alexhappy — Thu, 04 Jun 2009 06:15:00 GMT

此篇文章��{载！

一、DNS服务器的重要�?/p>

DNS是因特网��的基��Q�几乎所有的�|�络应用�Q�都必须依赖DNS�pȝ��做网址查询的指引动作。如果DNS�pȝ��q�作不正常，即��Web服务器都完好如初�Q�防火墙�pȝ��都善��其职，相关的后端应用服务器以及数据库系�l�运作正常，因�ؓ无法在期限时间内查得到网址�Q�将会导致电子邮件无法传递，惌��使用�|�域名称去连接某个网��，也会因查不出�|�络地址�Q�以致联机失败�?001�q?�?4日，��国微��Y公司所��理的相关网�l�系�l�，遭受�|�络黑客的拒�l�服务攻��d��D��全球各地的用��h��q?4��时的时间无法连上该公司相关的网站，造成该公司相当严重的商业损失。根据以往的经验之中，�|�络��d��的对象多��C��要集中在控制�|�络路由的设�?路由器，防火墙等)和各�c�d��用服务器(Web、邮件等)。因此，目前多数的网�l�系�l�安全保护，通常都集中在路由讑֤�和应用服务器本��n。然而，�q�一�ơ的微��Y公司被攻��M��Ӟ��与以往其它�|�站��d��事�g的最大不同，��在于这一�ơ被��d��的对象是DNS服务器而不是WEB服务器本�w�。这�ơ的事�g宣告另一�U�新型的�|�络��d��c�d��Q�往后将可能成�ؓ常态�?/p>

互联�|�上DNS服务器的事实标准��是ISC�Q?a >http://www.isc.org/ �Q�公司的Berkeley Internert Name Domain(BIND)�Q�它��h��q�泛的��用基��Q�互联网上的�l�大多数DNS服务器都是基于这个��Y件的。Netcraft在域名服务器上的�l�计(http://www.netcraft.com/ )昄�� 2003�q�第二季度进行的一个调查发玎ͼ�在互联网上运行着的DNS服务器中�Q�ISC的BIND占据�?5%的市��Z��额。互联网是由很多不可见的基础构�g�l�成。这其中��包含了DNS�Q�它�l�用��h��供了易于记忆的机器名�U?比如sina.com)�Q��ƈ且将它们��译成数字地址的�Ş式。对于那些用于公共服务的机器一般还提供“反向查询”的功能，�q�种功能可以把数字�{换成名字。由于历史的原因�Q�这�U�功能��用的是被隐藏�?#8220;in-addr.arpa”域。对in-addr域的调查�Q�可以让我们更加了解整个Internet是如何运作的。Bill Manning对in-addr域的调查发现�Q�有95%的域名服务器(2�?000�ơ方个服务器�?使用的是各种版本�?#8220;bind”。这其中包括了所有的DNS�Ҏ��务器�Q�而这些根服务器对整个服务器的正常�q��{��L��臛_��重要的作用。如何能加强��保 DNS �pȝ��的运作正常，或者当DNS�pȝ��在遭受网�l�攻��L��候，能够让管理者及早发现是日益重要的系�l�安全的��N��。首先我们要了解DNS服务面��的安全问题�?/p>

二、DNS服务面��的安全问题：

DNS服务面��的安全问题主要包括：DNS�ƺ骗�Q�DNS Spoffing�Q�、拒�l�服务（Denial of service�Q�DoS�Q�攻凅R��分布式拒绝服务��d��和缓冲区漏洞溢出��d��Q�Buffer Overflow�Q��?/p>

1、DNS�ƺ骗

DNS�ƺ骗卛_��名信息欺骗是最常见的DNS安全问题。当一个DNS服务器掉入陷阱，使用了来自一个恶意DNS服务器的错误信息�Q�那么该DNS服务器就被欺骗了。DNS�ƺ骗会��那些易受��d��的DNS服务器��生许多安全问题，例如�Q�将用户引导到错误的互联�|�站点，或者发送一个电子邮件到一个未�l�授权的邮�g服务器。网�l�攻击者通常通过三种�Ҏ��q�行DNS�ƺ骗。图1是一个典型的DNS�ƺ骗的示意图�?/p>

�? 典型DNS�ƺ骗�q�程

�Q?�Q�缓存感�?/p>

黑客会熟�l�的使用DNS��h��Q�将数据攑օ�一个没有设防的DNS服务器的�~�存当中。这些缓存信息会在客戯��行DNS讉K��时返回给客户�Q�从而将客户引导到入侵者所讄��的运行木马的Web服务器或邮�g服务器上�Q�然后黑客从�q�些服务器上获取用户信息�?/p>

