1. 您現在的位置:首頁
  2. 資訊中心
  3. 行業新聞
  4. 內網域名系統的安全保密風險研究-來源:國家保密科技測評中心

內網域名系統的安全保密風險研究-來源:國家保密科技測評中心

在機關、單位內網中,域名系統的安全問題往往會被忽視,因此逐漸成為木桶效應的短板。本文介紹了域名系統的原理,比較了內網域名系統和互聯網域名系統的差異,分析了內網域名系統面臨的主要安全保密風險,并提出改進建議。

1 引言

隨著信息化的不斷深入,機關、單位內網業務不斷拓展,應用不斷增多,為提高用戶使用體驗,越來越多的單位在內網中部署域名系統。

域名系統(Domain Name System,DNS)主要負責提供域名地址空間映射服務,將易于人類記憶的域名翻譯為易于機器識別的IP地址。域名系統就像電話號碼本,號碼本上的聯系人是域名,而聯系方式就是IP地址。所有的上網行為,除非直接通過IP地址訪問,瀏覽器第一步做的都是通過查詢域名服務器將域名轉換為IP地址,IP地址錯了,后面的報文生成、TCP連接、網絡包路由等都沒有意義。在互聯網中,域名系統是最重要的基礎設施之一,確保其安全可靠是保障網絡正常運行的關鍵點;但在內網中,由于更多的關注應用系統、安全保密設備、網絡設備、終端設備等的安全,域名系統的安全性往往會被忽視,因此漸漸成為木桶效應的那塊短板。

本文比較了內網域名系統和互聯網域名系統的不同,分析了內網域名系統面臨的主要安全保密風險,并提出了一些相應的安全保密措施。

2 域名系統

域名系統能實現域名與IP地址的快速映射與轉換,為了保證網絡中域名的唯一性,域名系統采用特殊的樹狀結構以實現域名層次的劃分,每一個樹形節點都有不同的子節點,每一個域名都是從當前節點讀到根節點路徑上所有節點標記的點分順序連接的字符串,如圖1對應的域名為“www.xxxxxx.org.cn.”。其中,最后的“.”(通常省略)為根域名,“.cn”為頂級域名,“.org”為二級域名,“.xxxxxx”為三級域名,“www”為主機名。上級域名服務器中維護著其名下所有次級域名的信息,如根域名服務器中維護所有頂級域名的域名和地址信息。

將域名解析為IP地址(域名解析)的過程是從根節點開始的,比如要查詢“www.xxxxxx.org.cn”這個域名的IP地址,首先向根域名服務器查詢“.cn”的地址,然后再向“.cn”頂級域名服務器查詢“.org”的地址,之后繼續向“.org”二級域名服務器查詢“.xxxxxx”的地址,最后向“.xxxxxx”三級域名服務器查詢“www”主機的IP地址,這個查詢的過程,稱為迭代查詢,而這些存儲著原始域名記錄信息的域名服務器又稱為權威域名服務器。

實際解析過程中,客戶端并不直接向權威域名服務器查詢域名,而是向部署在本地的域名服務器提交遞歸查詢請求,由本地域名服務器代為完成上述查詢過程,域名解析過程如圖2所示。本地域名服務器又稱遞歸解析服務器,一般由網絡運營商部署、管理,其IP地址配置在客戶端的DNS地址中。同時,為提高查詢效率,遞歸解析服務器均開啟緩存功能,將最近的查詢結果存儲在本地高速緩存中,收到查詢請求后,先檢查數據是否在高速緩存中,若是,則直接返回查詢結果;若否,再繼續原查詢過程。存儲在高速緩存中的數據,為了確保不是過時的數據,其生命周期受TTL(Time To Live)值控制,超過TTL的緩存數據,會被清理掉。

3 內網域名系統與互聯網域名系統的區別

內網域名系統與互聯網域名系統的主要區別包括部署規模不同、解析過程不同、可控程度不同、日志量不同等。

3.1 部署規模不同

互聯網域名系統經過幾十年的發展,已經從一個簡單的查詢系統,逐步發展成為一個復雜的生態系統。目前,全球已有超過1000萬臺DNS服務器,從本質上看,互聯網域名系統是規模龐大的全球分布式數據庫系統。

相對而言,內網域名系統則比較簡單,無須解析海量的互聯網域名,只需解析有限的內部域名。若是局域網,一般僅需部署主、輔2臺DNS服務器。2臺DNS服務器均是內網的權威域名服務器,以絕對的權威回答內網管轄域的任何查詢。主DNS服務器的域信息存儲在管理員構造的本地磁盤文件(區域文件)中,該文件包含著該DNS服務器具有管理權的域結構的最精確信息。輔DNS服務器用于為主服務器分擔負載,其從主DNS服務器下載和更新區域文件。因為不需要本地DNS服務器作為遞歸解析服務器再向其他DNS服務器查詢,因此內網域名系統一般把本地DNS服務器就設置為根服務器。內網若是規模特別大的廣域網,也可以分級部署,在中心節點部署根域名服務器。

