此篇文章為轉(zhuǎn)載!
一、DNS服務(wù)器的重要性
DNS是因特網(wǎng)建設(shè)的基礎(chǔ),幾乎所有的網(wǎng)絡(luò)應(yīng)用,都必須依賴DNS系統(tǒng)做網(wǎng)址查詢的指引動作。如果DNS系統(tǒng)運(yùn)作不正常,即使Web服務(wù)器都完好如初,防火墻系統(tǒng)都善盡其職,相關(guān)的后端應(yīng)用服務(wù)器以及數(shù)據(jù)庫系統(tǒng)運(yùn)作正常,因為無法在期限時間內(nèi)查得到網(wǎng)址,將會導(dǎo)致電子郵件無法傳遞,想要使用網(wǎng)域名稱去連接某個網(wǎng)頁,也會因查不出網(wǎng)絡(luò)地址,以致聯(lián)機(jī)失敗。2001年1月24日,美國微軟公司所管理的相關(guān)網(wǎng)絡(luò)系統(tǒng),遭受網(wǎng)絡(luò)黑客的拒絕服務(wù)攻擊后導(dǎo)致全球各地的用戶接近24小時的時間無法連上該公司相關(guān)的網(wǎng)站,造成該公司相當(dāng)嚴(yán)重的商業(yè)損失。根據(jù)以往的經(jīng)驗之中,網(wǎng)絡(luò)攻擊的對象多數(shù)主要集中在控制網(wǎng)絡(luò)路由的設(shè)備(路由器,防火墻等)和各類應(yīng)用服務(wù)器(Web、郵件等)。因此,目前多數(shù)的網(wǎng)絡(luò)系統(tǒng)安全保護(hù),通常都集中在路由設(shè)備和應(yīng)用服務(wù)器本身。然而,這一次的微軟公司被攻擊事件,與以往其它網(wǎng)站攻擊事件的最大不同,就在于這一次被攻擊的對象是DNS服務(wù)器而不是WEB服務(wù)器本身。這次的事件宣告另一種新型的網(wǎng)絡(luò)攻擊類別,往后將可能成為常態(tài)。
互聯(lián)網(wǎng)上DNS服務(wù)器的事實標(biāo)準(zhǔn)就是ISC(http://www.isc.org/ )公司的Berkeley Internert Name Domain(BIND),它具有廣泛的使用基礎(chǔ),互聯(lián)網(wǎng)上的絕大多數(shù)DNS服務(wù)器都是基于這個軟件的。Netcraft在域名服務(wù)器上的統(tǒng)計(http://www.netcraft.com/ )顯示 2003年第二季度進(jìn)行的一個調(diào)查發(fā)現(xiàn),在互聯(lián)網(wǎng)上運(yùn)行著的DNS服務(wù)器中,ISC的BIND占據(jù)了95%的市場份額。互聯(lián)網(wǎng)是由很多不可見的基礎(chǔ)構(gòu)件組成。這其中就包含了DNS,它給用戶提供了易于記憶的機(jī)器名稱(比如sina.com),并且將它們翻譯成數(shù)字地址的形式。對于那些用于公共服務(wù)的機(jī)器一般還提供“反向查詢”的功能,這種功能可以把數(shù)字轉(zhuǎn)換成名字。由于歷史的原因,這種功能使用的是被隱藏的“in-addr.arpa”域。對in-addr域的調(diào)查,可以讓我們更加了解整個Internet是如何運(yùn)作的。Bill Manning對in-addr域的調(diào)查發(fā)現(xiàn),有95%的域名服務(wù)器(2的2000次方個服務(wù)器中)使用的是各種版本的“bind”。這其中包括了所有的DNS根服務(wù)器,而這些根服務(wù)器對整個服務(wù)器的正常運(yùn)轉(zhuǎn)起著至關(guān)重要的作用。如何能加強(qiáng)確保 DNS 系統(tǒng)的運(yùn)作正常, 或者當(dāng)DNS系統(tǒng)在遭受網(wǎng)絡(luò)攻擊時候, 能夠讓管理者及早發(fā)現(xiàn)是日益重要的系統(tǒng)安全的課題。首先我們要了解DNS服務(wù)面臨的安全問題。
二、DNS服務(wù)面臨的安全問題:
DNS服務(wù)面臨的安全問題主要包括:DNS欺騙(DNS Spoffing)、拒絕服務(wù)(Denial of service,DoS)攻擊、分布式拒絕服務(wù)攻擊和緩沖區(qū)漏洞溢出攻擊(Buffer Overflow)。
1、DNS欺騙
