研究与开发Research & Development研究与开发域名安全问题分析及策略建议申志伟1,2 张 彬1 康 旗2 陈文基1 张 辉21 北京邮电大学经济管理学院 北京 1008762 中国联通研究院 北京 100032摘 要 域名作为用户访问互联网的入口,日益成为互联网最重要的基础设施之一,它承载着互联网上的各种应用。但是当前针对域名系统的攻击事件却层出不穷,因此有效保证域名系统稳定高效的运行也就显得非常必要。本文从三个层面详细分析了当前域名系统遇到的安全问题,提出了一些域名安全策略建议。关键词 互联网;域名系统;域名安全;安全策略务器都被称为主机,每一台主机都有一个IP地址,它是引言由分为四部分的一串数字组成,每部分数字之间由小数以现代通信网络、电子计算机网络为信息网络基础点隔开,例如100.26.166.68,这些数字是用户访问互联的互联网,在经过一次次技术创新积累之后在全球迅猛网网站的地址,也是计算机能够识别的。域名系统的作展开,全世界亿万个终端可以同时在一个互联网上传递用就是把这些数字转换成一些容易记忆的字母组合,例交流信息、运作种种事务,前所未有的网络企业、电子如www.sohu.com。下面以客户端和DNS服务器的交商务、远程教育、电子货币、网上资讯等爆炸式地在互互过程来简单论述下域名系统的工作原理。联网上不断得到展现,它在人类的日常生活中正在扮演客户端将域名查询请求发送到本地DNS服务器,着日益重要的角色。而域名作为一种有价值的资源已成DNS服务器在本地数据库中查找客户端要求的映射;如为国家和企业迈入信息化社会、适应现代国际商业市场果本DNS服务器不能在本地找到客户端查询的信息,则竞争的重要工具, 得到了越来越广泛的应用,它潜在的将客户端请求发送到根域名DNS服务器。根域名DNS商业价值随着网络应用范围的不断扩大和功能的迅速丰服务器负责解析客户端请求的根域部分,它将包含下一富得到了体现,已经成为支撑互联网正常运转的不可或级域名信息的DNS 服务器地址返回给客户端的DNS服缺的关键基础设施。但也正是因为域名所具有的这些巨务器;客户端的DNS服务器利用根域名服务器解析的地大商业价值,当前针对域名系统进行的网络攻击也就不址访问下一级DNS服务器,得到维护再下一级域名的断发生,也只有通过对这些安全问题认真分析,我们才DNS服务器地址;按照上述递归方法逐级接近查找目能够有针对性的制定出有效保障域名安全的防御方案和标,最后在维护有目标域名的DNS服务器上找到相应的措施。IP地址信息;客户端的本地DNS服务器将递归查询结果返回客户端;客户端利用从本地DNS 服务器查询得到1 域名系统及其工作原理的IP 地址访问目标主机。DNS是Domain Name System的英文缩写,又称域名系统[1],它是一种组织成层次型结构的计算机和网2 域名系统安全问题分析络服务的命名系统,是连接到互联网上的计算机或者服2.1 域名系统攻击手段务器地址。在互联网上,每一台接受访问的计算机或服当前域名劫持是危害域名安全的主要技术之一,域34信息通信技术名劫持就是在劫持的网络范围内拦截域名解析的请求,报文。在上述例子中,攻击者只需要采用DOS攻击域名分析请求的域名,把审查范围以外的请求放行,否则直服务器,使得域名服务器不能回应给客户的请求,而攻接返回目的IP地址或者什么也不做使得请求失去响应。击者这时候伪造响应报文就很容易得逞。其效果就是对特定的网址不能访问或访问的是假网址,2.1.3 域名系统缓存中毒恶意的攻击者可以很容易地通过域名欺骗取得用户的账域名系统为了提高查询的效率, 普遍采用了高速号密码、个人信息、商务机密等等资料。域名系统目前缓存技术, 这项技术能够带来查询的高效率,但是也给遭受到的最主要的攻击手段,主要包括拒绝服务攻击、攻击者提供了一个良好的场所。具体过程:在域名系统误导目的地址和域名缓存中毒[2]。的缓存数据还没有过期之前, 如果域名系统的缓存区中2.1.1 拒绝服务攻击 已存在的记录一旦被客户查询,域名系统服务器将把缓域名系统采用层次化的树状结构,由树叶走向树根存区中的记录直接返回给客户。域名系统缓存区中毒就就可以形成一个全域名。每个全域名都是惟一的。域名是利用了域名系统的缓存机制,在缓存区中存入错误的系统的网络拓扑结构如图1 所示:域名系统服务器A2数据使其被其他查询客户所获得。在缓存数据的生存期为网络节点a、b、c、d 工作,如果A2不能正常工作,内,缓存区中毒的机器又可能将错误的数据传播出去,则其所辖的所有节点都无法通过域名连接到网络,A2导致更多的服务器缓存中毒。如果减少缓存数据的生存成为该子网的瓶颈,存在单点故障风险问题。并且A2期,可以减少缓存中毒的影响范围,但过于频繁的缓存不能正常工作时,其所管辖的子域都无法解析域名,仅数据更新将大大增加服务器的负担。