域名安全（铭说）

众所周知，域名系统(DNS，Domain Name System)作为互联网的重要基础设施，其主要功能是提供域名解析服务。随着互联网的发展，DNS系统也被赋予了其他的应用功能，如 DKMI(即Domain Keys Identified Mail，缩写为DKIM)、负载均衡、域名封锁等方面。绝大多数的互联网应用都需要依赖 DNS 才能正常工作，一旦 DNS 系统受到攻击，整个互联网将会受到严重影响。●现状●随着网络技术的不断发展，攻击 DNS 的技术也变得更加丰富，手段更加复杂。美国 Coleman Parkes 公司调查了来自北美、亚太、欧洲共 1000个组织的 DNS 系统安全状况发现 ，在 2017 年有 76%的组织受到了 DNS攻击。在这些攻击中，恶意软件攻击占 35%、DDoS 攻击占 32%、缓存投毒占 23%、DNS 隧道占 22%、零日漏洞攻击占19%。超过 90%的恶意软件使用DNS协议与恶意软件的命令和控制(Command and Control，C&C)中心保持联系，以此获取攻击命令、下载软件更新、获取隐私信息。DDoS 攻击也变得越来越复杂，攻击者使用广泛的技术手段，从基本的方法(如：放大/转发、泛洪)，到涉及僵尸网络、连锁反应等高度复杂的攻击，这些攻击可能来内部或外部DNS服务器。根据 Arbor Network 发布的调查报告显示，有84%的反射和放大攻击采用DNS协议，是所有调查协议中占比最高的。此外，报告中还显示 DNS 的服务器是 DDoS 攻击的首要目标，有78%的DDoS 攻击对 DNS的应用层服务进行攻击。攻击DNS 有利可图，商业利益驱动促使攻击行为加剧。有攻击者通过攻击DNS服务器，造成企业服务中断，损坏企业信誉，造成用户流失。如 2016 年 10 月在 Dyn域名服务供应商受到大规模DDoS攻击之后，Dyn公司失去了8%的域名客户。DNS 攻击还会造成关键数据泄露和经济损失。根据 EfficientIP 的调查报告，在调查的1000个公司和组织中，有三分之一的公司因 DNS 攻击数据被盗，这些数据中16%是用户敏感信息15%是知识产权信息。此外，DNS 攻击每年会给受害公司造成 200 万美元的经济损失。●威胁分析●域名服务主要由3部分组成，分别是：1、域名空间(domain name space)和资源记录(resource record)，包括树形结构的命名空间和与名称相关联的数据；2、名字服务器(name server)，包含域树结构信息和设置信息的服务器程序；3、解析器(resolver)，响应请求并从名称服务器获取查询结果。DNS 通常提供两种域名解析方式，分别是：递归式查询和迭代式查询。在通常情况下，应用系统主机向本地域名服务器请求域名解析时，采用递归查询。在递归查询模式下，本地域名服务器直接向应用系统主机返回域名解析结果，当地域名服务器需要向根域名进行请求。以下是对CVE 漏洞信息库若干条DNS相关漏洞进行对比分类，针对不同类型的DNS系统漏洞对攻击目标及攻击后果进行总结归纳，统计结果如下表所示：●安全强化●1、协议强化为了解决DNS系统在数据传输过程真实性和完整性保护，IETF(The Internet Engineering Task Force)提出了DNS安全增强方案 DNSSEC。DNSSEC 通过对资源记录进行签名，用户在收到相关请求域名信息时也会收到该记录的签名，用户可以根据签名检测数据的真实性和完整性。