國家保密局網(wǎng)站>>保密科技

內(nèi)網(wǎng)域名系統(tǒng)的安全保密風(fēng)險(xiǎn)研究

2021年07月22日    來源:國家保密科技測評中心【字體: 打印

【摘 要】 在機(jī)關(guān)、單位內(nèi)網(wǎng)中,域名系統(tǒng)的安全問題往往會(huì)被忽視,因此逐漸成為木桶效應(yīng)的短板。本文介紹了域名系統(tǒng)的原理,比較了內(nèi)網(wǎng)域名系統(tǒng)和互聯(lián)網(wǎng)域名系統(tǒng)的差異,分析了內(nèi)網(wǎng)域名系統(tǒng)面臨的主要安全保密風(fēng)險(xiǎn),并提出改進(jìn)建議。

【關(guān)鍵詞】 內(nèi)網(wǎng) 域名系統(tǒng) 安全保密

1 引言

隨著信息化的不斷深入,機(jī)關(guān)、單位內(nèi)網(wǎng)業(yè)務(wù)不斷拓展,應(yīng)用不斷增多,為提高用戶使用體驗(yàn),越來越多的單位在內(nèi)網(wǎng)中部署域名系統(tǒng)。

域名系統(tǒng)(Domain Name System,DNS)主要負(fù)責(zé)提供域名地址空間映射服務(wù),將易于人類記憶的域名翻譯為易于機(jī)器識(shí)別的IP地址。域名系統(tǒng)就像電話號(hào)碼本,號(hào)碼本上的聯(lián)系人是域名,而聯(lián)系方式就是IP地址。所有的上網(wǎng)行為,除非直接通過IP地址訪問,瀏覽器第一步做的都是通過查詢域名服務(wù)器將域名轉(zhuǎn)換為IP地址,IP地址錯(cuò)了,后面的報(bào)文生成、TCP連接、網(wǎng)絡(luò)包路由等都沒有意義。在互聯(lián)網(wǎng)中,域名系統(tǒng)是最重要的基礎(chǔ)設(shè)施之一,確保其安全可靠是保障網(wǎng)絡(luò)正常運(yùn)行的關(guān)鍵點(diǎn);但在內(nèi)網(wǎng)中,由于更多的關(guān)注應(yīng)用系統(tǒng)、安全保密設(shè)備、網(wǎng)絡(luò)設(shè)備、終端設(shè)備等的安全,域名系統(tǒng)的安全性往往會(huì)被忽視,因此漸漸成為木桶效應(yīng)的那塊短板。

本文比較了內(nèi)網(wǎng)域名系統(tǒng)和互聯(lián)網(wǎng)域名系統(tǒng)的不同,分析了內(nèi)網(wǎng)域名系統(tǒng)面臨的主要安全保密風(fēng)險(xiǎn),并提出了一些相應(yīng)的安全保密措施。

2 域名系統(tǒng)

域名系統(tǒng)能實(shí)現(xiàn)域名與IP地址的快速映射與轉(zhuǎn)換,為了保證網(wǎng)絡(luò)中域名的唯一性,域名系統(tǒng)采用特殊的樹狀結(jié)構(gòu)以實(shí)現(xiàn)域名層次的劃分,每一個(gè)樹形節(jié)點(diǎn)都有不同的子節(jié)點(diǎn),每一個(gè)域名都是從當(dāng)前節(jié)點(diǎn)讀到根節(jié)點(diǎn)路徑上所有節(jié)點(diǎn)標(biāo)記的點(diǎn)分順序連接的字符串,如圖1對應(yīng)的域名為“www.xxxxxx.org.cn.”。其中,最后的“.”(通常省略)為根域名,“.cn”為頂級(jí)域名,“.org”為二級(jí)域名,“.xxxxxx”為三級(jí)域名,“www”為主機(jī)名。上級(jí)域名服務(wù)器中維護(hù)著其名下所有次級(jí)域名的信息,如根域名服務(wù)器中維護(hù)所有頂級(jí)域名的域名和地址信息。

將域名解析為IP地址(域名解析)的過程是從根節(jié)點(diǎn)開始的,比如要查詢“www.xxxxxx.org.cn”這個(gè)域名的IP地址,首先向根域名服務(wù)器查詢“.cn”的地址,然后再向“.cn”頂級(jí)域名服務(wù)器查詢“.org”的地址,之后繼續(xù)向“.org”二級(jí)域名服務(wù)器查詢“.xxxxxx”的地址,最后向“.xxxxxx”三級(jí)域名服務(wù)器查詢“www”主機(jī)的IP地址,這個(gè)查詢的過程,稱為迭代查詢,而這些存儲(chǔ)著原始域名記錄信息的域名服務(wù)器又稱為權(quán)威域名服務(wù)器。

