DNS(Domain Name System )域名系統(tǒng)是支撐互聯(lián)網(wǎng)運(yùn)行的重要核心基礎(chǔ)設(shè)施，因此DNS系統(tǒng)也成為互聯(lián)網(wǎng)攻擊的最主要目標(biāo)。DNS安全意義重大，一旦發(fā)生重大DNS攻擊事件，將可能會(huì)影響大范圍互聯(lián)網(wǎng)的正常運(yùn)行，并給社會(huì)帶來巨大經(jīng)濟(jì)損失。

隨著中國推進(jìn)IPv6規(guī)模部署行動(dòng)計(jì)劃快速實(shí)施，中國三大電信運(yùn)營商的固定和4G LTE網(wǎng)絡(luò)已經(jīng)大范圍部署IPv6協(xié)議，隨著一批TOP ICP網(wǎng)站和APP支持IPv6協(xié)議，目前中國已經(jīng)有超過5億用戶獲得IPv6地址，開始使用IPv6網(wǎng)絡(luò)服務(wù)。中國互聯(lián)網(wǎng)正在向IPv6時(shí)代全面演進(jìn)。在這個(gè)階段，必須要高度重視DNS安全問題。

[[262318]]

1. 遞歸DNS的運(yùn)行機(jī)制

DNS系統(tǒng)可以分為：根DNS服務(wù)器、域名DNS服務(wù)器(TLD)、權(quán)威DNS服務(wù)器、遞歸DNS服務(wù)器等幾類。

用戶訪問互聯(lián)網(wǎng)，第一步需要向本地遞歸DNS申請(qǐng)域名解析。遞歸DNS查詢緩存或向上一級(jí)DNS進(jìn)行遞歸，獲得域名解析結(jié)果并返回給用戶，然后用戶瀏覽器就可以訪問目標(biāo)網(wǎng)站和網(wǎng)頁。從互聯(lián)網(wǎng)DNS體系架構(gòu)來看，遞歸DNS是一個(gè)綜合體系，包含多個(gè)層級(jí)。用戶向低級(jí)遞歸DNS查詢，低級(jí)向高級(jí)遞歸DNS查詢，高級(jí)遞歸DNS向根DNS、域名DNS、權(quán)威DNS服務(wù)器查詢，這樣一級(jí)一級(jí)遞歸查詢。權(quán)威DNS解析出來域名的IP地址再一級(jí)一級(jí)返回，最后發(fā)給用戶主機(jī)。

遞歸DNS在日志里面將會(huì)記錄用戶的DNS查詢記錄，包括用戶主機(jī)的源IP地址、目標(biāo)網(wǎng)站、查詢時(shí)間、返回DNS查詢結(jié)果(目標(biāo)網(wǎng)站的IP地址)等等。

2. IPv6 與IPv4環(huán)境下遞歸DNS運(yùn)行機(jī)制的差異及風(fēng)險(xiǎn)

IPv6網(wǎng)絡(luò)環(huán)境下，DNS的運(yùn)行機(jī)制與IPv4網(wǎng)絡(luò)環(huán)境下存在一些差異。

由于IPv4地址資源缺乏，所以IPv4網(wǎng)絡(luò)通常會(huì)在出口部署NAT設(shè)備，內(nèi)網(wǎng)主機(jī)向遞歸DNS申請(qǐng)域名解析申請(qǐng)時(shí)，遞歸DNS收到的是NAT設(shè)備IP地址，無法獲得用戶主機(jī)的IP地址。

IPv6協(xié)議提供了海量IP地址資源，所有用戶主機(jī)/聯(lián)網(wǎng)終端都配置真實(shí)IPv6地址。IPv6主機(jī)(或聯(lián)網(wǎng)終端)使用真實(shí)IPv6地址向遞歸DNS發(fā)起域名解析申請(qǐng)，遞歸DNS服務(wù)器向用戶主機(jī)返回域名解析結(jié)果，并在日志中記錄用戶的真實(shí)IPv6地址。

