[发明专利]一种系统层安全DNS防护方法

说明书

技术领域

本发明涉及一种系统层安全DNS防护方法。

背景技术

DNS(Domain Name System、域名系统)是因特网的一项重要服务，由域名解析服务软件和分布式数据库组成，分布式数据库用于保存域名与IP地址间的映射关系，从而，使得用户不需要记住能够被服务器直接识别、处理的IP地址，更加方便地以域名的方式访问互联网资源，作为因特网一个重要的组成部分，DNS一旦出现问题，将会导致诸多因特网服务的不可获得。DNS是因特网的基础，对DNS的攻击将对整个因特网造成严重影响，DNS面临的安全问题主要包括DNS欺骗、拒绝服务攻击、分布式拒绝服务攻击以及缓冲区漏洞溢出攻击。参考资料之一：刘冰、胡风华《基于DNS攻击的安全防范策略研究》，电脑知识与技术，2009，5(11)；参考资料之二：黎成《网络DNS欺骗攻击的检测及防护》，电脑知识与技术，2010，06(24)。

如下对DNS面临的安全问题作进一步详述：

1、DNS欺骗

DNS欺骗即域名信息欺骗，是最常见的DNS安全问题之一。当一个DNS服务器掉入陷阱，使用了来自一个恶意DNS服务器的错误信息，那么，该DNS服务器就被欺骗了。DNS欺骗会使那些易受攻击的DNS服务器产生许多安全问题，例如：将用户引导到错误的互联网站点，或者发送一个电子邮件到一个未经授权的邮件服务器。网络攻击者通常通过三种方法进行DNS欺骗。

DNS欺骗主要包括如下三个方面：

(1)缓存感染

攻击者通过DNS请求将数据植入不设防的DNS服务器的缓存。并在用户进行DNS访问时返回用户，并将用户引导至有木马运行的Web服务器或者邮件服务器，导致用户信息被盗取或丢失。

(2)DNS信息劫持

攻击者通过监听用户与DNS服务器的对话，获取服务器响应给用户的DNS查询ID(每个DNS报文包括一个相关联的16位ID号，DNS服务器根据这个ID号获取请求源位置)，并在DNS服务器发出响应前将虚假的响应交给用户，该响应中包含恶意网站的ID，以此欺骗用户访问恶意网站，导致用户信息被盗取或丢失。

(3)DNS复位定向

攻击者将DNS名称查询复位向到恶意DNS服务器。这样攻击者可以获得DNS服务器的权限，使服务器的安全受到威胁。

2、拒绝服务攻击

攻击者主要利用一些DNS软件的漏洞，如BIND 9版本(版本9.2.0以前的9系列)，如果有人向运行BIND设备发送特定的DNS数据包请求，BIND就会自动关闭。攻击者只能使BIND关闭，而无法在服务器上执行命令。如果得不到DNS服务，那么就会产生一场灾难：由于网址不能解析为IP地址，用户将无方访问互联网。这样，DNS产生的问题就好像互联网本身所产生的问题，将导致大量的混乱。

3、分布式拒绝服务攻击

攻击者通过僵尸网络利用各种服务请求耗尽被攻击网络的系统资源，造成被攻击网络无法处理合法用户的请求。

4、缓冲区漏洞

域名服务软件可能存在漏洞，一旦被网黑客利用，可获得域名服务器的控制权。黑客可任意修改授权区域内的域名指向，将网络服务导引至恶意地址。另外，黑客可窃取整个授权区域内的主机信息，判断主机功能及安全性，从中发现目标进行攻击，称为发起内部攻击的跳板。

现有技术中，为应对DNS安全问题，其解决方案主要在应用层，包括以下几种：

(1)完善网络拓扑

对于DNS体系的单点故障，为了减少单点故障的威胁，同时，也为了减轻DNS服务器的负担，负责一个子域的DNS服务器一般不止一台。从网络拓扑结构角度应该把这些服务器放置于无旁路环境下，具体来说，就是不应当将DNS服务器放置于同一子网、同一链路、同一路由器、同一自治域甚至是同一物理位置。这样，单点的网络故障或许可以由其他网络中的同样功能的DNS服务器来消除，增加了系统的健壮性。另外，DNS系统网络拓扑的完善，也能在一定程度上缓解DOS攻击所带来的危害。

(2)防火墙保护

通过配置防火墙，将域名空间分割为内部域和外部域，使得内、外DNS服务器隔离。内部DNS服务器只需要负责内部网络的域名解析，外部DNS服务器负责外部用户的正常查询，兼顾处理内部网络服务器提交的请求。这样可以避免由于双向DNS数据不加限制地穿梭防火墙带来的安全风险。