服务器百度域名何以被挟持？（二）

百度域名何以被挟持 二

■文邹福泰 章思宇

DNS域名解析体系安全风险

在上期我们讨论了DN S域名解析体系存在各种安全风险。本期我们将对安全风险状况做一定程度的评估 目的是了解当前各种安全风险的轻重缓急情况为我们DNS安全风险的预防做好规划 明晰重点。分区状态评估

A区风险状况评估本区中主要的安全风险是网页木马以及各种浏览器插件的存在使得用户访问的域名得不到正确结果或者被强推广告。尽管如此 由于处于解析末端未来安全风险定为低危害程度为低。

B区风险状况评估本区中分为缓存中毒和DN S解析信任安全两大风险。

1缓存中毒

近期比较严重的就是2008年的kaminsky攻击全球近一半DNS Server受影响。这主要是因为DNS协议安全比较脆弱而采用安全的DNS S EC 目前还需要一段布署时间。DNS协议安全主要是通过trans ac tionID来做这个ID采用随机化算法生成。 由于电脑的随机化都是伪随机化实际是有周期率从而不断被黑客攻击。在不断攻击中这种随机化算法也越来越好越来越难攻击。但是黑客又从别的渠道来寻找协议安全漏洞。DNS Server 必须采用杀手锏randomizing source port。 Source port randomness由于要占用大量的系统资源通常并不在DNS Server代码上实现。好在目前机器性能已足够kaminsky漏洞使得DNS Server广泛升级到源端口随机化。乔治亚理工大学的David Dagon教授认为在手持或者便携设备上用源端口随机化可能资源消耗过大推出了Ox20的轻量级技术也就是随机化大小写验证技术是一种很好的技术 已申请RFC。这两种技术一结合直接缓存中毒已变得很困难。未来安全风险定为中危害程度为高。

2 DNS解析信任安全

由于DNS缓存服务器是用户域名解析直接打交道的本地DNS服务器其返回结果可完全受DN S缓存服务器控制。一些病毒木马通过修改用户的本地DNS服务器设置使之指向恶意的DN S缓存服务器 另外一些缓存服务器提供附加广告的解析结果。未来安全风险定为中危害程度为中。

C区风险状况评估 C区中存在DNS根服务器和域名注册数据安全风险。

1 DNS根服务器

DNS根服务器自20世纪90年代就受到多次攻击对网络造成的危害极大但到目前危害相对已较小。因为经过多次的攻击对抗根目前安全体系已得到较大提高。对于根域的安全 目前提出了MSDP(RFC4611)并已在根服务器上实施取得了较好的效果。如2007年2月的攻击对整个网络的危害比2002年10月的那次小很多 原因就是通过任意播(Anyc ast)技术使得根服务器的工作量被逐渐分散到全球其他地方的计算机上所产生的作用。此外 I CANN已经着手将DNS S E C在根域上布署这对于提升根域以及DNS体系的安全性具有重要意义。 目前顶级域.org已经采用了DNS SEC为DNS SEC的推行也提供了经验。未来安全风险定为中危害程度为高。

2域名注册数据安全

域名注册数据是非常重要的数据。但目前似乎重视程度不够此次百度域名劫持给域名注册数据的安全防护敲响了警钟相信今后会更加重视起来。我们来看域名注册数据的安全主要分两方面一方面是域名注册商的安全 因为域名注册商采用的Web注册页面以及数据库其中的Web程序和数据库均易存在各种漏洞安全隐患较多 另一方面是域

名注册的登录邮箱或注册adm in邮箱密码如果给不法分子攻击得到后再通过这种方式修改了域名注册数据也是不得不提防和注意的。域名注册数据安全是今后特别需要防范的未来安全风险定为高危害程度为高。

D区风险状况评估D区中存在授权服务器攻击和授权服务器解析故障风险。

1 授权服务器攻击

2009年的5·19事件即是针对授权服务器攻击。baofeng.c om域名解析记录放在dnspod 的授权服务器上当dnspod被DDoS攻击导致无法对baofeng c om进行有效解析时暴风软件产生了极大量的baofeng.c om域名解析请求把DNS缓存服务器压垮。今后DNS安全焦点可能主要在于授权服务器攻击。因为相对于缓存服务器直接面对广大用户如ISP高达数百万人而授权服务器只是当域名缓存的TTL时间过期才会向它发送域名解析请求的幕后英雄往往得不到关注。甚至有些知名网站的域名也只用台性能很差的机器存放授权记录更缺乏安全防护措施。这使得针对授权服务器进行攻击成为一种可行的捷径。这些攻击可能是DDoS攻击也可能是针对授权安全薄弱点进行漏洞渗透而修改授权记录。未来安全风险定为高危害程度为高。