互聯(lián)網(wǎng)IP地址掃描探測(cè)是黑客常用的攻擊手段。由于IPv6協(xié)議設(shè)計(jì)有海量地址，原有IPv4地址段掃描的探測(cè)方式在IPv6網(wǎng)絡(luò)上基本失效，所以黑客需要獲得用戶的真實(shí)IPv6地址，就需要找到一個(gè)擁有大量用戶真實(shí)IPv6地址記錄的系統(tǒng)，入侵破解之后獲取用戶IP地址數(shù)據(jù)。而遞歸DNS服務(wù)器恰恰能夠滿足黑客的探測(cè)需求，無論是內(nèi)網(wǎng)遞歸DNS系統(tǒng)，還是公共遞歸DNS系統(tǒng)，在DNS日志文件里面都記錄了海量用戶的真實(shí)IPv6地址與域名解析記錄。

3. IPv6網(wǎng)絡(luò)環(huán)境中竊取將成為遞歸DNS重要攻擊方式

對(duì)遞歸DNS系統(tǒng)的攻擊，主要包括破壞、投毒、竊取三種方式。

• IPv4時(shí)代對(duì)DNS的攻擊以破壞為主，包括DDOS攻擊等，目的是造成DNS服務(wù)停止。這種攻擊發(fā)生后很快就會(huì)被發(fā)現(xiàn)，并在12-24小時(shí)內(nèi)修復(fù)。
• DNS緩存投毒是指遞歸DNS向上級(jí)DNS申請(qǐng)查詢，攻擊者仿冒上級(jí)DNS服務(wù)器向遞歸DNS 服務(wù)器發(fā)送偽造應(yīng)答包搶先完成應(yīng)答，用虛假數(shù)據(jù)污染遞歸DNS 緩存，從而使遞歸DNS向用戶主機(jī)返回錯(cuò)誤的解析IP結(jié)果，將用戶訪問重定向到危險(xiǎn)網(wǎng)站。
• 進(jìn)入IPv6時(shí)代，由于獲取用戶真實(shí)IPv6地址變得困難，因此竊取將成為遞歸DNS攻擊的重要方式。黑客入侵DNS后，不干擾DNS正常運(yùn)行，而是長期潛伏起來，持續(xù)竊取DNS服務(wù)器的日志數(shù)據(jù)，從日志數(shù)據(jù)中即時(shí)獲取海量用戶的真實(shí)IPv6地址，并作為網(wǎng)絡(luò)探測(cè)的目標(biāo)。

如果黑客入侵并攻破校園網(wǎng)、政務(wù)網(wǎng)，企業(yè)網(wǎng)的遞歸DNS服務(wù)器，以及公共DNS服務(wù)商的遞歸DNS系統(tǒng)，就可以獲取DNS日志并抓取大量新鮮有效的用戶IPv6地址，以進(jìn)行精準(zhǔn)IPv6地址掃描探測(cè)。潛伏竊取是靜默無聲并且長期的，其帶來的風(fēng)險(xiǎn)要遠(yuǎn)遠(yuǎn)大于DDOS攻擊破壞和DNS緩存投毒。

目前很多園區(qū)網(wǎng)、企業(yè)網(wǎng)的DNS服務(wù)器安全防護(hù)薄弱，隨著用戶網(wǎng)絡(luò)IPv6升級(jí)和DNS系統(tǒng)IPv6升級(jí)，將可能成為黑客重點(diǎn)攻擊目標(biāo)。