3.2 解析過程不同

互聯網域名系統中,由廣泛部署于互聯網中的遞歸解析服務器為客戶端提供查詢服務,遞歸解析服務器從根域名開始,逐級查詢,直至查詢到目標域名。

內網域名系統的解析過程不需要那么復雜,客戶端直接向主/輔DNS服務器發送查詢請求,無論域名是否存在,都由主/輔DNS服務器直接返回權威解析數據,不需要再向其他DNS服務器進行查詢,如圖3所示(內網規模特別大,域名系統分級部署的除外)。同樣,主/輔DNS服務器一般也會開啟DNS緩存功能,域名已被緩存的,直接將緩存中的數據返回查詢客戶端。

3.3 可控程度不同

互聯網域名系統采用中心化管理模式,一直由美國主導。其中最高一級的根域名服務器分布嚴重失衡,共有13個根域名服務器:1個主根域名服務器、9個輔根域名服務器放置在美國,2個輔根域名服務器分別放置在歐洲的英國和瑞典,1個輔根域名服務器放置在亞洲的日本。輔根域名服務器中的根區域文件需與主根域名服務器保持一致。第二級的頂級域名,包括“國家和地區頂級域名”“通用頂級域名”“新增通用頂級域名”等,除“國家和地區頂級域名”由各國網絡信息中心負責管理外,其余的均由位于美國的國際互聯網絡名稱及編號分配公司(Internet Corporation for [**]ssigned Names and Numbers,IC[**]NN)管理。雖然自2016年以來,美國政府形式上完全移交了管理權,不再承擔相關審核和監督職責,但美國在專家、技術和產業上依然具有優勢,IC[**]NN等也將繼續接受美國法律管轄,這種一家獨大的中心化管理模式給整個互聯網域名系統的穩定運行帶來潛在隱患。

在互聯網域名體系中,雖然“.cn”“.中國”等國家頂級域名由中國互聯網信息中心(CNNIC)管理,但頂級域名在很大程度上還要受制于根域名,可控性仍比較差。與互聯網域名系統的管理體制不同,內網域名系統的建設、管理均掌握在內網建設使用單位手中,無論是單級管理,還是兩級甚至多級管理,各級域名服務器均在內網可控單位的管理之下,可控程度很高。

3.4 日志量不同

互聯網域名系統在域名解析過程中會產生海量日志,因為用戶主動發起的DNS查詢,會連帶產生大量的被動DNS查詢。如當使用瀏覽器進入某個域名的網頁時,后臺可能會產生大量附加處理操作,會請求不同域名下的圖片、視頻、腳本等資源,而每次資源請求都會產生一次DNS查詢。大量的查詢導致產生海量日志。在某運營商的網絡中,每天可以產生幾十TB級的DNS日志。

內網域名系統的日志量要小得多,一方面內網的客戶端數量規模有限,查詢的主體要少得多;另一方面,內網中域名的數量有限,一般僅部署幾個至幾十個用于內部辦公、業務工作的Web應用、網站等。同時,頁面內容也遠沒有互聯網豐富,被動查詢較少。一般內網域名系統每天產生的日志量在MB級。

4 內網域名系統的安全保密風險

內網域名系統的不同特點決定了其安全問題也與互聯網域名系統不同,下面分析了一些常見安全問題在內網域名系統中的安全保密風險情況。

4.1 緩存投毒

緩存投毒主要針對的是遞歸解析服務器,攻擊者是利用遞歸解析服務器無法驗證DNS數據真實性的特點,將虛假的DNS查詢回復寫入遞歸解析服務器的高速緩存中,同時為延長緩存中毒的時間,攻擊者還會將回復TTL設得足夠大,這樣客戶端向遞歸解析服務器查詢有關域名信息時,會命中高速緩存的中毒信息,導致客戶端收到錯誤的IP地址,訪問到攻擊者控制的服務器,造成用戶數據泄露。在內網域名系統中,此種攻擊方式只適用于多級部署且DNS服務器開啟遞歸解析功能的情況,對于僅主、輔兩臺DNS服務器的單級部署方式,因為主、輔DNS服務器不需要向其他DNS服務器查詢,因此一般不會緩存中毒。

4.2 DNS ID欺騙

域名解析采用基于UDP協議的數據報文進行通信,且請求報文和響應報文具有相同的數據結構,如圖4所示。其中報文頭部的ID是DNS查詢應答的唯一標識,通常是隨機生成的。當客戶端發起DNS查詢時,攻擊者可以在DNS服務器應答前偽造同樣ID的響應報文對客戶端進行欺騙攻擊,其危害和緩存投毒一樣,都會使客戶端訪問到攻擊者控制的服務器,但其攻擊不如緩存中毒攻擊持久。