�Q?�Q�DNS信息劫持

入��R者通过监听客户端和DNS服务器的对话�Q�通过猜测服务器响应给客户端的DNS查询ID。每个DNS报文包括一个相兌��?6位ID��P��DNS服务器根据这个ID可��取请求源位置。黑客在DNS服务器之前将虚假的响应交�l�用��P��从而欺骗客��L��去访问恶意的�|�站�?/p>

�Q?�Q�DNS复位定向

��d��者能够将DNS名称查询复位向到恶意DNS服务器。这��h��击者可以获得DNS服务器的写权限�?/p>

2、拒�l�服务攻�?/p>

黑客主要利用一些DNS软�g的漏�z�，如在BIND 9版本�Q�版�?.2.0以前�?9�p�d��Q�如果有人向�q�行BIND的设备发送特定的DNS数据包请求，BIND��׃��自动关闭。攻击者只能��BIND关闭�Q�而无法在服务器上执行��L��命��o。如果得不到DNS服务�Q�那么就会��生一场灾难：�׃��|�址不能解析为IP地址�Q�用户将无方讉K��互联�|�。这��P��DNS产生的问题就好像是互联网本��n所产生的问题，�q�将��D��大量的�؜乱�?/p>

3、分布式拒绝服务��d��

DDOS ��d��通过使用��d��者控制的几十台或几百台计��机��d��一��C��机，使得服务拒绝��d��更难以防范：使服务拒�l�攻��L��难以通过��d��单一��d��源主机的数据��，来防范服务拒�l�攻凅R��Syn Flood是针对DNS服务器最常见的分布式拒绝服务��d��?/p>

4、缓冲区漏洞

Bind软�g的缺省设�|�是允许��L��间进行区域传输（zone transfer�Q�。区域传输主要用于主域名服务器与辅域名服务器之间的数据同步，使辅域名服务器可以从��d��名服务器获得新的数据信息。一旦�v用区域传输而不做�Q何限�Ӟ��很可能会造成信息泄漏�Q�黑客将可以获得整个授权区域内的所有主机的信息�Q�判断主机功能及安全性，从中发现目标�q�行��d��?/p>

应对以上�q�些安全问题有两个比较有效方法：TSIG和DNSSEC技术�?/p>

二、TSIG技�?/p>

DNS的事务签名分�?TSIG (Transaction Signatures) �?SIG0 (SIGnature)两种。该如何选择�? 首先�Q�要先判断客��L��与服务器间的信�Q关系��Z��Q�若是可信�Q者，可选择对称式的 TSIG。TSIG 只有一�l�密码，�q�无公开/�U�密金钥之分�Q�若是非完全信�Q者，可选择非对�U�式金钥�?SIG0�Q�虽有公开/�U�密金钥之分�Q�相对的�Q�设定上也较复杂。至于要选用哪种较适合�Q�就��p��己来判断。通常区带传输是主域名服务器到辅助域名服务器。通常在主域名服务器配�|�文�?etc/named.conf的dns-ip-list的访问控制列表（ACL�Q�access control list�Q�会列出一些IP地址�Q�它们只能�ؓ��d��q�行传输区带信息。一个典型例子如下：
以下为引用的内容�Q?br>acl “dns-ip-list” {
172.20.15.100;
172.20.15.123;
};
zone “yourdomain.com” {
type master;
file “mydomain.dns”;
allow-query { any; };
allow-update { none; };
allow-transfer { dns-ip-list; }; };

都是黑客会利用IP�ƺ骗一个DNS服务器，�q��其进行非法区带传输。TSIG技术可以进行有效防范�?br>
1、TSIG技�?/p>

交易�{�� (TSIGRFC 2845)�Q�是��Z��保护 DNS安全而发展的。从BIND 8.2版本开始引�?TSIG 机制�Q�其验证 DNS 讯息方式是��用共享金�?Secret Key) 及单向杂凑函�?One-way hash function) 来提供讯息的验证和数据的完整性。主要针对区带传输（ZONE Transfer�Q�进行保护的作用�Q�利用密码学�~�码方式为通讯传输信息加密以保�?DNS 讯息的安全，特别是响应与更新的讯息数据。也��是说在DNS服务器之间进行辖��Z��送时所提供保护的机�Ӟ��以确保传输数据不被窃取及监听。下面以BIND 9.21��Z��Q?/p>

首先在开始设�|�，必须��Z��域名服务器（master DNS�Q�和辅助域名�Q?slave DNS�Q?�q�行旉��同步�Q�否则会造成区带传输的失败。可以��用ntp或者rdate工具�q�行服务器时间同步�?/p>