實(shí)際解析過程中,客戶端并不直接向權(quán)威域名服務(wù)器查詢域名,而是向部署在本地的域名服務(wù)器提交遞歸查詢請求,由本地域名服務(wù)器代為完成上述查詢過程,域名解析過程如圖2所示。本地域名服務(wù)器又稱遞歸解析服務(wù)器,一般由網(wǎng)絡(luò)運(yùn)營商部署、管理,其IP地址配置在客戶端的DNS地址中。同時(shí),為提高查詢效率,遞歸解析服務(wù)器均開啟緩存功能,將最近的查詢結(jié)果存儲(chǔ)在本地高速緩存中,收到查詢請求后,先檢查數(shù)據(jù)是否在高速緩存中,若是,則直接返回查詢結(jié)果;若否,再繼續(xù)原查詢過程。存儲(chǔ)在高速緩存中的數(shù)據(jù),為了確保不是過時(shí)的數(shù)據(jù),其生命周期受TTL(Time To Live)值控制,超過TTL的緩存數(shù)據(jù),會(huì)被清理掉。

3 內(nèi)網(wǎng)域名系統(tǒng)與互聯(lián)網(wǎng)域名系統(tǒng)的區(qū)別

內(nèi)網(wǎng)域名系統(tǒng)與互聯(lián)網(wǎng)域名系統(tǒng)的主要區(qū)別包括部署規(guī)模不同、解析過程不同、可控程度不同、日志量不同等。

3.1 部署規(guī)模不同

互聯(lián)網(wǎng)域名系統(tǒng)經(jīng)過幾十年的發(fā)展,已經(jīng)從一個(gè)簡單的查詢系統(tǒng),逐步發(fā)展成為一個(gè)復(fù)雜的生態(tài)系統(tǒng)。目前,全球已有超過1000萬臺(tái)DNS服務(wù)器,從本質(zhì)上看,互聯(lián)網(wǎng)域名系統(tǒng)是規(guī)模龐大的全球分布式數(shù)據(jù)庫系統(tǒng)。

相對而言,內(nèi)網(wǎng)域名系統(tǒng)則比較簡單,無須解析海量的互聯(lián)網(wǎng)域名,只需解析有限的內(nèi)部域名。若是局域網(wǎng),一般僅需部署主、輔2臺(tái)DNS服務(wù)器。2臺(tái)DNS服務(wù)器均是內(nèi)網(wǎng)的權(quán)威域名服務(wù)器,以絕對的權(quán)威回答內(nèi)網(wǎng)管轄域的任何查詢。主DNS服務(wù)器的域信息存儲(chǔ)在管理員構(gòu)造的本地磁盤文件(區(qū)域文件)中,該文件包含著該DNS服務(wù)器具有管理權(quán)的域結(jié)構(gòu)的最精確信息。輔DNS服務(wù)器用于為主服務(wù)器分擔(dān)負(fù)載,其從主DNS服務(wù)器下載和更新區(qū)域文件。因?yàn)椴恍枰镜谼NS服務(wù)器作為遞歸解析服務(wù)器再向其他DNS服務(wù)器查詢,因此內(nèi)網(wǎng)域名系統(tǒng)一般把本地DNS服務(wù)器就設(shè)置為根服務(wù)器。內(nèi)網(wǎng)若是規(guī)模特別大的廣域網(wǎng),也可以分級(jí)部署,在中心節(jié)點(diǎn)部署根域名服務(wù)器。

3.2 解析過程不同

互聯(lián)網(wǎng)域名系統(tǒng)中,由廣泛部署于互聯(lián)網(wǎng)中的遞歸解析服務(wù)器為客戶端提供查詢服務(wù),遞歸解析服務(wù)器從根域名開始,逐級(jí)查詢,直至查詢到目標(biāo)域名。