DNS ID攻擊需要獲取客戶端DNS請求報文頭部的ID,采用窮舉法顯然效率不高,通過監聽客戶端網絡數據包或者采取[**]RP欺騙的方式,更容易實現,特別是攻擊者和客戶端在同一個內網、同一個網段的情況下。

4.3 普通DDoS攻擊

分布式拒絕攻擊(DDoS)是網絡中最常見的攻擊方式,不僅域名系統,網絡中所有服務器都深受其害。其具體攻擊方式有多種,針對域名系統的DDoS攻擊最基本方法就是利用大量正常的DNS查詢請求來占用DNS服務器的網絡帶寬、CPU、內存等資源,使得其他合法的DNS查詢得不到響應。普通DDoS攻擊常常需要控制較多的傀儡主機完成飽和攻擊,如果查詢數量不足,不能覆蓋住DNS服務器的資源,就無法攻擊成功。由于內網中本身客戶端數量就有限,再加上防護措施比較多,較難控制大量主機進行DDoS攻擊。另外,DDoS攻擊只會導致DNS服務器性能下降,延遲提高,但查詢結果還是正確的,因此在內網中的安全保密風險較低。

4.4 DNS 放大攻擊

通常的DNS響應報文只有幾十個字節,但特定查詢的DNS響應報文卻可以很長,例如[**]NY類型、TXT類型或者EDNS0的DNS響應報文可以上千甚至幾千個字節,響應報文的長度是通常請求報文的幾十倍。DNS放大攻擊就是利用了這一特性,向DNS服務器發送大量此類查詢請求,DNS服務器將回復幾十倍的應答流量,資源被更快地消耗。這種攻擊可以看作是普通DDoS攻擊的加強版,攻擊者可以用更少的查詢量、更快地攻癱DNS服務器。同普通DDoS攻擊一樣,由于內網中可控制的主機數量有限,要成功完成此類攻擊,有一定的難度。

4.5 DNS反射攻擊和反射放大攻擊

DNS反射攻擊是利用DNS服務器的響應報文攻擊客戶端或遞歸解析服務器的攻擊方式。攻擊者利用傀儡主機向多個DNS服務器(反射體)發起大量的DNS查詢請求,查詢請求的源IP地址偽造為受害客戶端或遞歸解析服務器的IP地址,這樣DNS服務器返回的響應結果流量就會全部打到受害客戶端或遞歸解析服務器上,迅速消耗其資源,導致無法提供服務。

DNS反射攻擊通常結合DNS放大攻擊一起使用,即反射放大攻擊,發起大量偽造源IP地址的、會放大響應報文的DNS查詢請求,以增強攻擊效果,這種方式往往比普通DDoS攻擊更有效。

由于反射攻擊和反射放大攻擊都需要足夠多的反射體(即DNS服務器)來響應查詢請求,而內網中DNS服務器的規模數量要比互聯網中小得多,因此這兩類攻擊的在內網中發生的概率較低。

4.6 DNS日志泄露

DNS服務器日志中含有客戶端請求域名解析的記錄,一般包括日期、時間戳、請求源IP地址和端口號、請求域名、解析記錄等信息。內網域名系統中,請求源IP地址就是客戶端真實的IP地址,這樣,DNS日志記錄就提供了一個完整的存活主機列表。在內網中,各種掃描工具會被嚴格限制,如果能夠訪問到DNS服務器日志,就代替掃描工具拿到了存活主機列表,完成了網絡滲透攻擊的第一步。

互聯網域名系統中,在使用IPv4的情況下,一是因為地址空間有限,客戶端訪問互聯網時,會進行網絡地址轉換,因此遞歸解析服務器日志中的請求源IP地址并不是客戶端的真實地址(IPv6環境下,IP地址不再是緊缺資源,客戶端訪問互聯網不進行地址轉換,遞歸解析服務器上存儲的就是真實的客戶端IP地址);二是域名解析是由遞歸解析服務器代替客戶端向權威域名服務器查詢的,因此權威域名服務器上的DNS日志,請求源IP地址為遞歸解析服務器的IP地址,不是客戶端IP地址;三是互聯網域名系統的DNS服務器中有海量的DNS日志,日志分析利用的難度比較大,因此安全保密隱患相對較低。

DNS協議設計之初沒有過多考慮安全問題,為提高效率,幾乎所有DNS流量都是基于明文傳輸的,沒有采取保護措施。因此通過鏈路監聽的方式,也可以分析出請求源IP地址、查詢的域名等信息,甚至可以通過監聽DNS響應報文,獲取服務器的IP地址列表。