DNS欺騙即域名信息欺騙是最常見的DNS安全問題。當(dāng)一個DNS服務(wù)器掉入陷阱,使用了來自一個惡意DNS服務(wù)器的錯誤信息,那么該DNS服務(wù)器就被欺騙了。DNS欺騙會使那些易受攻擊的DNS服務(wù)器產(chǎn)生許多安全問題,例如:將用戶引導(dǎo)到錯誤的互聯(lián)網(wǎng)站點,或者發(fā)送一個電子郵件到一個未經(jīng)授權(quán)的郵件服務(wù)器。網(wǎng)絡(luò)攻擊者通常通過三種方法進(jìn)行DNS欺騙。圖1是一個典型的DNS欺騙的示意圖。
圖1 典型DNS欺騙過程
(1)緩存感染
黑客會熟練的使用DNS請求,將數(shù)據(jù)放入一個沒有設(shè)防的DNS服務(wù)器的緩存當(dāng)中。這些緩存信息會在客戶進(jìn)行DNS訪問時返回給客戶,從而將客戶引導(dǎo)到入侵者所設(shè)置的運(yùn)行木馬的Web服務(wù)器或郵件服務(wù)器上,然后黑客從這些服務(wù)器上獲取用戶信息。
(2)DNS信息劫持
入侵者通過監(jiān)聽客戶端和DNS服務(wù)器的對話,通過猜測服務(wù)器響應(yīng)給客戶端的DNS查詢ID。每個DNS報文包括一個相關(guān)聯(lián)的16位ID號,DNS服務(wù)器根據(jù)這個ID號獲取請求源位置。黑客在DNS服務(wù)器之前將虛假的響應(yīng)交給用戶,從而欺騙客戶端去訪問惡意的網(wǎng)站。
(3)DNS復(fù)位定向
攻擊者能夠?qū)NS名稱查詢復(fù)位向到惡意DNS服務(wù)器。這樣攻擊者可以獲得DNS服務(wù)器的寫權(quán)限。
2、拒絕服務(wù)攻擊
黑客主要利用一些DNS軟件的漏洞,如在BIND 9版本(版本9.2.0以前的 9系列)如果有人向運(yùn)行BIND的設(shè)備發(fā)送特定的DNS數(shù)據(jù)包請求,BIND就會自動關(guān)閉。攻擊者只能使BIND關(guān)閉,而無法在服務(wù)器上執(zhí)行任意命令。如果得不到DNS服務(wù),那么就會產(chǎn)生一場災(zāi)難:由于網(wǎng)址不能解析為IP地址,用戶將無方訪問互聯(lián)網(wǎng)。這樣,DNS產(chǎn)生的問題就好像是互聯(lián)網(wǎng)本身所產(chǎn)生的問題,這將導(dǎo)致大量的混亂。
3、分布式拒絕服務(wù)攻擊
DDOS 攻擊通過使用攻擊者控制的幾十臺或幾百臺計算機(jī)攻擊一臺主機(jī),使得服務(wù)拒絕攻擊更難以防范:使服務(wù)拒絕攻擊更難以通過阻塞單一攻擊源主機(jī)的數(shù)據(jù)流,來防范服務(wù)拒絕攻擊。Syn Flood是針對DNS服務(wù)器最常見的分布式拒絕服務(wù)攻擊。
4、緩沖區(qū)漏洞
Bind軟件的缺省設(shè)置是允許主機(jī)間進(jìn)行區(qū)域傳輸(zone transfer)。區(qū)域傳輸主要用于主域名服務(wù)器與輔域名服務(wù)器之間的數(shù)據(jù)同步,使輔域名服務(wù)器可以從主域名服務(wù)器獲得新的數(shù)據(jù)信息。一旦起用區(qū)域傳輸而不做任何限制,很可能會造成信息泄漏,黑客將可以獲得整個授權(quán)區(qū)域內(nèi)的所有主機(jī)的信息,判斷主機(jī)功能及安全性,從中發(fā)現(xiàn)目標(biāo)進(jìn)行攻擊。
應(yīng)對以上這些安全問題有兩個比較有效方法:TSIG和DNSSEC技術(shù)。
二、TSIG技術(shù)
DNS的事務(wù)簽名分為 TSIG (Transaction Signatures) 與 SIG0 (SIGnature)兩種。該如何選擇呢? 首先,要先判斷客戶端與服務(wù)器間的信任關(guān)系為何,若是可信任者,可選擇對稱式的 TSIG。TSIG 只有一組密碼,并無公開/私密金鑰之分;若是非完全信任者,可選擇非對稱式金鑰的 SIG0,雖有公開/私密金鑰之分,相對的,設(shè)定上也較復(fù)雜。至于要選用哪種較適合,就由自己來判斷。通常區(qū)帶傳輸是主域名服務(wù)器到輔助域名服務(wù)器。通常在主域名服務(wù)器配置文件/etc/named.conf的dns-ip-list的訪問控制列表(ACL,access control list)會列出一些IP地址,它們只能為主域進(jìn)行傳輸區(qū)帶信息。一個典型例子如下:
