
? 在DMZ区域划分DNS安全域,配置严格的访问控制策略。针对DNS服务器安全设定高优先级防护策略,通过防火墙来控制限制用户对DNS服务器的访问,对于DNS服务器的访问控制权限严格管理,避免有人窃取权限篡改DNS记录。
? 内部和外部的DNS服务器相分离。对于内部DNS服务器,严格禁止外部用户的主动访问,对外部DNS服务器,严格禁止内部IP地址的访问请求。这种模式也可以较好的隐藏内部关键服务器的相关信息,在外部DNS服务器遭受到攻击后,通过修改内外部服务的IP映射关系也可以较快的恢复业务提供。
? 在防火墙等设备上,配置访问速率限制,避免DDOS的冲击。如果防火墙探测到DNS的请求报文超过一定的速率则认为可能导致DDOS攻击,启动每秒连接数限制,避免CPU拥塞。
? 通过专业的DDOS流量清洗系统,主动学习DNS的流量基线并针对可疑流量进行深度安全检查。
2) 部署DNS攻击主动防御系统
如前所述DNS的攻击离不开对系统漏洞的利用,通过安全漏洞黑客可以登陆到DNS服务器并获取相应的管理权限,从而实现对诸如DNS缓存中毒等攻击。为此在DNS的服务器前端,有必要部署专业的入侵防御系统,针对DNS服务器本身存在的操作系统漏洞,DNS应用程序本身的安全漏洞,IPS设备都有相应的特征库代码。当设备串行部署在DNS服务器前端时,可以实时监测DNS的流量并进行攻击特征比对,从而实现对DNS服务器的安全防护。
2. 加快部署,解决DNS缺乏认证导致的安全风险
正是看到早期的DNS协议没有引入任何认证机制的局限性,IETF成立了DNSSEC工作组,目的是在现有的协议上增添附加的DNSSEC(DNS Security Extensions
)部分,其利用哈希算法计算报文摘要,从而实现数据完整性验证;同时利用公钥机制实现对数据源的认证。在实际的交互过程中,部署了DNSSec的权威域名服务器在应答查询请求时,首先使用哈希算法计算应答报文的摘要,再将此摘要用自己的私钥加密生成签名后存储到报文中;查询方收到应答报文,利用该服务器的公钥解密签名获得摘要,再将此摘要与从报文数据计算出的摘要进行对比来完成数据的完整性的验证。如果数据完整性验证成功,则也同时完成了对数据源(权威域名服务器)的身份认证,否则认识身份认证失败。通过DNSSec的部署,可以增强对DNS域名服务器的身份认证,进而帮助防止DNS缓存污染等攻击。当然,也应该看到,由于涉及中间网络安全设备需要支持并识别该协议报文,在现有网络的基础上升级部署该认证协议,显然还需要一个比较长的过程。同时
DNSSEC的部署也不是万能的,针对DNS服务器本身的安全漏洞导致的管理员权限被窃取、针对DNS服务器的DDOS异常流量攻击等安全风险仍然需要通过其他的的方案来解决。
DNS服务本身在互联网应用中的重要性、攻击产生后造成的严重社会影响力,使得其成为近年来的网络安全的主要攻击对象。针对DNS攻击防护措施,需要DNS服务商、中间网络安全厂商、DNS开源软件生态环境的共同努力完善。
