DNS是互联网最关键的基础设施之一,它最主要的功能是将域名与IP地址进行映射。随着互联网应用的发展,DNS被赋予越来越多的职责。然而,由于DNS协议设计之初并没有足够的安全考虑,协议缺陷、实现和配置缺陷等一系列问题一直以来都威胁着DNS的安全运行。
2008年,Dan Kaminsky提出的一种DNS缓存中毒攻击方法引起学术和企业界对DNS安全的广泛关注,时至今日绝大多数DNS服务器都已实现了源端口随机化以加强对缓存中毒攻击的防御。2009年“暴风”事件造成全国多省网络瘫痪,促使运营商重视并加大对DNS运行安全的投入。
尽管如此,DNS安全现状依然不容乐观。一方面,利用DNS发起的各种DDoS攻击泛滥,对DNS服务的正常运行,乃至整个互联网都构成了极大的威胁;另一方面,大量配置和维护不当的DNS服务器正在成为攻击者的帮手。
DNS反射放大攻击
DDoS攻击可以说是目前最难防御的攻击方式之一,如今大规模的DDoS攻击流量都在100Gbps以上,DNS反射是攻击者放大攻击流量的常用手法。
DNS反射攻击利用易于伪造的UDP源IP地址、互联网上数量庞大的开放解析器和DNS回答尺寸的高放大比三个关键因素,达到了可观的DDoS流量放大效果。事实上许多基于UDP的协议都可以用作反射攻击,如NTP、SSDP等,近期都被攻击者利用,但互联网上DNS的反射源(开放解析器)数量是最多的。
Open Resolver Project持续探测互联网上的开放DNS解析器,尽管近一年来开放解析器数量呈缓慢下降趋势,但至今全球依然有超过2000万个IP地址响应DNS请求。2014年5月我们做的教育网范围内的调查也显示,教育网内有2万多个IP地址响应DNS查询,其中6663个能够提供正确的递归解析。
DNS反射攻击主要利用以下几个DNS技术和方法。首先,攻击者发送的DNS请求通常启用EDNS0扩展,以突破DNS消息通过UDP传送时的512字节限制,使服务器向受害者发送更大尺寸的响应包。在利用现有正常域名进行反射攻击时,攻击者通常发送ANY类型的请求,要求服务器返回该域名所有类型的资源记录。同时,攻击者倾向于选择支持DNSSEC的域名,利用RRSIG数字签名记录的大尺寸来达到较好的放大效果。DNS反射对流量的放大比例最高可达90倍以上。
在我们的监测中发现的另一现象是,一些攻击者注册了专门用于反射攻击的域名。这些域名有的设置了上百个A记录IP地址,有的在TXT或MX记录中填入大量无意义内容用于增加回答尺寸,如图1所示。利用自己注册的域名进行反射放大,可以控制回答的尺寸,避免回答尺寸过大被截断。
图1 TXT记录反射攻击域名示例
互联网上每一个开放的DNS服务器都可能成为攻击者进行DNS反射攻击的帮手,作为DNS服务的运行和管理者,有责任杜绝自己管理的DNS服务器被DDoS攻击利用。
对于递归(缓存)服务器,其服务的对象通常是一定范围内的,对于高校网络而言,递归服务器一般只为校园网内的用户服务。因此,可以配置ACL规则,只响应校园网IP地址范围内的主机请求,对于来自其他源地址的DNS查询,采取拒绝(回答REFUSED)或丢弃(无任何回应)的方式处理。
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。