4.7 主/輔部署不當

內網域名系統通常以主/輔方式部署DNS服務器,當其中某一臺服務器不能工作時,另一臺服務器仍然可以提供解析服務。然而實際部署中,主、輔DNS服務器常常位于同一網段、同一防火墻后、同一物理地點,不能有效防止區域性突發事件造成的服務中斷(例如網絡中斷、電力中斷、防火墻擁塞等),具有潛在的可用性問題。在互聯網域名系統中,域名系統是關鍵基礎設施,無論是遞歸解析服務器,還是權威域名服務器,都部署了大量的輔服務器或鏡像服務器,此方面的安全隱患較低。

4.8 匿名區域文件傳輸

區域傳輸用于主、輔DNS服務器之間的數據更新和備份。例如,當主DNS服務器上的權威記錄發生變化時,輔DNS服務器通過區域傳輸的方式從主DNS服務器下載區域文件的完整副本,以保持數據一致。在具體實現上,區域傳輸采用客戶端-服務器的形式進行,客戶端發送一個axfr(異步完整區域傳輸)類型的DNS查詢請求,通過TCP連接從服務器端獲取完整的區域文件。

區域文件為域名服務器的敏感數據,應該嚴格保護,避免泄露,因此,異步完整區域傳輸應當僅允許在受信任的DNS服務器之間進行。但內網中,由于和外部網絡隔離,此方面防范經常疏忽,DNS服務器常配置不當,任意匿名主機都可以利用異步完整區域傳輸獲取完整區域文件,暴露網絡中的信息,加快滲透攻擊進程。

4.9 匿名區域文件更新

主DNS服務器的區域文件更新可通過運維主機編輯服務器上的區域文件完成,運維主機通過update請求完成對區域文件的修改。這個操作也應當僅允許在受信任的主機和DNS服務器之間進行,但內網中,有時為了便利操作,DNS服務器會開放配置,任意匿名主機都可以更新,這樣攻擊者可以通過構造惡意的update請求對區域文件進行任意修改,將域名解析地址更改為攻擊者控制的IP地址,以便開展下一步竊密行為。

綜上,本文列舉了一些常見安全問題在內網域名系統中的安全保密風險情況,另外,還有一些老生常談的DNS服務器操作系統配置不完善、DNS軟件(Linux系統的BIND、Windows系統的DNS服務系統組件)配置不完善等風險,以及一些在內網域名系統出現概率非常低的安全保密風險,如相似域名欺騙、偽造DNS服務器、無效域名查詢攻擊等,就不再一一贅述。表1比較了內網域名系統和互聯網域名系統一些安全保密風險發生的概率。

5 有關防護措施建議

為降低內網域名系統的安全保密風險,可以采取如下幾種防護措施。

(1)合理的網絡結構設計,在DNS服務器前部署防火墻、IPS等防護設備,對網絡流量進行過濾、清洗;主DNS服務器和輔DNS服務器位于不同的網段,部署在不同防火墻后,條件允許的,放置在不同的樓宇;對網絡合理進行分段,在網絡中部署設備接入控制系統。

(2)部署DNS安全拓展協議(Domain Name System Security Extensions,DNSSEC),DNSSEC采用數字簽名的方式解決了域名解析記錄傳輸中的安全問題,可以有效防范緩存投毒和DNS ID欺騙等攻擊。

(3)加強防火墻的配置,僅開放必要服務和端口,如DNS服務、TCP和UDP的53號端口(未修改DNS服務端口號的情況下)。

(4)DNS服務器應配置高性能的硬件,確保不被DDoS攻擊輕易攻癱;操作系統僅開放必要服務和端口,啟用偽根目錄,并部署入侵檢測、防病毒軟件等防護系統;嚴格限制對DNS日志、區域傳輸文件的訪問權限。

(5)完善DNS軟件的配置,包括及時更新版本、限制域名解析的源IP地址、隱藏DNS軟件版本等。

6 結語

內網域名系統的安全保密風險問題常常被忽視,本文介紹了域名系統的原理,比較了內網域名系統和互聯網域名系統的不同,分析了內網域名系統面臨的主要安全保密風險,并給出了一些改進建議。

下一步,隨著內網規模的不斷擴大,特別是國家電子政務內網的建成、擴展,在電子政務內網中構建國家級可信內網域名體系的需求越來越迫切,內網域名系統會成為內網的核心基礎設施,其安全問題將會越來越被關注。

?

(原載于《保密科學技術》雜志2020年10月刊)

 
国产精品亚洲AV一区二区三区,亚洲AV日韩AV不卡在线观看,米奇在线777在线精品视频,国产精品泄火熟女