以下為引用的內(nèi)容:
acl “dns-ip-list” {
172.20.15.100;
172.20.15.123;
};
zone “yourdomain.com” {
type master;
file “mydomain.dns”;
allow-query { any; };
allow-update { none; };
allow-transfer { dns-ip-list; }; };
都是黑客會利用IP欺騙一個DNS服務(wù)器,迫使其進(jìn)行非法區(qū)帶傳輸。TSIG技術(shù)可以進(jìn)行有效防范。
1、TSIG技術(shù)
交易簽章 (TSIGRFC 2845),是為了保護(hù) DNS安全而發(fā)展的。從BIND 8.2版本開始引入 TSIG 機(jī)制,其驗證 DNS 訊息方式是使用共享金鑰(Secret Key) 及單向雜湊函式(One-way hash function) 來提供訊息的驗證和數(shù)據(jù)的完整性。主要針對區(qū)帶傳輸(ZONE Transfer)進(jìn)行保護(hù)的作用,利用密碼學(xué)編碼方式為通訊傳輸信息加密以保證 DNS 訊息的安全,特別是響應(yīng)與更新的訊息數(shù)據(jù)。也就是說在DNS服務(wù)器之間進(jìn)行轄區(qū)傳送時所提供保護(hù)的機(jī)制,以確保傳輸數(shù)據(jù)不被竊取及監(jiān)聽。下面以BIND 9.21為例:
首先在開始設(shè)置,必須為主域名服務(wù)器(master DNS)和輔助域名( slave DNS) 進(jìn)行時間同步,否則會造成區(qū)帶傳輸?shù)氖 ?梢允褂胣tp或者rdate工具進(jìn)行服務(wù)器時間同步。
假設(shè)要限制yourdomain.com的主域到IP地址分別是172.20.15.100 (ns1.yourdomain. com) 和 172.20.15.123 (ns2.yourdomain.com). 的兩個輔助域名服務(wù)器之間進(jìn)行區(qū)帶傳輸。在此將詳述 TSIG 的實際操作,可以防止DNS服務(wù)器和黑客的DNS服務(wù)器之間不會發(fā)生IP欺騙。
步驟一:執(zhí)行 dnssec-keygen function 產(chǎn)生加密金鑰,一個為 public key 文件,另一個為 private key 文件:
產(chǎn)生加密金鑰:
dnssec-keygen -a hmac-md5 -b 128 -n HOST zone-xfr-key
該文件中公開金鑰(public key)是: Kzone-xfr-key.+157+08825.key;私有金鑰(private key)是Kzone-xfr-key.+157+08825.private。此時查看文件通常包括以下內(nèi)容:
以下為引用的內(nèi)容:
Private-key-format: v1.2
Algorithm: 157 (HMAC_MD5)
Key: YH8Onz5x0/twQnvYPyh1qg==
步驟二:使用TSIG 金鑰在主域名服務(wù)器和輔助域名服務(wù)器的設(shè)置文件named.conf設(shè)定:
以下為引用的內(nèi)容:
key zone-xfr-key {
algorithm hmac-md5;
secret “YH8Onz5x0/twQnvYPyh1qg==”;
};
步驟三:將下面的聲明加入服務(wù)器ns1.yourdomain.com的設(shè)置文件/etc/named.conf中:
以下為引用的內(nèi)容:
server 172.20.15.123 {
keys { zone-xfr-key; };
};
步驟四:將下面的聲明加入服務(wù)器ns2.yourdomain.com的設(shè)置文件/etc/named.conf中:
以下為引用的內(nèi)容:
server 172.20.15.100 {
keys { zone-xfr-key; };
};
步驟五:為主域名服務(wù)器ns1.yourdomain.com的yourdomain.com區(qū)帶的設(shè)置文件/etc/named.conf寫入以下配置:
以下為引用的內(nèi)容:
