漫谈域名系统安全
众所周知,域名系统(DNS,Domain Name System)作为互联网的重要基础设施,其主要功能是提供域名解析服务。随着互联网的发展,DNS系统也被赋予了其他的应用功能,如 DKMI(即Domain Keys Identified Mail,缩写为DKIM)、负载均衡、域名封锁等方面。绝大多数的互联网应用都需要依赖 DNS 才能正常工作,一旦 DNS 系统受到攻击,整个互联网将会受到严重影响。
●现状●随着网络技术的不断发展,攻击 DNS 的技术也变得更加丰富,手段更加复杂。
美国 Coleman Parkes 公司调查了来自北美、亚太、欧洲共 1000个组织的 DNS 系统安全状况发现 ,在 2017 年有 76%的组织受到了 DNS攻击。在这些攻击中,恶意软件攻击占 35%、DDoS 攻击占 32%、缓存投毒占 23%、DNS 隧道占 22%、零日漏洞攻击占19%。超过 90%的恶意软件使用DNS协议与恶意软件的命令和控制(Command and Control,C&C)中心保持联系,以此获取攻击命令、下载软件更新、获取隐私信息。DDoS 攻击也变得越来越复杂,攻击者使用广泛的技术手段,从基本的方法(如:放大/转发、泛洪),到涉及僵尸网络、连锁反应等高度复杂的攻击,这些攻击可能来内部或外部DNS服务器。
根据 Arbor Network 发布的调查报告显示,有84%的反射和放大攻击采用DNS协议,是所有调查协议中占比最高的。此外,报告中还显示 DNS 的服务器是 DDoS 攻击的首要目标,有78%的DDoS 攻击对 DNS的应用层服务进行攻击。
攻击DNS 有利可图,商业利益驱动促使攻击行为加剧。有攻击者通过攻击DNS服务器,造成企业服务中断,损坏企业信誉,造成用户流失。如 2016 年 10 月在 Dyn域名服务供应商受到大规模DDoS攻击之后,Dyn公司失去了8%的域名客户。
DNS 攻击还会造成关键数据泄露和经济损失。根据 EfficientIP 的调查报告,在调查的1000个公司和组织中,有三分之一的公司因 DNS 攻击数据被盗,这些数据中16%是用户敏感信息15%是知识产权信息。此外,DNS 攻击每年会给受害公司造成 200 万美元的经济损失。
●威胁分析●域名服务主要由3部分组成,分别是:
1、域名空间(domain name space)和资源记录(resource record),包括树形结构的命名空间和与名称相关联的数据;
2、名字服务器(name server),包含域树结构信息和设置信息的服务器程序;
3、解析器(resolver),响应请求并从名称服务器获取查询结果。DNS 通常提供两种域名解析方式,分别是:递归式查询和迭代式查询。在通常情况下,应用系统主机向本地域名服务器请求域名解析时,采用递归查询。
在递归查询模式下,本地域名服务器直接向应用系统主机返回域名解析结果,当地域名服务器需要向根域名进行请求。
以下是对CVE 漏洞信息库若干条DNS相关漏洞进行对比分类,针对不同类型的DNS系统漏洞对攻击目标及攻击后果进行总结归纳,统计结果如下表所示:
●安全强化●1协议强化
为了解决DNS系统在数据传输过程真实性和完整性保护,IETF(The Internet Engineering Task Force)提出了DNS安全增强方案 DNSSEC。DNSSEC 通过对资源记录进行签名,用户在收到相关请求域名信息时也会收到该记录的签名,用户可以根据签名检测数据的真实性和完整性。DNSSEC 在DNS的基础上,增加了四种安全记录:
1. DNSKEY记录,存储验证DNS数据的公钥;
2. RRSIG 记录,存储DNS资源记录的数字签名;