4. IPv6網(wǎng)絡(luò)隨意配置和使用公共DNS的風(fēng)險(xiǎn)

目前網(wǎng)上有很多文章推薦國外的公共DNS，

包括：

• GooglePublic DNS (IPv4：8.8.8.8;IPv6：2001:4860:4860::8888);
• IBMQuad9 DNS (IPv4：9.9.9.9;IPv6：2620:fe::fe);
• CloudflareDNS (IPv4：1.1.1.1;IPv6：2606:4700:4700::1111);
• CiscoOpenDNS (IPv4：208.67.222.222;IPv6：2620:0:ccc::2);
• HurricaneElectric Public DNS (IPv4：74.82.42.42;IPv6：2001:470:20::2 )

由于國內(nèi)網(wǎng)絡(luò)受互聯(lián)互通、國際出口擁堵等情況的影響，一些網(wǎng)站訪問速度較慢。在一些介紹全球公共DNS的網(wǎng)絡(luò)技術(shù)文章影響下，很多用戶在自己的電腦上設(shè)置國內(nèi)、國外公共DNS作為首選DNS，以求實(shí)現(xiàn)網(wǎng)絡(luò)加速。還有一些企業(yè)沒有內(nèi)網(wǎng)DNS服務(wù)器，網(wǎng)管技術(shù)人員往往在路由器上將DNS設(shè)置為公共DNS的IP地址，內(nèi)網(wǎng)用戶直接使用公共DNS的域名解析服務(wù)。這種情況在IPv4網(wǎng)絡(luò)環(huán)境下的問題不大，因?yàn)橹鳈C(jī)都在NAT設(shè)備之后配置內(nèi)網(wǎng)IP，沒有publicIP地址。但是在IPv6網(wǎng)絡(luò)中，所有主機(jī)都將配置真實(shí)IPv6 Public IP地址，一旦IP地址暴露，即可被精準(zhǔn)掃描。

Google、IBM、Cloudflare等全球公共DNS系統(tǒng)為全球互聯(lián)網(wǎng)用戶提供免費(fèi)的DNS解析服務(wù)，正面看是一種公益和慈善，但從IPv6網(wǎng)絡(luò)安全的角度看，其實(shí)也是一個(gè)全球主機(jī)IP地址收集器。如果用戶主機(jī)DNS設(shè)置直接寫入這些公共DNS的IP地址，或者小企業(yè)出口路由器的DNS設(shè)置直接寫入這些公共DNS的IP地址，那么用戶主機(jī)發(fā)起DNS解析請(qǐng)求時(shí)，這些公共DNS將直接獲得用戶主機(jī)(或企業(yè)內(nèi)網(wǎng)主機(jī))的真實(shí)IPv6地址。假設(shè)某個(gè)公共DNS系統(tǒng)的日志數(shù)據(jù)庫與網(wǎng)軍的IP地址掃描探測(cè)系統(tǒng)直聯(lián)共享，那么情況簡直不堪設(shè)想。

5. 在中國IPv6規(guī)模部署初期就要重視IPv6網(wǎng)絡(luò)安全

兩辦《推進(jìn)IPv6規(guī)模部署行動(dòng)計(jì)劃》文件中明確提出了“兩并舉三同步”原則：“發(fā)展與安全并舉，同步推進(jìn)網(wǎng)絡(luò)安全系統(tǒng)規(guī)劃、建設(shè)、運(yùn)行”。

中國IPv6規(guī)模部署剛剛進(jìn)入發(fā)展期，已經(jīng)有超過5億部手機(jī)實(shí)現(xiàn)了IPv6聯(lián)網(wǎng)，一批高校、政府、企業(yè)的網(wǎng)絡(luò)正在升級(jí)支持IPv6協(xié)議。在目前階段，重視IPv6網(wǎng)絡(luò)安全問題處于最佳階段，而不能等到發(fā)生事故之后再亡羊補(bǔ)牢?？梢灶A(yù)見，在不遠(yuǎn)的將來，IPv6 DNS安全將成為IPv6網(wǎng)絡(luò)安全的最重點(diǎn)問題之一，必須要予以高度重視，提前做好網(wǎng)絡(luò)安全防護(hù)。