acl “dns-ip-list” {
172.20.15.100;
172.20.15.123;
};
key zone-xfr-key {
algorithm hmac-md5;
secret “YH8Onz5x0/twQnvYPyh1qg==”;
};
server 172.20.15.123 {
keys { zone-xfr-key; };
};
zone “yourdomain.com” {
type master;
file “mydomain.dns”;
allow-query { any; };
allow-update { none; };
allow-transfer { dns-ip-list; };
};
步驟六:為輔助域名服務(wù)器ns2.yourdomain.com的yourdomain.com區(qū)帶的設(shè)置文件/etc/named.conf寫入以下配置:
以下為引用的內(nèi)容:
acl “dns-ip-list” {
172.20.15.100;
172.20.15.123;
};
key zone-xfr-key {
algorithm hmac-md5;
secret “YH8Onz5x0/twQnvYPyh1qg==”;
};
server 172.20.15.100 {
keys { zone-xfr-key; };
};
zone “yourdomain.com” {
type master;
file “mydomain.dns”;
allow-query { any; };
allow-update { none; };
allow-transfer { dns-ip-list; };
};
步驟七:再次重新啟動主域名服務(wù)器和輔助域名服務(wù)器。
說明為確保安全性的問題,TSIG 可確認(rèn) DNS 之信息是由某特定 DNS Server 所提供。通常TSIG 應(yīng)用于域名服務(wù)器間的區(qū)帶傳輸,確保數(shù)據(jù)不會被篡改或產(chǎn)生 dns spoofing。
步驟八:
驗證TSIG技術(shù)是否生效,步驟如下:
刪除輔助域名服務(wù)器(ns2.yourdomain.com)的區(qū)帶文件。
重新啟動輔助域名服務(wù)器。
檢查輔助域名服務(wù)器的區(qū)帶文件是否自動建立。輔助域名服務(wù)器用來從主服務(wù)器中轉(zhuǎn)移一整套域信息。區(qū)帶文件是從主服務(wù)器轉(zhuǎn)移出的,作為磁盤文件保存在輔助域名服務(wù)器中。
注意事項:如果為域名服務(wù)器配置了TSIG,那么要確保普通用戶不能接觸主域名服務(wù)器和輔助域名服務(wù)器的配置文件/etc/named.conf。另外也不能修改兩臺服務(wù)器的共享的TSIG密鑰。
2、SIG0 技術(shù)簡介
SIG0是一九九九年三月 由 IBM公司的D. Eastlake 提出成為標(biāo)準(zhǔn)。其是利用公開金鑰機(jī)制為轄區(qū)資料進(jìn)行數(shù)字簽章的動作,以保證每筆傳輸?shù)?source record 具有可驗證性與不可否認(rèn)性。實際上 SIG0 才是防止 DNS Spoofing 發(fā)生最主要的技術(shù),SIG0 是使用公開金鑰加密法,讓轄區(qū)管理者為其轄區(qū)數(shù)據(jù)加上數(shù)字簽章,由此證明轄區(qū)資料的可信賴性。除此之外,SIG0 保有是否選擇認(rèn)證機(jī)制的彈性,以及可靈活地配合自訂的安全機(jī)制。
三、DNSSEC技術(shù)
DNS欺騙是對目前網(wǎng)絡(luò)應(yīng)用,最大的沖擊在于冒名者借著提供假的網(wǎng)域名稱與網(wǎng)址的對照信息,可以將不知情用戶的網(wǎng)頁聯(lián)機(jī),導(dǎo)引到錯誤的網(wǎng)站,原本屬于用戶的電子郵件也可能因而遺失,甚而進(jìn)一步空開成為阻斷服務(wù)的攻擊。所幸,目前較新的 BIND 版本,針對這一類問題,已經(jīng)有加入許多改進(jìn)的方法,不過真正的解決方案,則有賴封包認(rèn)證機(jī)制的建立與推動。DNSSEC就是試圖解決這一類問題的全新機(jī)制, BIND9 已經(jīng)完整加以設(shè)計并完成。DNSSEC引入兩個全新的資源記錄類型:KEY和SIG,允許客戶端和域名服務(wù)器對任何DNS數(shù)據(jù)的來源進(jìn)行密碼驗證。
