DNS安全的背景及事件分析 下

安全
本文是关于DNS安全防护策略的讨论,介绍和分析了如何部署DNS安全防护措施,更好地保障学校的网络运行和安全。

DNS安全浅析

近几个月以来,一些校园网的用户和管理人员发现学校的DNS服务器陆续出现无法正常提供递归域名解析服务的情况,也有一些校园网发现一些知名的网站(如www.baidu.com,www.qq.com)域名解析出现奇怪的现象,很多用户和管理员面对这些现象仍然很困惑。

域名系统的安全性一直是互联网运行安全的关键之一。在国际上,DNSSec作为域名系统安全的一项重要措施,近年来也出现了新的进展。这些新的技术是否可以解决我们校园网域名解析面临的安全问题?看下面案例的分析:

Key1配置错误

错误的配置信息导致DNS服务器无法提供正常的服务,DNS的配置是目前网络服务中少有的几个难理解的配置之一!

典型案例:

瑞典顶级域名.se故障

2009年10月12日晚瑞典顶级域名服务器出现故障,导致一百多万使用.se结尾的域名无法正常解析,一些地区直到48小时候才能正常解析.se域名

事件回放:

1.2009年10月12日瑞典顶级域名.se服务商的管理员象往常一样使用脚本对域名服务器.se的zone文件进行更新。

2.更新后发现所有.se的域名无法正常解析

3.管理迅速检查原因,发现是因为脚本在编辑存盘时把原本应该有的.给不小心删掉了,这个错误直接导致.se从根域名服务器数据中消失。

4.虽然管理员迅速的对zone进行了修复,但是扩散出去的数据导致一些地区在48小时候才重新认为.se是有效域名。

事件分析:

1.DNS配置文件的复杂性;

2.DNS缺乏一个有效的快速更新机制。

Key2软件漏洞

DNS服务软件本身存在安全漏洞,导致DNS无法正常提供服务。

典型案例:

Bind9漏洞导致.com无法正常解析

2011年3月底,我们陆续接到一些院校投诉其DNS解析服务存在故障,经常无法正常解析域名。最后查明是bind9软件存在条件竞争漏洞导致的。

事件背景:

DNS安全扩展(DNSSEC)蜒是由IETF提供的一系列DNS安全认证的机制(可参考RFC2535),它利用数字签名的技术来保证域名解析的权威性,以保证域名不受中间人的攻击或缓存污染。

Verisign公司——域名服务商,.com域名的实际维护者,DNSSEC协议的发起人之一。

Bind软件——DNS服务程序,目前网络上使用最广泛的DNS软件,教育网的占有率在90%以上。

事件回放:

1.ISC在Bind8.1.x版本后开始支持DNSSec,并在Bind9版本后默认打开了DNSSec的查询,Bind9.6-ESVR3之前的版本在实现DNSSEC查询的过程中存在一个条件竞争漏洞;

2.2011年3月下旬,Verisign公司开始向13台根域名服务器发布.com域名的DNSSEC数据;

3.根域名服务器上的DS数据诱发了Bind软件的漏洞,导致递归服务器的非DS请求有50%的几率被根服务认为是无效请求而返回SERVFAIL应答。这直接导致用户端访问.com的域名有一半的几率会失败;

4.3月31号,ISC发布安全公告,并更新了Bind9软件。

事件分析:

1.DNS软件是否需要随时更新?

2.DNS软件更新机制。

DNS安全的其他内容请读者阅读:DNS安全的背景及事件分析 上

【编辑推荐】

  1. 安全3.3的三大必要条件
  2. 浅析黑客技术和网络安全
  3. 别让恶意软件妨碍我们的生活
  4. 大多数企业忽视“网络间谍”的威胁
  5. IT人员的困绕:互联网早期的病毒传播
责任编辑:佚名 来源: 机房360
相关推荐

2011-06-16 13:14:18

2019-04-02 08:30:03

2010-01-28 10:29:44

2011-03-22 12:58:16

2010-09-13 10:53:09

2010-05-19 10:47:21

2022-04-11 08:08:52

OpenGauss数据库接口

2019-02-26 15:15:16

DNS漏洞IP

2021-11-25 10:36:04

DNS命令Linux

2019-03-29 15:11:13

2012-08-27 09:13:02

2020-08-11 11:56:04

勒索软件黑客攻击

2017-10-16 09:44:19

大数据数据分析王者荣耀

2023-06-12 07:50:45

2016-01-04 11:27:47

2017-10-08 10:22:00

大数据王者荣耀词汇

2021-02-10 09:33:39

漏洞

2012-12-13 17:54:06

2016-08-15 10:06:10

2022-09-22 12:03:14

网络安全事件
点赞
收藏

51CTO技术栈公众号