能通过难以记忆的IP地址访问网络,对多数网络用户而2.2 域名结构及层次言,无法接入网络,甚至还会被利用来对其他主机进行目前互联网上的域名体系有三类顶级域名:反弹式攻击。一是地理顶级域名,共有243个国家和地区的代码。例如.CN代表中国,.JP代表日本,.UK代表英国等等,另一类是类别顶级域名,共有7个:.COM(公司),.NET(网络机构),.ORG(组织机构),.EDU(美国教育),.GOV(美国部门),.ARPA(美方),.INT(国际组织)。由于互联网最初是在美国发展起来的,所以最初的域名体系也主要供美国使用,所以.GOV,.EDU,.ARPA虽然都是顶级域名,但却是图1 域名系统网络拓扑图美国使用的。只有.COM,.NET,.ORG成了供全球2.1.2 误导目的地址使用的顶级域名。相对于地理顶级域名来说,这些顶级当用户需要取得域名系统服务时,被攻击者提供域名都是根据不同的类别来区分的,所以称之为类别了一条虚假域名响应,让域名解析器误认为是来自本地顶级域名。随着互联网的不断发展,新的顶级域名也域名服务器的正确响应,于是用户得到的IP地址是一个根据实际需要不断被扩充到现有的域名体系中来。新伪造的地址。接着,用户在客户端输入账号密码,攻击增加的顶级域名是.BIZ(商业),.COOP(合作公司),.者轻易地得到了该用户的账号密码。这类攻击的发生,INFO(信息行业),.AERO(航空业),.PRO(专业人主要在于目前的路由器没有能力禁止错误的源地址,因士),.MUSEUM(博物馆行业),.NAME(个人)[3]。此,只要攻击者能够路由到你的主机,他就能够伪造一在这些顶级域名下,还可以再根据需要定义个看起来像是从一个值得信赖的域名服务器返回的响应次一级的域名,如在我国的顶级域名.CN下又设立2010 0635Research & Development研究与开发了.COM,.NET,.ORG,.GOV,.EDU以及我国各题就是根域名服务器受到直接攻击。当前可以通过实个行政区划的字母代表如.BJ代表北京,.SH代表上海施镜像技术(Anycasting)来提高根域名服务器的网络抗等等。图2说明了国际互联网的域名体系结构。攻击能力,在全球部署的超过120个根域名服务器节点中,F、J和I是在中国设置的镜像服务器,通过这三个根镜像服务器可以降低根域名服务器受到安全攻击时的影响,但是我们仍然不具备对这三个镜像服务器的管理权,而这种管理权的丧失就会使我们非常被动,从而无法对根域名服务器实施安全控制,这也就造成了信息安全隐患。 表1 全球根域名服务器分布情况编号管理单位及分布情况对应IP地址AINTERNIC.NET(美国,弗吉尼亚州)198.41.0.4B美国信息科学研究所(美国,加利福尼亚州)128.9.0.107图2 国际互联网那个域名体系结构CPSINet公司(美国,弗吉尼亚州)192.33.4.122.3 域名服务器安全问题分析D马里兰大学(美国,马里兰州)128.8.10.90E美国航空航天管理局(美国,加利福尼亚州)192.203.230.10根据2.2中的域名体系结构中可以看出根域名服务F因特网软件联盟(美国,加利福尼亚州)192.5.5.241器和顶级域名服务器是最为重要的,根域名服务器是根G美国国防部网络信息中心(美国,弗吉尼亚州)192.112.36.4H美国陆军研究所(美国,马里兰州)128.63.2.53域的权威域名服务器,互联网的一个主要弱点就是它完IAutonomica公司(瑞典,斯德哥尔摩)192.36.148.17全依赖于使用根域名服务器的域名系统,根域名服务器JVeriSign公司(美国,弗吉尼亚州)192.58.128.30KRIPE NCC(英国,伦敦)193.0.14.129掌握着国际顶级域名的所有授权细节。根据域名解析的LIANA(美国,弗吉尼亚州)198.32..12原理,所有域名查询请求均需首先向根域名服务器进行MWIDE Project(日本,东京)202.12.27.33首次查询,正是因为域名系统的设计并没有考虑信息的2.3.2 顶级域名服务器的安全问题完整性、真实性、不可伪造性,也没有考虑认证,如果顶级域名服务器的职责就是要找到与域名相对应互联网链路出现故障、或因根域名服务器过载、或根域的本地域名服务器,本地域名服务器通过根域名服务器名服务器数据记录遭到恶意修改,域名安全问题就会凸查询得到顶级域名服务器的IP地址后,就会将其缓存下现出来,下面分析根域名服务器和顶级域名服务器的安来,这也就是说如果还有域名查询者通过这台本地域名全问题:服务器查询顶级域名服务器的IP地址的时候,就不会再2.3.1 根域名服务器的安全问题到根域名服务器进行查询,因此顶级域名服务器的主要当前全球共有13个根域名服务器(编号为A~M),工作就是对域名进行查询。