DNS安全問題有哪些?DNS系統存在哪些安全隱患?

youbingke發表於2023-01-30

DNS是網際網路的基礎服務,其安全對於維持網路安全執行具有舉足輕重的作用。但如今,DNS正面臨DDoS攻擊、快取投毒、區域資訊洩露等眾多威脅,因此瞭解DNS的安全問題對於應對DNS攻擊,建立有效的DNS安全防護十分有必要。本文,中科三方針對DNS的安全問題做下簡單介紹。

1.DNS自身的不安全因素

DNS在早期設計時只考慮到網路的適應性,採用的是面向非連線的UDP協議,而UDP協議本身就是不安全的。而從組成結構來看,為了便於查詢,DNS採用了樹形結構,這種結構單點故障明顯,整個DNS體系並不是很穩固。

此外,大部分DNS伺服器都是基於BIND軟體部署的,BIND雖然能夠提供高效的服務,但也存在諸多的安全性漏洞,一種是緩衝區溢位漏洞,如BIND4和BIND8存在一個遠端緩衝溢位缺陷,可以使攻擊者在DNS上執行各種指令;另一種是拒絕服務漏洞,受攻擊後的DNS伺服器不能提供正常服務,使得其所管轄的子網無法正常工作。

2.DNS面臨的攻擊

(1)DDoS攻擊

DNS伺服器同web伺服器一樣也會成為DDoS攻擊的物件,而且DNS伺服器管轄著眾多網站的解析記錄,其遭受DDoS攻擊後將會導致其所轄域名都無法正常解析,所造成的破壞力比僅針對web伺服器發起攻擊更為致命。且DNS伺服器對DDoS攻擊沒有足夠的防禦能力,所以針對DNS發起攻擊已成為目前網路攻擊的一項重要手段。

(2)緩衝區投毒

為了提高查詢效率,DNS體系中的多個環節都採用了快取機制,快取資料在沒過期之前,會直接將快取中記錄的解析結果返回給客戶。這個過程雖然縮短了解析查詢的路徑,解析和訪問速度得到明顯提升,但也給了攻擊者以可乘之機。DNS緩衝區投毒就是在DNS快取中存入錯誤的資料,在客戶發起請求時將錯誤的資料返回給客戶,從而將客戶重定向到錯誤的IP地址。且緩衝區中毒的機器還可能將錯誤的資料傳播出去,導致更多的伺服器快取中毒,危害性不可謂不小。

(3)區域資訊洩露

DNS伺服器作為公開開放的資料庫,通常情況下不會對域名請求查詢加以驗證,因此很容易導致網路拓撲、子網結構等資訊的洩露,為各類攻擊提供機會。

(4)域名劫持

域名劫持是透過獲取域名所有者的賬號名稱和密碼取得域名管理權,從而將域名的IP地址指向其他主機,嚴格來說域名劫持並不是DNS安全問題,但它對DNS解析的準確性威脅也是顯而易見的。

從上面可以看出DNS面臨自身的先天結構缺陷和外部多種型別的攻擊威脅,如果我們不能做出有效應對,其對網路的安全執行將造成各種不可預想的危害。


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69996004/viewspace-2933296/,如需轉載,請註明出處,否則將追究法律責任。

相關文章