內(nèi)網(wǎng)域名系統(tǒng)的解析過程不需要那么復(fù)雜,客戶端直接向主/輔DNS服務(wù)器發(fā)送查詢請求,無論域名是否存在,都由主/輔DNS服務(wù)器直接返回權(quán)威解析數(shù)據(jù),不需要再向其他DNS服務(wù)器進(jìn)行查詢,如圖3所示(內(nèi)網(wǎng)規(guī)模特別大,域名系統(tǒng)分級(jí)部署的除外)。同樣,主/輔DNS服務(wù)器一般也會(huì)開啟DNS緩存功能,域名已被緩存的,直接將緩存中的數(shù)據(jù)返回查詢客戶端。

3.3 可控程度不同

互聯(lián)網(wǎng)域名系統(tǒng)采用中心化管理模式,一直由美國主導(dǎo)。其中最高一級(jí)的根域名服務(wù)器分布嚴(yán)重失衡,共有13個(gè)根域名服務(wù)器:1個(gè)主根域名服務(wù)器、9個(gè)輔根域名服務(wù)器放置在美國,2個(gè)輔根域名服務(wù)器分別放置在歐洲的英國和瑞典,1個(gè)輔根域名服務(wù)器放置在亞洲的日本。輔根域名服務(wù)器中的根區(qū)域文件需與主根域名服務(wù)器保持一致。第二級(jí)的頂級(jí)域名,包括“國家和地區(qū)頂級(jí)域名”“通用頂級(jí)域名”“新增通用頂級(jí)域名”等,除“國家和地區(qū)頂級(jí)域名”由各國網(wǎng)絡(luò)信息中心負(fù)責(zé)管理外,其余的均由位于美國的國際互聯(lián)網(wǎng)絡(luò)名稱及編號(hào)分配公司(Internet Corporation for Assigned Names and Numbers,ICANN)管理。雖然自2016年以來,美國政府形式上完全移交了管理權(quán),不再承擔(dān)相關(guān)審核和監(jiān)督職責(zé),但美國在專家、技術(shù)和產(chǎn)業(yè)上依然具有優(yōu)勢,ICANN等也將繼續(xù)接受美國法律管轄,這種一家獨(dú)大的中心化管理模式給整個(gè)互聯(lián)網(wǎng)域名系統(tǒng)的穩(wěn)定運(yùn)行帶來潛在隱患。

在互聯(lián)網(wǎng)域名體系中,雖然“.cn”“.中國”等國家頂級(jí)域名由中國互聯(lián)網(wǎng)信息中心(CNNIC)管理,但頂級(jí)域名在很大程度上還要受制于根域名,可控性仍比較差。與互聯(lián)網(wǎng)域名系統(tǒng)的管理體制不同,內(nèi)網(wǎng)域名系統(tǒng)的建設(shè)、管理均掌握在內(nèi)網(wǎng)建設(shè)使用單位手中,無論是單級(jí)管理,還是兩級(jí)甚至多級(jí)管理,各級(jí)域名服務(wù)器均在內(nèi)網(wǎng)可控單位的管理之下,可控程度很高。

3.4 日志量不同

互聯(lián)網(wǎng)域名系統(tǒng)在域名解析過程中會(huì)產(chǎn)生海量日志,因?yàn)橛脩糁鲃?dòng)發(fā)起的DNS查詢,會(huì)連帶產(chǎn)生大量的被動(dòng)DNS查詢。如當(dāng)使用瀏覽器進(jìn)入某個(gè)域名的網(wǎng)頁時(shí),后臺(tái)可能會(huì)產(chǎn)生大量附加處理操作,會(huì)請求不同域名下的圖片、視頻、腳本等資源,而每次資源請求都會(huì)產(chǎn)生一次DNS查詢。大量的查詢導(dǎo)致產(chǎn)生海量日志。在某運(yùn)營商的網(wǎng)絡(luò)中,每天可以產(chǎn)生幾十TB級(jí)的DNS日志。

內(nèi)網(wǎng)域名系統(tǒng)的日志量要小得多,一方面內(nèi)網(wǎng)的客戶端數(shù)量規(guī)模有限,查詢的主體要少得多;另一方面,內(nèi)網(wǎng)中域名的數(shù)量有限,一般僅部署幾個(gè)至幾十個(gè)用于內(nèi)部辦公、業(yè)務(wù)工作的Web應(yīng)用、網(wǎng)站等。同時(shí),頁面內(nèi)容也遠(yuǎn)沒有互聯(lián)網(wǎng)豐富,被動(dòng)查詢較少。一般內(nèi)網(wǎng)域名系統(tǒng)每天產(chǎn)生的日志量在MB級(jí)。

