DNS安全淺析

近幾個月以來，一些校園網(wǎng)的用戶和管理人員發(fā)現(xiàn)學校的DNS服務器陸續(xù)出現(xiàn)無法正常提供遞歸域名解析服務的情況，也有一些校園網(wǎng)發(fā)現(xiàn)一些知名的網(wǎng)站(如www.baidu.com,www.qq.com)域名解析出現(xiàn)奇怪的現(xiàn)象，很多用戶和管理員面對這些現(xiàn)象仍然很困惑。

域名系統(tǒng)的安全性一直是互聯(lián)網(wǎng)運行安全的關(guān)鍵之一。在國際上，DNSSec作為域名系統(tǒng)安全的一項重要措施，近年來也出現(xiàn)了新的進展。這些新的技術(shù)是否可以解決我們校園網(wǎng)域名解析面臨的安全問題？看下面案例的分析：

Key1配置錯誤

錯誤的配置信息導致DNS服務器無法提供正常的服務，DNS的配置是目前網(wǎng)絡服務中少有的幾個難理解的配置之一！

典型案例：

瑞典頂級域名.se故障

2009年10月12日晚瑞典頂級域名服務器出現(xiàn)故障，導致一百多萬使用.se結(jié)尾的域名無法正常解析，一些地區(qū)直到48小時候才能正常解析.se域名

事件回放：

1.2009年10月12日瑞典頂級域名.se服務商的管理員象往常一樣使用腳本對域名服務器.se的zone文件進行更新。

2.更新后發(fā)現(xiàn)所有.se的域名無法正常解析

3.管理迅速檢查原因，發(fā)現(xiàn)是因為腳本在編輯存盤時把原本應該有的.給不小心刪掉了，這個錯誤直接導致.se從根域名服務器數(shù)據(jù)中消失。

4.雖然管理員迅速的對zone進行了修復，但是擴散出去的數(shù)據(jù)導致一些地區(qū)在48小時候才重新認為.se是有效域名。

事件分析：

1.DNS配置文件的復雜性；

2.DNS缺乏一個有效的快速更新機制。

Key2軟件漏洞

DNS服務軟件本身存在安全漏洞，導致DNS無法正常提供服務。

典型案例：

Bind9漏洞導致.com無法正常解析

2011年3月底，我們陸續(xù)接到一些院校投訴其DNS解析服務存在故障，經(jīng)常無法正常解析域名。最后查明是bind9軟件存在條件競爭漏洞導致的。

事件背景：

DNS安全擴展(DNSSEC)蜒是由IETF提供的一系列DNS安全認證的機制(可參考RFC2535)，它利用數(shù)字簽名的技術(shù)來保證域名解析的權(quán)威性，以保證域名不受中間人的攻擊或緩存污染。

Verisign公司——域名服務商，.com域名的實際維護者，DNSSEC協(xié)議的發(fā)起人之一。

Bind軟件——DNS服務程序，目前網(wǎng)絡上使用最廣泛的DNS軟件，教育網(wǎng)的占有率在90%以上。

事件回放：

1.ISC在Bind8.1.x版本后開始支持DNSSec，并在Bind9版本后默認打開了DNSSec的查詢，Bind9.6-ESVR3之前的版本在實現(xiàn)DNSSEC查詢的過程中存在一個條件競爭漏洞；

2.2011年3月下旬，Verisign公司開始向13臺根域名服務器發(fā)布.com域名的DNSSEC數(shù)據(jù)；

3.根域名服務器上的DS數(shù)據(jù)誘發(fā)了Bind軟件的漏洞，導致遞歸服務器的非DS請求有50%的幾率被根服務認為是無效請求而返回SERVFAIL應答。這直接導致用戶端訪問.com的域名有一半的幾率會失?。?/p>

4.3月31號，ISC發(fā)布安全公告，并更新了Bind9軟件。

事件分析：

1.DNS軟件是否需要隨時更新？

2.DNS軟件更新機制。

DNS安全的其他內(nèi)容請讀者閱讀：DNS安全的背景及事件分析 上

【編輯推薦】

1. 安全3.3的三大必要條件
2. 淺析黑客技術(shù)和網(wǎng)絡安全
3. 別讓惡意軟件妨礙我們的生活
4. 大多數(shù)企業(yè)忽視“網(wǎng)絡間諜”的威脅
5. IT人員的困繞：互聯(lián)網(wǎng)早期的病毒傳播