DNSSEC主要依靠公鑰技術(shù)對于包含在DNS中的信息創(chuàng)建密碼簽名。密碼簽名通過計算出一個密碼hash數(shù)來提供DNS中數(shù)據(jù)的完整性,并將該hash 數(shù)封裝進(jìn)行保護(hù)。私/公鑰對中的私鑰用來封裝hash數(shù),然后可以用公鑰把hash數(shù)譯出來。如果這個譯出的hash值匹配接收者剛剛計算出來的hash樹,那么表明數(shù)據(jù)是完整的。不管譯出來的hash數(shù)和計算出來的hash數(shù)是否匹配,對于密碼簽名這種認(rèn)證方式都是絕對正確的,因為公鑰僅僅用于解密合法的hash數(shù),所以只有擁有私鑰的擁有者可以加密這些信息。下面我們看看如何為名稱是domain.com的域建立DESSEC配置。
步驟一:為 domain.com 域建立一對密鑰。在 /var/named 目錄下,使用命令: “/usr/local/sbin/dnssec-keygen -a DSA -b 768 -n ZONE domain.com” 這個命令產(chǎn)生一對長度768位DSA算法的私有密鑰(Kdomain.com.+003+29462.private)和公共密鑰(Kdomain.com.+003+29462.key)。其中29462稱作密鑰標(biāo)簽( key tag)。
步驟二:使用命令:“ /usr/local/sbin/dnssec-makekeyset -t 3600 -e now+30 Kdomain.com.+003+29462“建立一個密鑰集合。該命令以3,600 seconds 的生存時間(time-to-live)建立密鑰集合,有效期限三十天,并且創(chuàng)建一個文件:domain.com.keyset。
步驟三:使用命令“ /usr/local/sbin/dnssec-signkey domain.com.keyset Kdomain.com.+003+29462 “為密鑰集合簽字。然后建立一個簽字文件:domain.com.signedkey。
步驟四:使用命令 “/usr/local/sbin/dnssec-signzone -o domain.com domain.db command, where domain.db ”為區(qū)帶文件簽字。然后建立一個簽字文件: domain.db.signed。
步驟五:替換 配置文件/etc/named.conf中 domain.com的區(qū)帶文件部分。清單如下:
以下為引用的內(nèi)容:
zone “domain.com” IN {
type master;
file “domain.db.signed”;
allow-update { none; }; };
從上面的配置過程我們也看到DNSSEC的一些缺點:
除了配置負(fù)責(zé),還有標(biāo)記和校驗DNS數(shù)據(jù)顯然會產(chǎn)生額外的開銷,從而影響網(wǎng)絡(luò)和服務(wù)器的性能。簽名的數(shù)據(jù)量很大,這就加重了域名服務(wù)器對互聯(lián)網(wǎng)骨干以及一些非骨干連接的負(fù)擔(dān)。產(chǎn)生和校驗簽名也占用了很多中央處理器的時間。有時候,不得不把單處理器的DNS服務(wù)器換成多處理器的DNSSEC服務(wù)器。簽名和密鑰占用的磁盤空間和RAM容量達(dá)到它們表示的數(shù)據(jù)所占容量的10倍。同時數(shù)據(jù)庫和管理系統(tǒng)也不得不進(jìn)行相應(yīng)的升級和擴(kuò)容。
總結(jié):域名系統(tǒng)的配置和管理是一項比較復(fù)雜和繁瑣的系統(tǒng)管理任務(wù),它對整個網(wǎng)絡(luò)的運(yùn)行影響極大。為了保證DNS服務(wù)器的安全運(yùn)行,不僅要使用可靠的服務(wù)器軟件版本,而且要對DNS服務(wù)器進(jìn)行安全配置,本文介紹了TISG和DNSSEC技術(shù)有助于減少 DNS Spoofing 攻擊的發(fā)生,增進(jìn)網(wǎng)絡(luò)使用者對因特網(wǎng)使用的信任,杜絕信息系統(tǒng)遭受入侵與攻擊的產(chǎn)生。