4 內(nèi)網(wǎng)域名系統(tǒng)的安全保密風(fēng)險(xiǎn)

內(nèi)網(wǎng)域名系統(tǒng)的不同特點(diǎn)決定了其安全問題也與互聯(lián)網(wǎng)域名系統(tǒng)不同,下面分析了一些常見安全問題在內(nèi)網(wǎng)域名系統(tǒng)中的安全保密風(fēng)險(xiǎn)情況。

4.1 緩存投毒

緩存投毒主要針對的是遞歸解析服務(wù)器,攻擊者是利用遞歸解析服務(wù)器無法驗(yàn)證DNS數(shù)據(jù)真實(shí)性的特點(diǎn),將虛假的DNS查詢回復(fù)寫入遞歸解析服務(wù)器的高速緩存中,同時(shí)為延長緩存中毒的時(shí)間,攻擊者還會(huì)將回復(fù)TTL設(shè)得足夠大,這樣客戶端向遞歸解析服務(wù)器查詢有關(guān)域名信息時(shí),會(huì)命中高速緩存的中毒信息,導(dǎo)致客戶端收到錯(cuò)誤的IP地址,訪問到攻擊者控制的服務(wù)器,造成用戶數(shù)據(jù)泄露。在內(nèi)網(wǎng)域名系統(tǒng)中,此種攻擊方式只適用于多級(jí)部署且DNS服務(wù)器開啟遞歸解析功能的情況,對于僅主、輔兩臺(tái)DNS服務(wù)器的單級(jí)部署方式,因?yàn)橹鳌⑤oDNS服務(wù)器不需要向其他DNS服務(wù)器查詢,因此一般不會(huì)緩存中毒。

4.2 DNS ID欺騙

域名解析采用基于UDP協(xié)議的數(shù)據(jù)報(bào)文進(jìn)行通信,且請求報(bào)文和響應(yīng)報(bào)文具有相同的數(shù)據(jù)結(jié)構(gòu),如圖4所示。其中報(bào)文頭部的ID是DNS查詢應(yīng)答的唯一標(biāo)識(shí),通常是隨機(jī)生成的。當(dāng)客戶端發(fā)起DNS查詢時(shí),攻擊者可以在DNS服務(wù)器應(yīng)答前偽造同樣ID的響應(yīng)報(bào)文對客戶端進(jìn)行欺騙攻擊,其危害和緩存投毒一樣,都會(huì)使客戶端訪問到攻擊者控制的服務(wù)器,但其攻擊不如緩存中毒攻擊持久。

DNS ID攻擊需要獲取客戶端DNS請求報(bào)文頭部的ID,采用窮舉法顯然效率不高,通過監(jiān)聽客戶端網(wǎng)絡(luò)數(shù)據(jù)包或者采取ARP欺騙的方式,更容易實(shí)現(xiàn),特別是攻擊者和客戶端在同一個(gè)內(nèi)網(wǎng)、同一個(gè)網(wǎng)段的情況下。

4.3 普通DDoS攻擊

分布式拒絕攻擊(DDoS)是網(wǎng)絡(luò)中最常見的攻擊方式,不僅域名系統(tǒng),網(wǎng)絡(luò)中所有服務(wù)器都深受其害。其具體攻擊方式有多種,針對域名系統(tǒng)的DDoS攻擊最基本方法就是利用大量正常的DNS查詢請求來占用DNS服務(wù)器的網(wǎng)絡(luò)帶寬、CPU、內(nèi)存等資源,使得其他合法的DNS查詢得不到響應(yīng)。普通DDoS攻擊常常需要控制較多的傀儡主機(jī)完成飽和攻擊,如果查詢數(shù)量不足,不能覆蓋住DNS服務(wù)器的資源,就無法攻擊成功。由于內(nèi)網(wǎng)中本身客戶端數(shù)量就有限,再加上防護(hù)措施比較多,較難控制大量主機(jī)進(jìn)行DDoS攻擊。另外,DDoS攻擊只會(huì)導(dǎo)致DNS服務(wù)器性能下降,延遲提高,但查詢結(jié)果還是正確的,因此在內(nèi)網(wǎng)中的安全保密風(fēng)險(xiǎn)較低。

