Linux应用使用TSIG和DNSSEC加固域名服务器

一、DNS服务器的重要性

DNS是因特网建设的基础，几乎所有的网络应用，都必须依赖DNS系统做网址查询的指引动作。如果DNS系统运作不正常，即使Web服务器都完好如初，防火墙系统都善尽其职，相关的后端应用服务器以及数据库系统运作正常，因为无法在期限时间内查得到网址，将会导致电子邮件无法传递，想要使用网域名称去连接某个网页，也会因查不出网络地址，以致联机失败。2001年1月24日，美国微软公司所管理的相关网络系统，遭受网络黑客的拒绝服务攻击后导致全球各地的用户接近24小时的时间无法连上该公司相关的网站，造成该公司相当严重的商业损失。根据以往的经验之中，网络攻击的对象多数主要集中在控制网络路由的设备(路由器，防火墙等)和各类应用服务器(Web、邮件等)。因此，目前多数的网络系统安全保护，通常都集中在路由设备和应用服务器本身。然而，这一次的微软公司被攻击事件，与以往其它网站攻击事件的最大不同，就在于这一次被攻击的对象是DNS服务器而不是WEB服务器本身。这次的事件宣告另一种新型的网络攻击类别，往后将可能成为常态。

互联网上DNS服务器的事实标准就是ISC（http://www.isc.org/ ）公司的Berkeley Internert Name Domain(BIND)，它具有广泛的使用基础，互联网上的绝大多数DNS服务器都是基于这个软件的。Netcraft在域名服务器上的统计(http://www.netcraft.com/ )显示 2003年第二季度进行的一个调查发现，在互联网上运行着的DNS服务器中，ISC的BIND占据了95%的市场份额。互联网是由很多不可见的基础构件组成。这其中就包含了DNS，它给用户提供了易于记忆的机器名称(比如sina.com)，并且将它们翻译成数字地址的形式。对于那些用于公共服务的机器一般还提供“反向查询”的功能，这种功能可以把数字转换成名字。由于历史的原因，这种功能使用的是被隐藏的“in-addr.arpa”域。对in-addr域的调查，可以让我们更加了解整个Internet是如何运作的。Bill Manning对in-addr域的调查发现，有95%的域名服务器(2的2000次方个服务器中)使用的是各种版本的“bind”。这其中包括了所有的DNS根服务器，而这些根服务器对整个服务器的正常运转起着至关重要的作用。如何能加强确保 DNS 系统的运作正常， 或者当DNS系统在遭受网络攻击时候， 能够让管理者及早发现是日益重要的系统安全的课题。首先我们要了解DNS服务面临的安全问题。

二、DNS服务面临的安全问题：

DNS服务面临的安全问题主要包括：DNS欺骗（DNS Spoffing）、拒绝服务（Denial of service，DoS）攻击、分布式拒绝服务攻击和缓冲区漏洞溢出攻击（Buffer Overflow）。

1、DNS欺骗

DNS欺骗即域名信息欺骗是最常见的DNS安全问题。当一个DNS服务器掉入陷阱，使用了来自一个恶意DNS服务器的错误信息，那么该DNS服务器就被欺骗了。DNS欺骗会使那些易受攻击的DNS服务器产生许多安全问题，例如：将用户引导到错误的互联网站点，或者发送一个电子邮件到一个未经授权的邮件服务器。网络攻击者通常通过三种方法进行DNS欺骗。图1是一个典型的DNS欺骗的示意图。
 

（1）缓存感染

黑客会熟练的使用DNS请求，将数据放入一个没有设防的DNS服务器的缓存当中。这些缓存信息会在客户进行DNS访问时返回给客户，从而将客户引导到入侵者所设置的运行木马的Web服务器或邮件服务器上，然后黑客从这些服务器上获取用户信息。

（2）DNS信息劫持

入侵者通过监听客户端和DNS服务器的对话，通过猜测服务器响应给客户端的DNS查询ID。每个DNS报文包括一个相关联的16位ID号，DNS服务器根据这个ID号获取请求源位置。黑客在DNS服务器之前将虚假的响应交给用户，从而欺骗客户端去访问恶意的网站。

（3）DNS复位定向

攻击者能够将DNS名称查询复位向到恶意DNS服务器。这样攻击者可以获得DNS服务器的写权限。

2、拒绝服务攻击

黑客主要利用一些DNS软件的漏洞，如在BIND 9版本（版本9.2.0以前的 9系列）如果有人向运行BIND的设备发送特定的DNS数据包请求，BIND就会自动关闭。攻击者只能使BIND关闭，而无法在服务器上执行任意命令。如果得不到DNS服务，那么就会产生一场灾难：由于网址不能解析为IP地址，用户将无方访问互联网。这样，DNS产生的问题就好像是互联网本身所产生的问题，这将导致大量的混乱。

3、分布式拒绝服务攻击

DDOS 攻击通过使用攻击者控制的几十台或几百台计算机攻击一台主机，使得服务拒绝攻击更难以防范：使服务拒绝攻击更难以通过阻塞单一攻击源主机的数据流，来防范服务拒绝攻击。Syn Flood是针对DNS服务器最常见的分布式拒绝服务攻击。

4、缓冲区漏洞

Bind软件的缺省设置是允许主机间进行区域传输（zone transfer）。区域传输主要用于主域名服务器与辅域名服务器之间的数据同步，使辅域名服务器可以从主域名服务器获得新的数据信息。一旦起用区域传输而不做任何限制，很可能会造成信息泄漏，黑客将可以获得整个授权区域内的所有主机的信息，判断主机功能及安全性，从中发现目标进行攻击。

应对以上这些安全问题有两个比较有效方法：TSIG和DNSSEC技术。

二、TSIG技术

DNS的事务签名分为 TSIG (Transaction Signatures) 与 SIG0 (SIGnature)两种。该如何选择呢? 首先，要先判断客户端与服务器间的信任关系为何，若是可信任者，可选择对称式的 TSIG。TSIG 只有一组密码，并无公开/私密金钥之分；若是非完全信任者，可选择非对称式金钥的 SIG0，虽有公开/私密金钥之分，相对的，设定上也较复杂。至于要选用哪种较适合，就由自己来判断。通常区带传输是主域名服务器到辅助域名服务器。通常在主域名服务器配置文件/etc/named.conf的dns-ip-list的访问控制列表（ACL，access control list）会列出一些IP地址，它们只能为主域进行传输区带信息。一个典型例子如下：

以下为引用的内容：
acl “dns-ip-list” {
172.20.15.100;
172.20.15.123;
};
zone “yourdomain.com” {

评论总数：1 条 [ 查看全部 ] 网友评论