1 引言
随着互联网的飞速发展,域名系统DNS(Domain Name System)已成为互联网服务的重要基础设施,但它存在着严重的安全漏洞。特别是近年来,域名系统已成为公共互联网上恶意攻击的重要目标,此类攻击成功后引发的连锁后果也日益严重,给DNS和互联网带来了巨大损失。DNSSEC(DNS Security Extension,即DNS安全扩展),为DNS提供了安全扩展功能,支持对数据源及事务和请求的认证功能,从而在一定程度上遏制了针对域名系统的网络攻击。最近时期,国际上对DNSSEC的研究已成为一个热点问题,各个国家例如美国、俄罗斯、瑞典等,都在积极探索DNSSEC,并进行部署实施。我国国家域名“.CN”和“.中国”还未实施DNSSEC,且其他域名注册服务机构对DNSSEC的研究甚少。
本文在分析了DNS的主要安全漏洞后,详细介绍了DNSSEC的技术原理、实施过程和验证方法,并给出了DNSSEC全球部署状况及应用前景分析。
2 DNS主要安全问题
1983年,由牛津网络学院的Paul Mockapetris和Jon Postel启动了世界上第一台自动分发的域名服务系统DNS,这标志着DNS系统的诞生。正如互联网早期的许多协议一样,DNS协议在设计时并没有考虑到安全问题。所以,安全性在DNS中无法保证,事实证明DNS在其不断发展和应用过程中暴漏了许多安全漏洞,并出现了一些有针对性的DNS安全攻击。
其实早在1985年,贝尔实验室的一个人就发表了一篇文章指出DNS存在的安全漏洞,并给出了如何通过对DNS的攻击来控制一台主机操作的详细步骤,但当时处于对互联网安全的考虑,这篇文章在1995年后才被公开。2008年7月,美国IOActive网络安全公司著名的计算机安全研究专家Dan Kaminsky公布了DNS系统的一个非常严重的漏洞,该漏洞会导致攻击者轻松地伪造像银行、Google、Gamil等任何一个网站,黑客利用该DNS漏洞可能在10秒之内发起一个“DNS Cache Posion”(DNS缓存中毒)攻击,利用被攻击的DNS服务器能够将用户引导到恶意网站,这就是著名的“Kaminsky事件”。随后,全球一些知名公司和信息安全专家也纷纷公布了大量的DNS缓存中毒攻击事件。分析总结,DNS的安全漏洞主要如下几类,在域名服务系统的各环节存在漏洞示意如图1所示。
(1) DNS缓存污染(DNS Cache Poisoning);
(2) DNS放大攻击(DNS Amplification Attack);
(3) DNS客户洪泛攻击(Client Flooding);
(4) DNS动态更新攻击(DNS Dynamic Update Vulnerabilities);
(5) 域名欺诈(Domain name Phishing)。
3 DNSSEC技术原理及实施
3.1 技术原理
3.3 实施验证
递归和权威域名服务器DNSSEC生效后,选择一个信任锚中有的区或者它下一级的域名,在递归服务器上用dig测试验证是否生效,例如:
dig @218.241.108.18 example.cn +dnssec或
dig @218.241.108.18 test1.example.cn +dnssec
如果配置正确,应该返回解析结果和相应的RRSIG记录,以及flag字段中应有AD字段标识位,标识DNSSEC相关的数字签名验证是成功。
4 DNSSEC应用状况
自2010年以来,全球域名DNSSEC的实施工作逐步加快,域名根服务器和各通用顶级域纷纷实施DNSSEC。但考虑到域名系统在互联网基础资源中的重要地位,大规模的DNSSEC部署仍然非常谨慎,整个域名服务体系全部实施DNSSEC在近期还不可能完成。
根实施DNSSEC是ICANN联合Verisign,并在美国商务部支持下历时8个月时间,于2011年7月15日正式公布DNSSEC信任描点,完成部署工作;截止2012年10月份,全球顶级域名共有316个,其中实施DNSSEC的有104个。从图4可以看出来,全球DNSSEC在顶级域的部署正在有序增长。
5 结束语
针对当前域名服务系统的安全缺陷,互联网工程技术领域普遍认为实施DNSSEC是一个比较有效的方法。DNSSEC自上世纪90年代诞生以来,经过十几年的技术积累,固有缺陷得到逐步弥补,技术体系基本完善;特别是近两年全球根域名服务器及各互联网发达国家DNSSEC的部署,为其他国家或域名托管机构DNSSEC的实施提供有利的经验和技术参考。设想在不久的将来,全球域名体系全部实施DNSSEC,互联网基础资源中的域名解析服务将得到有效保障。
参考文献
[1] Ron Aitchison. Pro DNS and BIND. Springer-Verlag New York Inc. July 2005.
[2] Cricket Liu and Paul Albitz. DNS and BIND,Fifth Edition. O’Reilly Media, Inc. 2006.
[3] Arno Meulenkamp. Welcome to the DNSSEC. RIPE NCC. 2005.
[4] Alan Clegg. DNSSEC in 6 minutes Internet Systems Consortium. 2008.
[5] Jelte Jansen. DNSSEC Key Maintenance Analysis. NLnet Labs document 2008-002 version 1.0. September 11,2008.
[6] Arends,R.,Austein,R.,Larson,M., Massey,D., and S.Rose,"DNS Security Introduction and Requirements", RFC 4033, March 2005.
[7] Arends,R.,Austein,R.,Larson,M., Massey,D., and S.Rose,"Resource Records for DNS Security Extensions", RFC 4034, March 2005.
[8] Arends,R.,Austein,R.,Larson,M., Massey,D., and S.Rose,"Protocol Modification for the DNS Security Extensions", RFC 4035, March 2005.
[9] 杨永,薛琴.DNS服务器攻击与防范技术研究.攻防技术研究,2010年12月17-19.
作者简介:
高二辉(1979-),男,河北高碑店人,硕士;主要研究方向:计算机网络系统、互联网寻址技术、域名体系结构。