4.4 DNS 放大攻擊

通常的DNS響應(yīng)報(bào)文只有幾十個(gè)字節(jié),但特定查詢的DNS響應(yīng)報(bào)文卻可以很長,例如ANY類型、TXT類型或者EDNS0的DNS響應(yīng)報(bào)文可以上千甚至幾千個(gè)字節(jié),響應(yīng)報(bào)文的長度是通常請求報(bào)文的幾十倍。DNS放大攻擊就是利用了這一特性,向DNS服務(wù)器發(fā)送大量此類查詢請求,DNS服務(wù)器將回復(fù)幾十倍的應(yīng)答流量,資源被更快地消耗。這種攻擊可以看作是普通DDoS攻擊的加強(qiáng)版,攻擊者可以用更少的查詢量、更快地攻癱DNS服務(wù)器。同普通DDoS攻擊一樣,由于內(nèi)網(wǎng)中可控制的主機(jī)數(shù)量有限,要成功完成此類攻擊,有一定的難度。

4.5 DNS反射攻擊和反射放大攻擊

DNS反射攻擊是利用DNS服務(wù)器的響應(yīng)報(bào)文攻擊客戶端或遞歸解析服務(wù)器的攻擊方式。攻擊者利用傀儡主機(jī)向多個(gè)DNS服務(wù)器(反射體)發(fā)起大量的DNS查詢請求,查詢請求的源IP地址偽造為受害客戶端或遞歸解析服務(wù)器的IP地址,這樣DNS服務(wù)器返回的響應(yīng)結(jié)果流量就會(huì)全部打到受害客戶端或遞歸解析服務(wù)器上,迅速消耗其資源,導(dǎo)致無法提供服務(wù)。

DNS反射攻擊通常結(jié)合DNS放大攻擊一起使用,即反射放大攻擊,發(fā)起大量偽造源IP地址的、會(huì)放大響應(yīng)報(bào)文的DNS查詢請求,以增強(qiáng)攻擊效果,這種方式往往比普通DDoS攻擊更有效。

由于反射攻擊和反射放大攻擊都需要足夠多的反射體(即DNS服務(wù)器)來響應(yīng)查詢請求,而內(nèi)網(wǎng)中DNS服務(wù)器的規(guī)模數(shù)量要比互聯(lián)網(wǎng)中小得多,因此這兩類攻擊的在內(nèi)網(wǎng)中發(fā)生的概率較低。

4.6 DNS日志泄露

DNS服務(wù)器日志中含有客戶端請求域名解析的記錄,一般包括日期、時(shí)間戳、請求源IP地址和端口號(hào)、請求域名、解析記錄等信息。內(nèi)網(wǎng)域名系統(tǒng)中,請求源IP地址就是客戶端真實(shí)的IP地址,這樣,DNS日志記錄就提供了一個(gè)完整的存活主機(jī)列表。在內(nèi)網(wǎng)中,各種掃描工具會(huì)被嚴(yán)格限制,如果能夠訪問到DNS服務(wù)器日志,就代替掃描工具拿到了存活主機(jī)列表,完成了網(wǎng)絡(luò)滲透攻擊的第一步。

互聯(lián)網(wǎng)域名系統(tǒng)中,在使用IPv4的情況下,一是因?yàn)榈刂房臻g有限,客戶端訪問互聯(lián)網(wǎng)時(shí),會(huì)進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換,因此遞歸解析服務(wù)器日志中的請求源IP地址并不是客戶端的真實(shí)地址(IPv6環(huán)境下,IP地址不再是緊缺資源,客戶端訪問互聯(lián)網(wǎng)不進(jìn)行地址轉(zhuǎn)換,遞歸解析服務(wù)器上存儲(chǔ)的就是真實(shí)的客戶端IP地址);二是域名解析是由遞歸解析服務(wù)器代替客戶端向權(quán)威域名服務(wù)器查詢的,因此權(quán)威域名服務(wù)器上的DNS日志,請求源IP地址為遞歸解析服務(wù)器的IP地址,不是客戶端IP地址;三是互聯(lián)網(wǎng)域名系統(tǒng)的DNS服務(wù)器中有海量的DNS日志,日志分析利用的難度比較大,因此安全保密隱患相對較低。

DNS協(xié)議設(shè)計(jì)之初沒有過多考慮安全問題,為提高效率,幾乎所有DNS流量都是基于明文傳輸?shù)模瑳]有采取保護(hù)措施。因此通過鏈路監(jiān)聽的方式,也可以分析出請求源IP地址、查詢的域名等信息,甚至可以通過監(jiān)聽DNS響應(yīng)報(bào)文,獲取服務(wù)器的IP地址列表。