假设要限制yourdomain.com的主域到IP地址分别�?72.20.15.100 (ns1.yourdomain. com) �?172.20.15.123 (ns2.yourdomain.com). 的两个辅助域名服务器之间�q�行区带传输。在此将详述 TSIG 的实际操作，可以防止DNS服务器和黑客的DNS服务器之间不会发生IP�ƺ骗�?/p>

步骤一�Q�执�?dnssec-keygen function 产生加密金钥�Q�一个�ؓ public key 文�g�Q�另一个�ؓ private key 文�g�Q?/p>

产生加密金钥�Q?/p>

dnssec-keygen -a hmac-md5 -b 128 -n HOST zone-xfr-key

该文件中公开金钥�Q�public key�Q�是�Q?Kzone-xfr-key.+157+08825.key�Q�私有金钥（private key�Q�是Kzone-xfr-key.+157+08825.private。此时查看文仉��常包括以下内容�Q?br>以下为引用的内容�Q?br>Private-key-format: v1.2
Algorithm: 157 (HMAC_MD5)
Key: YH8Onz5x0/twQnvYPyh1qg==

步骤二：使用TSIG 金钥在主域名服务器和辅助域名服务器的讄��文�gnamed.conf讑֮��Q?br>以下为引用的内容�Q?br>key zone-xfr-key {
algorithm hmac-md5;
secret “YH8Onz5x0/twQnvYPyh1qg==”;
};

步骤三：��下面的声明加入服务器ns1.yourdomain.com的设�|�文�?etc/named.conf中：
以下为引用的内容�Q?br>server 172.20.15.123 {
keys { zone-xfr-key; };
};

步骤四：��下面的声明加入服务器ns2.yourdomain.com的设�|�文�?etc/named.conf中：
以下为引用的内容�Q?br>server 172.20.15.100 {
keys { zone-xfr-key; };
};

步骤五：��Z��域名服务器ns1.yourdomain.com的yourdomain.com区带的设�|�文�?etc/named.conf写入以下配置�Q?br>以下为引用的内容�Q?br>acl “dns-ip-list” {
172.20.15.100;
172.20.15.123;
};
key zone-xfr-key {
algorithm hmac-md5;
secret “YH8Onz5x0/twQnvYPyh1qg==”;
};
server 172.20.15.123 {
keys { zone-xfr-key; };
};
zone “yourdomain.com” {
type master;
file “mydomain.dns”;
allow-query { any; };
allow-update { none; };
allow-transfer { dns-ip-list; };
};

步骤六：��助域名服务器ns2.yourdomain.com的yourdomain.com区带的设�|�文�?etc/named.conf写入以下配置�Q?br>以下为引用的内容�Q?br>acl “dns-ip-list” {
172.20.15.100;
172.20.15.123;
};
key zone-xfr-key {
algorithm hmac-md5;
secret “YH8Onz5x0/twQnvYPyh1qg==”;
};
server 172.20.15.100 {
keys { zone-xfr-key; };
};
zone “yourdomain.com” {
type master;
file “mydomain.dns”;
allow-query { any; };
allow-update { none; };
allow-transfer { dns-ip-list; };
};

步骤七：再次重新启动��d��名服务器和辅助域名服务器�?/p>

说明为确保安全性的问题�Q�TSIG 可确�?DNS 之信息是由某特定 DNS Server 所提供。通常TSIG 应用于域名服务器间的区带传输�Q�确保数据不会被��改或��?dns spoofing�?/p>

步骤八：

验证TSIG技术是否生效，步骤如下�Q?/p>

删除辅助域名服务�?ns2.yourdomain.com)的区带文件�?/p>

重新启动辅助域名服务器�?/p>

��查辅助域名服务器的区带文件是否自动徏立。辅助域名服务器用来从主服务器中转移一整套域信息。区带文件是从主服务器�{�U�d��的，作�ؓ��盘文�g保存在辅助域名服务器中�?/p>

注意事项�Q�如果�ؓ域名服务器配�|�了TSIG�Q�那么要��保普通用户不能接触主域名服务器和辅助域名服务器的配置文�g/etc/named.conf。另外也不能修改两台服务器的�׃�n的TSIG密钥�?/p>

2、SIG0 技术简�?/p>

SIG0是一九九九年三月 �?IBM公司的D. Eastlake 提出成�ؓ标准。其是利用公开金钥机制��料进行数字签章的动作�Q�以保证每笔传输�?source record ��h��可验证性与不可否认性。实际上 SIG0 才是防止 DNS Spoofing 发生最主要的技术，SIG0 是��用公开金钥加密法，让辖区管理者�ؓ其辖区数据加上数字签章，由此证明辖区资料的可信赖性。除此之外，SIG0 保有是否选择认证机制的弹性，以及可灵�z�d��配合自订的安全机制�?/p>