DNSSEC 在DNS的基础上，增加了四种安全记录：1. DNSKEY记录，存储验证DNS数据的公钥；2. RRSIG 记录，存储DNS资源记录的数字签名；3. DS记录，用于DNSKEY验证，存储密钥标签，加密算法和对应 DNSKEY 的摘要信息；4. NSEC 记录，存储和对应所有者相邻的下一记录，用于否定存在验证。2、实现强化当前DNS协议使用UDP协议传输数据，信息没有进行真实性和完整性验证，因此对 DNS 传输协议进行增强是增强 DNS 安全性的一种手段。T-DNS使用TCP和TLS协议替代 UDP传输DNS消息，解析器与服务器首先需要建立TCP连接，然后使用TLS协议对DNS消息的内容进行加密保护，防止内容泄露和恶意篡改。T-DNS利用TCP连接的数量限制机制，能够防止恶意服务器主动推送虚假应答信息，同时使用TLS协议保护数据传输安全，解决了数据泄露和恶意篡改问题。这种方式的局限性是建立TCP连接的时间开销会影响解析效率，T-DNS 采用TCP和TLS协议，与传统的 DNS不兼容，很难大范围部署。3、检测监控随着互联网的发展，技术在不断进步，攻击手段也在不断变化，仅仅依靠协议的增强和系统的改变不一定能够抵御所有的攻击。因此，在现有系统的基础上，进行有效监控诊断，保护DNS系统的正常运行，也是一个重要的安全增强保障。对DNS系统进行诊断监控不需要改变现有DNS实现方式，具有良好的渐进部署能力，同时能够有效监测各种攻击。检测监控的核心思想是对 DNS 的查询流量进行分析和检测，构造检测系统并运用如机器学习、信息熵等技术对检测结果进行学习和分类，提高检测精度。本节根据检测流量的层级不同分为监测DNS用户端与递归服务器间流量和检测DNS服务器间流量。4、体系结构强化DNS根服务器作为DNS 系统的核心，负责DNS主目录的维护和管理，这种方式存在单点故障、易受攻击等缺陷。为了解决 DNS中心化问题，有学者提出设计去中心化的 DNS 系统。DNS系统去中心后，每个服务器节点都是平等的，单点故障和 DoS攻击造成的影响将会降低。DNS的解析过程不再受限于根服务器，不会因为管理等因素对域名进行封锁，也能解决根服务器部署数量有限的弊端。●总结●针对 DNS 的各种安全问题，虽然涌现了大量的解决办法，但是近年来的各种攻击事件表明，DNS 安全问题仍然十分严峻。通过分析发现，现有的研究成果仍存在不足，未来的工作可以更多地关注以下方面：DNS去中心化DNS 系统之所以受到各种攻击，与 DNS 树形结构、根服务器管理整个系统有重要关系。这种体系架构存在单点失效问题，而历史上有多次攻击根服务器的案例，致使整个DNS服务瘫痪。因此，设计一种去中心化的DNS系统是一项具有重要意义的方向。开放式DNS安全检查虽然开放式服务器提供了各种便利，如可以应答外部资源的 DNS 请求，但是这些开放系统给网络的安全性和稳定性带来了极大的隐患。一些开放的服务器容易被攻击者控制，进行放大攻击、投毒攻击等恶意行为。据调查发现，在3200万个开放式解析器，其中有2800 万存在严重的安全隐患。开放式会给攻击者进行 DoS/DDoS、缓冲投毒、DNS ID劫持等攻击带来便利。现有的实践中很少有对这些开放式系统进行行规范和约束，如何识别和监控这些恶意的开放式服务器，也是一个重要的内容。防护方案增量部署由于 DNS 系统广泛应用，有研究者虽然提出改进方案，与现有的 DNS 系统不兼容，也很难被大范围部署。DNSSEC虽然在1997年就已经被提出，但是目前仍未广泛部署，目前DNSSEC 在顶级域的部署率达到了89%，但是在二级域的部署率仅为3%。有很多新型的名字服务系统和架构都已提出来，但是与当前 DNS 系统不兼容，因此这些研究成果很难被网络运营商和大型公司采用。因此在设计防护方案的部署方式时应考虑防护方案要避免修改现有 DNS协议。