4.7 主/輔部署不當(dāng)

內(nèi)網(wǎng)域名系統(tǒng)通常以主/輔方式部署DNS服務(wù)器,當(dāng)其中某一臺(tái)服務(wù)器不能工作時(shí),另一臺(tái)服務(wù)器仍然可以提供解析服務(wù)。然而實(shí)際部署中,主、輔DNS服務(wù)器常常位于同一網(wǎng)段、同一防火墻后、同一物理地點(diǎn),不能有效防止區(qū)域性突發(fā)事件造成的服務(wù)中斷(例如網(wǎng)絡(luò)中斷、電力中斷、防火墻擁塞等),具有潛在的可用性問題。在互聯(lián)網(wǎng)域名系統(tǒng)中,域名系統(tǒng)是關(guān)鍵基礎(chǔ)設(shè)施,無論是遞歸解析服務(wù)器,還是權(quán)威域名服務(wù)器,都部署了大量的輔服務(wù)器或鏡像服務(wù)器,此方面的安全隱患較低。

4.8 匿名區(qū)域文件傳輸

區(qū)域傳輸用于主、輔DNS服務(wù)器之間的數(shù)據(jù)更新和備份。例如,當(dāng)主DNS服務(wù)器上的權(quán)威記錄發(fā)生變化時(shí),輔DNS服務(wù)器通過區(qū)域傳輸?shù)姆绞綇闹鱀NS服務(wù)器下載區(qū)域文件的完整副本,以保持?jǐn)?shù)據(jù)一致。在具體實(shí)現(xiàn)上,區(qū)域傳輸采用客戶端-服務(wù)器的形式進(jìn)行,客戶端發(fā)送一個(gè)axfr(異步完整區(qū)域傳輸)類型的DNS查詢請求,通過TCP連接從服務(wù)器端獲取完整的區(qū)域文件。

區(qū)域文件為域名服務(wù)器的敏感數(shù)據(jù),應(yīng)該嚴(yán)格保護(hù),避免泄露,因此,異步完整區(qū)域傳輸應(yīng)當(dāng)僅允許在受信任的DNS服務(wù)器之間進(jìn)行。但內(nèi)網(wǎng)中,由于和外部網(wǎng)絡(luò)隔離,此方面防范經(jīng)常疏忽,DNS服務(wù)器常配置不當(dāng),任意匿名主機(jī)都可以利用異步完整區(qū)域傳輸獲取完整區(qū)域文件,暴露網(wǎng)絡(luò)中的信息,加快滲透攻擊進(jìn)程。

4.9 匿名區(qū)域文件更新

主DNS服務(wù)器的區(qū)域文件更新可通過運(yùn)維主機(jī)編輯服務(wù)器上的區(qū)域文件完成,運(yùn)維主機(jī)通過update請求完成對區(qū)域文件的修改。這個(gè)操作也應(yīng)當(dāng)僅允許在受信任的主機(jī)和DNS服務(wù)器之間進(jìn)行,但內(nèi)網(wǎng)中,有時(shí)為了便利操作,DNS服務(wù)器會(huì)開放配置,任意匿名主機(jī)都可以更新,這樣攻擊者可以通過構(gòu)造惡意的update請求對區(qū)域文件進(jìn)行任意修改,將域名解析地址更改為攻擊者控制的IP地址,以便開展下一步竊密行為。

綜上,本文列舉了一些常見安全問題在內(nèi)網(wǎng)域名系統(tǒng)中的安全保密風(fēng)險(xiǎn)情況,另外,還有一些老生常談的DNS服務(wù)器操作系統(tǒng)配置不完善、DNS軟件(Linux系統(tǒng)的BIND、Windows系統(tǒng)的DNS服務(wù)系統(tǒng)組件)配置不完善等風(fēng)險(xiǎn),以及一些在內(nèi)網(wǎng)域名系統(tǒng)出現(xiàn)概率非常低的安全保密風(fēng)險(xiǎn),如相似域名欺騙、偽造DNS服務(wù)器、無效域名查詢攻擊等,就不再一一贅述。表1比較了內(nèi)網(wǎng)域名系統(tǒng)和互聯(lián)網(wǎng)域名系統(tǒng)一些安全保密風(fēng)險(xiǎn)發(fā)生的概率。

