域名系统(domain name system,简称 DNS)作为互联网的重要基础设施,其主要功能是提供域名解析服务。随着互联网的发展,DNS 也被赋予了其他的应用功能,如 DKMI(domain keys identified mail)标准、负载均衡、域名封锁等方面。互联网的大多数应用都需要依赖 DNS 才能正常工作,一旦 DNS 系统受到攻击,整个互联网将会受到严重影响。
目前实际使用的 DNS 协议主要遵循 RFC 1034 和 RFC 1035 规范,为了弥补 DNS 协议缺乏信息校验的不足,RFC 4034 引入了基于 PKI 技术的 DNSSEC 增强方案。然而,DNS 系统的安全威胁并未因此减弱。近年来的各种 DNS 安全事件,不仅对被攻击的组织和公司造成严重的经济损失,也给整个互联网的稳定性带来严重的影响。随着一些新型攻击方法的出现,DNS 的安全环境变得更加严峻,例如:利用物联网设备对 DNS 系统发起DDoS(distributed denial-of-attack)攻击、利用 DNS 报文分析用户的隐私信息、利用 DNS 建立隧道攻击。
针对 DNS 的各种安全威胁,截止至 2017 年 12 月,有关 DNS 的 RFC 文档多达 256 篇。国内外学者针对 DNS 安全问题提出了许多新颖的思路。本文针对近 10 年来 DNS 安全威胁与防护相关研究工作进行了分析和综述,总结了 DNS 威胁的种类和原因,并侧重介绍 DNS 在协议、系统实现、诊断监测、隐私保护、体系结构方面的安全增强方法和研究进展,并结合区块链技术的不易篡改、多方维护、可溯源等特点,列举利用区块链技术设计去中心的域名系统的相关研究,并希望为未来的研究工作提供帮助和参考。
本文第 1 节介绍 DNS 的安全现状。第 2 节对 DNS 的威胁进行分类,总结归纳 DNS 系统脆弱性的根本原因。第 3 节针对 DNS 系统脆弱性,列举各种安全增强方案,并进行比较分析。第 4 节对 DNS 安全研究工作提出热点和展望。最后给出简要总结。
一、DNS 安全现状
随着网络技术的不断发展,攻击 DNS 的技术也变得更加丰富,手段更加复杂。美国 Coleman Parkes 公司调查了来自北美、亚太、欧洲共 1000 个组织的 DNS 系统安全状况后发现,在 2017 年有 76%的组织受到了 DNS攻击,在这些攻击中,恶意软件攻击占 35%、DDoS 攻击占 32%、缓存投毒占 23%、DNS 隧道占 22%、零日漏洞攻击占 19%。超过 90%的恶意软件使用 DNS 协议与恶意软件的命令和控制(command and control,简称 C&C)中心保持联系,以此获取攻击命令、下载软件更新、获取隐私信息。DDoS 攻击也变得越来越复杂,攻击者使用广泛的技术手段,从基本的方法(如:放大/转发、泛洪),到涉及僵尸网络、连锁反应等高度复杂的攻击,这些攻击可能来自内部或外部 DNS 服务器。根据 Arbor Network 发布的调查报告显示,有 84% 的反射和放大攻击采用 DNS 协议,是所有调查协议中占比最高的。此外,报告中还显示 DNS 的服务器是 DDoS 攻击的首要目标,有78%的 DDoS 攻击对 DNS 的应用层服务进行攻击。
攻击 DNS 有利可图,商业利益驱动促使攻击行为加剧。有攻击者通过攻击 DNS 服务器,造成企业服务中断,损坏企业信誉,造成用户流失。如 2016 年 10 月在 Dyn 域名服务供应商受到大规模 DDoS 攻击之后,Dyn 公司失去了 8% 的域名客户。DNS 攻击还会造成关键数据泄露和经济损失。根据 EfficientIP 的调查报告,在调查的 1000个公司和组织中,有三分之一的公司因 DNS 攻击数据被盗,这些数据中 16% 是用户敏感信息,15%是知识产权信息。此外,DNS 攻击每年会给受害公司造成 200 万美元的经济损失。
DNS 攻击技术越来越丰富,但是与之应对的检测技术则比较匮乏。据 Cisco 的研究报告显示,攻击者通过恶意软件,在 24 小时内可以控制超过 10 万台物联网设备,通过这些物联网设备可以发动大规模的 DDoS 攻击。因为这些恶意软件被存储在受害设备的内存中,设备关机后就自动清除,很难收集恶意程序的样本,服务器软件的零日漏洞存在使检测难度增大,有 83%的公司没有及时安装安全补丁,导致攻击效果进一步加剧。
二、安全威胁分析
DNS 主要由 3 部分组成,分别是:(1) 域名空间(domain name space)和资源记录(resource record),包括树形结构的命名空间和与名称相关联的数据;(2) 名字服务器(name server),包含域树结构信息和设置信息的服务器程序;(3) 解析器(resolver),响应请求并从名称服务器获取查询结果。DNS 通常提供两种域名解析方式,分别是:递归式查询和迭代式查询。在通常情况下,应用系统主机向本地域名服务器请求域名解析时,采用递归查询。在递归查询模式下,本地域名服务器直接向应用系统主机返回域名解析结果。当地域名服务器需要向根域名服务器请求域名解析服务时,采用迭代查询。在迭代查询模式下,本地域名服务器需要与多台域名服务器交互,直至返回域名解析结果。DNS 的基本结构和工作原理如图 1 所示。
DNS 安全防护技术研究综述 PDF 完整版下载(文字可复制):
https://www.aliyundrive.com/s/y4RdjEcKTjs 提取码: 63xx