3. DS记录,用于DNSKEY验证,存储密钥标签,加密算法和对应 DNSKEY 的摘要信息;
4. NSEC 记录,存储和对应所有者相邻的下一记录,用于否定存在验证。
2实现强化当前DNS协议使用UDP协议传输数据,信息没有进行真实性和完整性验证,因此对 DNS 传输协议进行增强是增强 DNS 安全性的一种手段。T-DNS使用TCP和TLS协议替代 UDP传输DNS消息,解析器与服务器首先需要建立TCP连接,然后使用TLS协议对DNS消息的内容进行加密保护,防止内容泄露和恶意篡改。
T-DNS利用TCP连接的数量限制机制,能够防止恶意服务器主动推送虚假应答信息,同时使用TLS协议保护数据传输安全,解决了数据泄露和恶意篡改问题。这种方式的局限性是建立TCP连接的时间开销会影响解析效率,T-DNS 采用TCP和TLS协议,与传统的 DNS不兼容,很难大范围部署。
3检测监控随着互联网的发展,技术在不断进步,攻击手段也在不断变化,仅仅依靠协议的增强和系统的改变不一定能够抵御所有的攻击。因此,在现有系统的基础上,进行有效监控诊断,保护DNS系统的正常运行,也是一个重要的安全增强保障。对DNS系统进行诊断监控不需要改变现有DNS实现方式,具有良好的渐进部署能力,同时能够有效监测各种攻击。检测监控的核心思想是对 DNS 的查询流量进行分析和检测,构造检测系统并运用如机器学习、信息熵等技术对检测结果进行学习和分类,提高检测精度。本节根据检测流量的层级不同分为监测DNS用户端与递归服务器间流量和检测DNS服务器间流量。
4体系结构强化DNS根服务器作为DNS 系统的核心,负责DNS主目录的维护和管理,这种方式存在单点故障、易受攻击等缺陷。为了解决 DNS中心化问题,有学者提出设计去中心化的 DNS 系统。DNS系统去中心后,每个服务器节点都是平等的,单点故障和 DoS攻击造成的影响将会降低。DNS的解析过程不再受限于根服务器,不会因为管理等因素对域名进行封锁,也能解决根服务器部署数量有限的弊端。
●总结●针对 DNS 的各种安全问题,虽然涌现了大量的解决办法,但是近年来的各种攻击事件表明,DNS 安全问题仍然十分严峻。通过分析发现,现有的研究成果仍存在不足,未来的工作可以更多地关注以下方面:
DNS去中心化DNS 系统之所以受到各种攻击,与 DNS 树形结构、根服务器管理整个系统有重要关系。这种体系架构存在单点失效问题,而历史上有多次攻击根服务器的案例,致使整个DNS服务瘫痪。因此,设计一种去中心化的DNS系统是一项具有重要意义的方向。
开放式DNS安全检查虽然开放式服务器提供了各种便利,如可以应答外部资源的 DNS 请求,但是这些开放系统给网络的安全性和稳定性带来了极大的隐患。一些开放的服务器容易被攻击者控制,进行放大攻击、投毒攻击等恶意行为。据调查发现,在3200万个开放式解析器,其中有2800 万存在严重的安全隐患。开放式会给攻击者进行 DoS/DDoS、缓冲投毒、DNS ID劫持等攻击带来便利。现有的实践中很少有对这些开放式系统进行行规范和约束,如何识别和监控这些恶意的开放式服务器,也是一个重要的内容。
防护方案增量部署由于 DNS 系统广泛应用,有研究者虽然提出改进方案,与现有的 DNS 系统不兼容,也很难被大范围部署。DNSSEC虽然在1997年就已经被提出,但是目前仍未广泛部署,目前DNSSEC 在顶级域的部署率达到了89%,但是在二级域的部署率仅为3%。有很多新型的名字服务系统和架构都已提出来,但是与当前 DNS 系统不兼容,因此这些研究成果很难被网络运营商和大型公司采用。因此在设计防护方案的部署方式时应考虑防护方案要避免修改现有 DNS协议。