2授权服务器解析故障

目前授权服务器的安全状态比较堪忧的是对它的重视性不够。有用户报告说某个域名解析不正常有时解析结果对有时错误。原因就是此域名有两个授权服务器而其中一个停止服务。这样当域名由正常授权服务器解析时正确而由故障授权服务器解析时错误。这个现象似乎比较普遍最根本的原因在于对授权服务器的关注度不高甚至停止服务也没有人去关注。未来对安全风险定为低危害程度为中。

E区风险状况评估E区中响应包篡改前提是需要能对DNS流量进行侦听其危害程度跟侦听的流量范围相关。因为对大范围的DNS流量侦听对于黑客不是那么容易的事情未来安全风险定为低危害程度为中。整体体系安全风险评估

1.DNS服务器软件漏洞

DNS服务器软件漏洞攻击的风险始终存在并且攻击的危害很大能够导致域名解析结果被任意篡改或停止DN S解析服务。 国内近几年来也逐渐加强的对DNS安全的意识特别是一些大的ISP厂商 已能够及时发布DNS安全公告。未来安全风险定为高危害程度为高。

2.DDoS攻击

DDoS攻击强度取决于所调动的僵尸量流量足够大时任何服务器也无法工作。对抗DDoS攻击没有可好的方法。 目前一种方法是尽量放宽自己的性能峰值代价很大 另外一种方法是采用流量清洗设施但对于超过一定速率的流量也无效。可能anyc ast或者P2P 的软件体系有帮助抗DDoS攻击。未来安全风险定为高危害程度为高。

我们总结DNS域名解析体系安全风险评估如表1所示。

从表1可知未来安全风险为高的有域名注册数据安全、授权服务器攻击、DNS 服务器软件漏洞、DDoS攻击。这些安全风险对应的危害程序都为高需要引起高度重视。对于域名注册数据安全以及授权服务器攻击这两类高安全风险 目前普遍重视程度不够是时候要引起DN S运营商以及DNS域名拥有者的高度重视了。建议加强以下几点注意事项

1 域名注册商的安全防范能力需要注意选择信誉好、安全级别高的域名注册商。

2各DNS运营商对一些影响力较高的网站要注意做好域名劫持的应急预案而DNS 域名拥有者也需要在平时建立好与域名注册商的良好协调机制在条件的话要有备用域名并在不同域名注册商分开注册。

3重视授权服务器的建设和维护并派专人维护授权域名服务器做好安全加固和

监测服务正常情况及时处理授权域名服务器故障。

4对于域名注册所用的邮箱及密码要加强安全措施。

切断源头控制DDoS的危害

对于DN S服务器软件漏洞是一项长期的工作一刻也不可以松懈需要及时关注相应服务器软件的安全公告。 对于国内普遍采用的 Bind 系统 可以到http s://www.is c.or g/adv is o r ie s/b in d获取最新的安全公告。

对于DDoS攻击就象一座火山你不知道什么时候会喷发。DDoS攻击仍然是一种可怕的威胁没有100%的正确解法流量清洗可能会有些帮助。也许更重要的是要了解当DDoS攻击时是否已经做好了相应的应急预案来缓解之。我们目前研究的一项工作是如何减少“肉鸡”的存在从而切断DDoS的源头控制DDoS可能的危害程度。

DNS根服务器和缓存中毒我们评估其安全风险为中的原因在于尽管其危害程度为高但目前在技术上已经有了较大进步从而在充分采用了当前最新技术后其未来安全风险下降为中。值得引起注意的是尽管Ox20和源端口随机化能够有效减轻缓存中毒的危害但经测试另有占一定比率的DN S缓存服务器没有采用这两种技术的任何一种从而导致有高度的缓存中毒的风险。

DNS解析信任安全是一直被忽略的一个领域。我们在本文提出来抛砖引玉希望能够重视这一问题 以防止DN S解析被滥用。

作者单位为上海交通大学信息安全工程学院