攻击基于代理模式防御DNS欺骗攻击

基于代理模式防御DNS欺骗攻击

//.paper. edu.cn

- 1 -

中国科技论文在线

基于代理模式防御DNS欺骗攻击

王虎张华高飞**

作者简介王虎1989男硕士研究生 网络安全

北京邮电大学网络与交换技术国家重点实验室北京100876

5摘要 DNS是目前互联网重要的基础部分对它的攻击将会影响整个互联网的工作。 DNS

欺骗攻击时攻击者常用的方法它具有隐蔽性强、打击面广、攻击效果明显的特点。 DNS安

全问题越来越得到人们重视但是目前针对此攻击的解决方案主要为DNSSEC。而DNSSEC

只是利用数字签名保证数据的真实性和完整性所以其存在密钥安全问题并且增加了计算负

荷 目前还没有广泛的应用。本文在分析DNS欺骗原理的基础上提出一种以本地代理的方10

式进行部署的检测防御系统。它不仅能有效的防御DNS欺骗攻击而且计算负荷较小、处

理时延较短。

关键词数据安全与计算机安全 DNS欺骗攻击攻击检测攻击防御

中图分类号 TP393.08

15

Agent-based models defense DNS spoofing attacks

WANG Hu, ZHANG Hua, GAO Fe i

(State Key Laboratory of Networking and Switching Technology, BeijingUniversity of Posts and

Telecommunications, Beijing 100876)

Abstract: DNS is an important basis for part of the Internet. Onceit is attacked, it will affect the 20entire Internet work. DNS spoofingattacks when the attacker commonly

used method, it hasconcealed against awide range, the effect is obvious characteristicsof the attack, but the solutionfor this attack is just DNSSEC. But DNSSEC just use digital signaturesto ensure the authenticityand integrity of the data, so it exists key security issues andincreasing the computational load. It isno widely used. Based on the analysis the principle of DNS spoofing,this paper presents a 25detection defense system, which in the local proxy mode deployment.It can not only effectivelydefense DNS spoofing attacks, and spend less computational load andthe shorter processing timedelay.

Key words: Data security and computer security; DNS spoofing attacks;attack detection; attack

defense 30

0引言

DNS是一个用于管理主机名字和IP地址信息映射的系统。它将容易记忆的主机名称同

IP地址进行了映射很大程度上方便了人们的使用。 DNS是大部分网络应用可以正常工作

的基础但是由于其协议本身的缺陷没有提供适当的信息保护和认证机制使得DNS很35

容易受到攻击。

一直以来 国内外很多学者都在研究DNS安全性的问题对于DNS协议所固有的安全

缺陷给出了一些解决方案。 IETF的域名系统安全工作组提出了域名系统安全扩展协议

DNSSEC

[1] 该协议增加了认证机制增强了协议本身的安全性。但是目前该协议

在系统效

率和密钥管理等方面还存在一定的问题而且离大规模的普及和应用还有一定的距离并且40

该协议也牺牲了原有DNS快速高效响应的优势。因此除了对DNS协议本身的安全研究之外

缺乏一种不牺牲DNS快速响应特性的防御方案。

本文第二节将介绍DNS的一些基础知识并在此基础之上分析DNS缓存服务器的域

//.paper. edu.cn

- 2 -

中国科技论文在线

名解析过程和易遭受攻击的原因。第三节将阐述两种DNS欺骗攻击的实现过程和原理。第

四节将介绍DNSSEC的功能以及工作原理并对其进行脆弱性分析。第五节

介绍本文主要45

的创新方案——基于代理的DNS欺骗防御系统并分析其工作原理和组成部分并在第六

节对利用ADMID攻击平台进行攻防实验的数据和结果进行了分析论证防御系统的有效性

和高效性。

1 DNS基础

在设计伊始 DNS就被设计成一个公共的数据库。 由于规模庞大使得DNS系统不可能50

在一个中心服务器上维护这么大量和频繁变更的信息。所以DNS系统必定是一个分布式的

系统。构成DNS系统的重要部分是DNS服务器。根据功能的不同可分为授权DNS服务器

Authoritative DNS和缓存DNS服务器(Cache DNS) 。授权DNS服务器管理了它所在域的

域名信息是这些域名信息的源和发布者。缓存DNS服务器的信息来源于

授权DNS服务器

为的是将查询过的信息缓存下来一段时间再次查询相同信息时不用再向授权DNS服务器55

询问 以分担授权DNS服务器的工作。现有的DNS协议没有对域名空间中的信息做任何访

问限制。 DNS内部也没有为数据提供任何安全认证和数据完整性检查。这些问题导致了DNS

容易遭到中间人欺骗攻击和缓存中毒攻击从而不能正常的工作。

2 DNS欺骗攻击原理

2. 1中间人欺骗攻击60

由于DNS协议缺乏必要的认证机制客户端无法确认接收到的信息的真实性和权威性

基于名字的认证过程并不能起到真正的识别作用而且接收到的应答报文中往往含有额外的

附加信息其正确性也无法判断这一特点为位于客户端和域名服务器之间的中间人攻击者

提供了可乘之机。中间人攻击者主要通过监听数据包和猜测请求或应答报文中的ID号来实

现这种攻击。 中间人攻击[2]的原理如图1所示。它具体的实现过程如下

65

图1中间人攻击示意图

1)合法用户向DNS服务器发送DNS查询设ID号为9。该ID号是唯一的其目的

在于辨识查询和对应的响应。 70

2) 中间人也就是攻击者监听到合法用户发出的DNS查询域名和ID号等信息之后

伪造一个DNS响应发送给合法用户。攻击者必须尽快的伪造出DNS响应并发送给

合法用户。这样才能保证合法用户收到DNS服务器的响应之前收到伪造的DNS

响应从而达到欺骗攻击的效果。

3) DNS服务器向合法用户发送正常的DNS响应。但是此时合法用户已经收到中间人75

伪造的ID号为9的DNS响应。由DNS协议标准[3]可知合法用户将丢弃DNS服

//.paper. edu.cn

- 3 -

中国科技论文在线

务器的正常DNS响应。

2.2 DNS缓存中毒

为了减少网络中DNS的通信量所有的名字服务器均使用高速缓存。高速缓存的使用

节省了访问的时间却使得DNS缓存中数据的一致性受到了威胁。 DNS缓