技术专家部
舒晓婉
DNS
IPv6_DNSv6安全性分析
DNS (Domain Name System )域名系统是支撑互联网运行的重要核心基础设施,因此DNS系统也成为互联网攻击的最主要目标。DNS安全意义重大,一旦发生重大DNS攻击事件,将可能会影响大范围互联网的正常运行,并给社会带来巨大经济损失。随着我国推进IPv6规模部署行动计划快速实施,目前我国已经有超过5亿用户获得IPv6地址,开始使用IPv6网络服务。中国互联网正在向IPv6时代全面演进。在这个阶段,必须要高度重视DNS安全问题。
DNS
DNS简述
DNS协议在IPv6中并没有对协议报文进行改动,只是增加了域名对IPv6地址的映射支持。基于双协议栈DNS的主要功能是通过域名和IP地址之间的相互对应关系,来精确定位网络资源,即根据域名查询IP地址,反之亦然。
IPv4地址正向解析的资源记录是“A”记录,IPv6地址解析是“AAAA”。在DNS服务器中同时存在“A”记录和“AAAA”记录。由于节点既可以处理IPv4协议,也可以处理IPv6协议,无论DNS服务器回答“A”记录还是“AAAA”记录,都可以进行通信。
DNS服务器支持双栈,节点既可以通过IPv4协议,也可以通过IPv6协议来访问DNS服务器节点,以获取域名对应的“A”记录和“AAAA”记录。
DNS
DNSv6面临的安全威胁
由于协议几乎没有改动,DNS在IPv6环境中面临的安全问题和IPv4没有太大差别,但由于IPv6地址太长,不容易记忆,导致在企业内部更多需要使用域名来标识常用网站,DNS服务器的重要性得到了提升,对其部署的安全性也应作更全面的考虑。下面列举DNS面临的主要安全威胁。
Dos攻击
目前网上大多数的DNS服务器的Dos攻击都是由攻击者控制僵尸网络利用真实DNS协议栈向DNS服务器发起大量域名查询请求,导致DNS服务器无法向合法节点提供域名解析服务。攻击的类型主要是Flood攻击和资源耗尽攻击,Flood攻击是发送海量DNS查询报文导致网络带宽耗尽,资源耗尽攻击是发送大量非法域名查询报文引起DNS服务器持续进行迭代查询,从而达到较少的攻击流量消耗大量服务器资源。
DNS欺骗
DNS欺骗是最常见的DNS安全问题之一。当一个DNS服务器由于自身的设计缺陷,接收了一个错误信息,那么就将做出错误的域名解析,从而引起众多安全问题,例如将用户引导到错误的互联网站点,甚至是一个钓鱼网站;又或者发送一个电子邮件到一个未经授权的邮件服务器。攻击者通常通过三种方法进行DNS欺骗:
缓存污染
攻击者采用特殊的DNS请求,将虚假信息放入DNS的缓存中
DNS信息劫持
攻击者监听DNS会话,猜测DNS服务器响应ID,抢先将虚假的响应提交给客户端
DNS重定向
将DNS名称查询重定向到恶意DNS服务器
DNS
解决方案
针对DNS的攻击防御,通常都是采用判断DNS请求流量阈值的方法来判断是否发生攻击,但是这种方法有一定局限性,第一是可能对热点域名产生的正常DNS请求流量超限的情况,产生误报,第二是攻击者引导到非法域名的流量较小,由于其流量未超限,会产生漏报。
因此在DNS防御中除了流量阈值,还应考虑域名黑白名单功能。迈普安全产品可根据黑白名单中的域名和IP映射关系创建可信域名库进行提取,对于可信域名映射可以给予一定的流量放宽,对于非可信域名映射可以采取严格限流策略或者阻断策略,对DNS攻击做有效防护。
撰稿:舒晓婉编辑:朱久磊审核:范 鹏