5 有關(guān)防護(hù)措施建議

為降低內(nèi)網(wǎng)域名系統(tǒng)的安全保密風(fēng)險(xiǎn),可以采取如下幾種防護(hù)措施。

(1)合理的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì),在DNS服務(wù)器前部署防火墻、IPS等防護(hù)設(shè)備,對網(wǎng)絡(luò)流量進(jìn)行過濾、清洗;主DNS服務(wù)器和輔DNS服務(wù)器位于不同的網(wǎng)段,部署在不同防火墻后,條件允許的,放置在不同的樓宇;對網(wǎng)絡(luò)合理進(jìn)行分段,在網(wǎng)絡(luò)中部署設(shè)備接入控制系統(tǒng)。

(2)部署DNS安全拓展協(xié)議(Domain Name System Security Extensions,DNSSEC),DNSSEC采用數(shù)字簽名的方式解決了域名解析記錄傳輸中的安全問題,可以有效防范緩存投毒和DNS ID欺騙等攻擊。

(3)加強(qiáng)防火墻的配置,僅開放必要服務(wù)和端口,如DNS服務(wù)、TCP和UDP的53號(hào)端口(未修改DNS服務(wù)端口號(hào)的情況下)。

(4)DNS服務(wù)器應(yīng)配置高性能的硬件,確保不被DDoS攻擊輕易攻癱;操作系統(tǒng)僅開放必要服務(wù)和端口,啟用偽根目錄,并部署入侵檢測、防病毒軟件等防護(hù)系統(tǒng);嚴(yán)格限制對DNS日志、區(qū)域傳輸文件的訪問權(quán)限。

(5)完善DNS軟件的配置,包括及時(shí)更新版本、限制域名解析的源IP地址、隱藏DNS軟件版本等。

6 結(jié)語

內(nèi)網(wǎng)域名系統(tǒng)的安全保密風(fēng)險(xiǎn)問題常常被忽視,本文介紹了域名系統(tǒng)的原理,比較了內(nèi)網(wǎng)域名系統(tǒng)和互聯(lián)網(wǎng)域名系統(tǒng)的不同,分析了內(nèi)網(wǎng)域名系統(tǒng)面臨的主要安全保密風(fēng)險(xiǎn),并給出了一些改進(jìn)建議。

下一步,隨著內(nèi)網(wǎng)規(guī)模的不斷擴(kuò)大,特別是國家電子政務(wù)內(nèi)網(wǎng)的建成、擴(kuò)展,在電子政務(wù)內(nèi)網(wǎng)中構(gòu)建國家級(jí)可信內(nèi)網(wǎng)域名體系的需求越來越迫切,內(nèi)網(wǎng)域名系統(tǒng)會(huì)成為內(nèi)網(wǎng)的核心基礎(chǔ)設(shè)施,其安全問題將會(huì)越來越被關(guān)注。

 

(原載于《保密科學(xué)技術(shù)》雜志2020年10月刊)


主站蜘蛛池模板: 国产精品一区二区综合| 亚洲精品国产综合久久久久紧| 亚洲人成网站999久久久综合| 一本狠狠色丁香婷婷综合久久| 亚洲综合亚洲综合网成人| 国产成人麻豆亚洲综合无码精品| 亚洲综合精品香蕉久久网97| 色综合久久中文字幕网| 国产成人综合亚洲AV第一页| heyzo专区无码综合| 国产精品天天影视久久综合网| 综合无码一区二区三区四区五区| 色欲久久久天天天综合网精品| 97se色综合一区二区二区| 亚洲AV综合色区无码二区偷拍| 色综合久久久久网| 一本一本久久a久久精品综合| 国产精品天干天干综合网| 色偷偷91综合久久噜噜| 国产精品亚洲综合久久| 丁香五月天综合缴情网| 综合五月激情二区视频| 综合欧美五月丁香五月| 亚洲高清无码综合性爱视频| 99久久婷婷国产综合亚洲| 国产成人AV综合久久| 亚洲综合无码AV一区二区| 久久一日本道色综合久| 伊人久久亚洲综合| 久久综合久久鬼色| 亚洲色偷偷综合亚洲av78| 亚洲国产综合第一精品小说| 成人综合国产乱在线| 婷婷四房综合激情五月在线| 天天综合天天综合色在线| 99久久国产综合精品麻豆| 一本综合久久国产二区| 精品综合一区二区三区| 婷婷综合久久中文字幕蜜桃三| 色综合久久一区二区三区| 精品国产第一国产综合精品|