三、DNSSEC技�?/p>

DNS�ƺ骗是对目前�|�络应用�Q�最大的冲击在于冒名者借着提供假的�|�域名称与网址的对照信息，可以��不知情用户的网��联机，导引到错误的�|�站�Q�原本属于用��L��电子邮�g也可能因而遗失，甚而进一步空开成�ؓ��L��服务的攻凅R��所�q�，目前较新�?BIND 版本�Q�针对这一�c�问题，已经有加入许多改�q�的�Ҏ��Q�不�q�真正的解决�Ҏ��Q�则有赖��包认证机制的徏立与推动。DNSSEC��是试图解决�q�一�c�问题的全新机制�Q?BIND9 已经完整加以设计�q�完成。DNSSEC引入两个全新的资源记录类型：KEY和SIG�Q�允许客��L��和域名服务器对�Q何DNS数据的来源进行密码验证�?/p>

DNSSEC主要依靠公钥技术对于包含在DNS中的信息创徏密码�{�֐�。密码签名通过计算��Z��个密码hash数来提供DNS中数据的完整性，�q�将该hash 数封装进行保护。私/公钥对中的私钥用来封装hash敎ͼ�然后可以用公钥把hash数译出来。如果这个译出的hash值匹配接收者刚刚计��出来的hash树，那么表明数据是完整的。不��译出来的hash数和计算出来的hash数是否匹配，对于密码�{�֐��q�种认证方式都是�l�对正确的，因�ؓ公钥仅仅用于解密合法的hash敎ͼ�所以只有拥有私钥的拥有者可以加密这些信息。下面我们看看如何�ؓ名称是domain.com的域建立DESSEC配置�?/p>

步骤一�Q��ؓ domain.com 域徏立一对密钥。在 /var/named 目录下，使用命��o�Q?“/usr/local/sbin/dnssec-keygen -a DSA -b 768 -n ZONE domain.com” �q�个命��o产生一寚w��?68位DSA��法的私有密钥（Kdomain.com.+003+29462.private�Q�和公共密钥�Q�Kdomain.com.+003+29462.key�Q�。其�?9462�U�C��密钥标签�Q?key tag�Q��?

步骤二：使用命��o�Q?#8220; /usr/local/sbin/dnssec-makekeyset -t 3600 -e now+30 Kdomain.com.+003+29462“建立一个密钥集合。该命��o�?�Q?00 seconds 的生存时��_��time-to-live�Q�徏立密钥集合，有效期限三十天，�q�且创徏一个文�Ӟ��domain.com.keyset�?/p>

步骤三：使用命��o“ /usr/local/sbin/dnssec-signkey domain.com.keyset Kdomain.com.+003+29462 “为密钥集合签字。然后徏立一个签字文�Ӟ��domain.com.signedkey�?/p>

步骤四：使用命��o “/usr/local/sbin/dnssec-signzone -o domain.com domain.db command�Q?where domain.db ”为区带文件签字。然后徏立一个签字文�Ӟ�� domain.db.signed�?/p>

步骤五：替换配置文�g/etc/named.conf�?domain.com的区带文仉��分。清单如下：
以下为引用的内容�Q?br>zone “domain.com” IN {
type master;
file “domain.db.signed”;
allow-update { none; }; };

从上面的配置�q�程我们也看到DNSSEC的一些缺点：

除了配置负责�Q�还有标记和校验DNS数据昄��会��生额外的开销�Q�从而媄响网�l�和服务器的性能。签名的数据量很大，�q�就加重了域名服务器对互联网骨干以及一些非骨干�q�接的负担。��生和校验�{�֐�也占用了很多中央处理器的旉��。有时候，不得不把单处理器的DNS服务器换成多处理器的DNSSEC服务器。签名和密钥占用的磁盘空间和RAM定w��辑ֈ�它们表示的数据所占容量的10倍。同时数据库和管理系�l�也不得不进行相应的升��和扩宏V�?/p>

�ȝ��Q�域名系�l�的配置和管理是一��Ҏ��较复杂和�J�琐的系�l�管理�Q务，它对整个�|�络的运行媄响极大。�ؓ了保证DNS服务器的安全�q�行�Q�不仅要使用可靠的服务器软�g版本�Q�而且要对DNS服务器进行安全配�|�，本文介绍了TISG和DNSSEC技术有助于减少 DNS Spoofing ��d��的发生，增进�|�络使用者对因特�|��用的信�Q�Q�杜�l�信息系�l�遭受入侵与��d��的��生�?/p>

alexhappy 2009-06-04 14:15 发表评论

久久久www,国产一区二区看久久,国产午夜精品麻豆