DNS安全浅析
近几个月以来,一些校园网的用户和管理人员发现学校的DNS服务器陆续出现无法正常提供递归域名解析服务的情况,也有一些校园网发现一些知名的网站(如www.baidu.com,www.qq.com)域名解析出现奇怪的现象,很多用户和管理员面对这些现象仍然很困惑。
域名系统的安全性一直是互联网运行安全的关键之一。在国际上,DNSSec作为域名系统安全的一项重要措施,近年来也出现了新的进展。这些新的技术是否可以解决我们校园网域名解析面临的安全问题?看下面案例的分析:
Key1配置错误
错误的配置信息导致DNS服务器无法提供正常的服务,DNS的配置是目前网络服务中少有的几个难理解的配置之一!
典型案例:
瑞典顶级域名.se故障
2009年10月12日晚瑞典顶级域名服务器出现故障,导致一百多万使用.se结尾的域名无法正常解析,一些地区直到48小时候才能正常解析.se域名
事件回放:
1.2009年10月12日瑞典顶级域名.se服务商的管理员象往常一样使用脚本对域名服务器.se的zone文件进行更新。
2.更新后发现所有.se的域名无法正常解析
3.管理迅速检查原因,发现是因为脚本在编辑存盘时把原本应该有的.给不小心删掉了,这个错误直接导致.se从根域名服务器数据中消失。
4.虽然管理员迅速的对zone进行了修复,但是扩散出去的数据导致一些地区在48小时候才重新认为.se是有效域名。
事件分析:
1.DNS配置文件的复杂性;
2.DNS缺乏一个有效的快速更新机制。
Key2软件漏洞
DNS服务软件本身存在安全漏洞,导致DNS无法正常提供服务。
典型案例:
Bind9漏洞导致.com无法正常解析
2011年3月底,我们陆续接到一些院校投诉其DNS解析服务存在故障,经常无法正常解析域名。最后查明是bind9软件存在条件竞争漏洞导致的。
事件背景:
DNS安全扩展(DNSSEC)蜒是由IETF提供的一系列DNS安全认证的机制(可参考RFC2535),它利用数字签名的技术来保证域名解析的权威性,以保证域名不受中间人的攻击或缓存污染。
Verisign公司——域名服务商,.com域名的实际维护者,DNSSEC协议的发起人之一。
Bind软件——DNS服务程序,目前网络上使用最广泛的DNS软件,教育网的占有率在90%以上。
事件回放:
1.ISC在Bind8.1.x版本后开始支持DNSSec,并在Bind9版本后默认打开了DNSSec的查询,Bind9.6-ESVR3之前的版本在实现DNSSEC查询的过程中存在一个条件竞争漏洞;
2.2011年3月下旬,Verisign公司开始向13台根域名服务器发布.com域名的DNSSEC数据;
3.根域名服务器上的DS数据诱发了Bind软件的漏洞,导致递归服务器的非DS请求有50%的几率被根服务认为是无效请求而返回SERVFAIL应答。这直接导致用户端访问.com的域名有一半的几率会失败;
4.3月31号,ISC发布安全公告,并更新了Bind9软件。
事件分析:
1.DNS软件是否需要随时更新?
2.DNS软件更新机制。
DNS安全的其他内容请读者阅读:DNS安全的背景及事件分析 上
【编辑推荐】