A为根域的主域名服务器,B~M为根域的辅域名服务当前根域名服务器中包括“.cn”,“.com”,器,这些服务器由ICCAN(The Internet Corporation “.net”等等在内的200多个域,由于所包含的域不是for Assigned Names and Numbers)进行统一管理。很多,因此本地域名服务器将这些信息全部缓存下来并其中有10台由美国管理,欧洲的英国和瑞典各2个、日不是难事。但是很多顶级域名服务器中却拥有大量的域本管理1个。表1详细说明了这13个根域名服务器的分布名数据,少则上万,多则几千万条记录,而这些查询都情况以及相对应的IP地址。是来自于全球各地,如此海量的查询访问量将使得顶级在国外有很多计算机科学家将根域名服务器称作域名服务器极可能受到安全攻击,从而造成域名数据恶“真理”(TRUTH),因此整个互联网最致命的安全问意篡改或者截取,因此国家顶级域名服务器不仅是一个36信息通信技术国家互联网稳定运行和发展的基础,而且在联合国世界直接破坏域名服务器核心数据甚至使之缺失。2003年信息峰会上,它更被确定为一个国家主权的象征,其解CNNIC的域名注册服务的安全攻击导致了域名解析数析的数据是分析互联网运行以及趋势的重要数据来源,据生成不完整,使得部分域名访问失败。同时注册管理处于非常重要的地位,因此需要不断加强顶级域名服务机构还负责运行其管理的一组多个主辅域名服务器,域器的维护和运营,大幅提升其处理性能和安全应对能名服务器本身的安全问题以及主辅服务器之间数据传输力,这样可以有效的保障域名系统的安全。的安全也至关重要。网络攻击者可以通过窃取域名服务2.4 域名体系角色安全问题分析器的管理账号来修改域名解析数据,通过获取主辅服务从互联网的域名体系上来看,它主要包括五个角器数据同步的信息来篡改它们的解析数据,同样也可以色[4]:域名注册者、注册服务机构、注册管理结构、本通过拒绝服务攻击特别是分布式拒绝服务攻击来致使域地域名服务器和域名访问者,这五个角色都存在各自的名服务失效。安全问题,现简要分析如下:2.4.4 本地域名服务器的安全2.4.1 域名注册者的安全本地域名服务器作为用户域名解析的代理,负责域名注册者通过注册服务机构注册域名后,注册完成整个域名解析过程,并将解析结果返回给用户,几服务机构就会给域名注册者一个管理账号,通过这个管乎任何一个网络都会设置一台或者多台域名服务器提供理账号可以管理其拥有域名的相关信息,比如IP地址、给该网络的用户作为本地域名服务器。诚如在顶级域名联系人方式等等。域名注册者可以是个人,也可以是公服务器安全性问题分析中所诉,本地域名服务器充当了司,如果域名注册者对其管理账号的管理不到位的话,缓存服务器的作用,它将近期查询过的域名信息缓存到那么就很可能被人占用,或者使用后进行一些非法活服务器中,使得下一个用户再查询同样域名的时候就可动,从而对个人和公司都会造成严重的负面影响,导致以直接返回结果,而不用再到根域名服务器进行查询。巨大的损失,2010年1月12日的百度域名劫持事件就是由于当前人们对本地域名服务器的安全问题还不是很重其典型的案例之一。视,因而网络攻击者就可以抓住这点通过对安全管理薄2.4.2 注册服务机构的安全弱的本地域名服务器进行控制来修改其缓存IP地址,这注册服务机构的作用是域名注册者和域名注册管理样本地域名服务器的安全问题也就凸现出来。机构进行交易的代理,而且注册服务机构还时常代替域2.4.5 域名访问者的安全名注册者进行注册。因此如果注册服务机构对其注册服域名访问者是通过本地的应用程序以及解析器来发务以及代理域名服务的安全管理工作没有做到位的话,起域名访问,并且获取本地域名服务器返回的域名查询那么就会出现域名安全问题,而注册服务机构和注册管结果。对于域名访问者而言,他们面临的主要问题就是理机构之间的通信安全也是非常重要。2006年万网遭到本地主机的安全,如果本地主机中了各种类似后门木马攻击从而引起Google.cn被导向至买卖网,还有新网被的病毒后,那么网络攻击者就可以通过这些病毒来实现攻击造成很多其代理的域名数个小时访问不正常都充分控制用户主机的目的,任意修改其域名查询的结果,让说明了这个问题。2010年4月工业和信息化部通信保障用户自动跳转到自身设定的不良网站上。局在西安召开《通信网络安全防护管理办法》宣贯会,把域名注册服务等机构纳入到了安全管理中去。3 域名安全策略建议2.4.3 注册管理机构的安全从本文第三部分的论述中可以看出,域名安全受注册管理机构的职责是运行域名注册服务并负责到威胁和攻击是通过各种不同的技术手段来实现的,虽管理域名核心数据库,如果这部分服务受到攻击,会然目前域名的协议以及解析流程通过近几年的不断优化2010 0637Research & Development研究与开发而得到增强,从技术层面上对域名系统免受攻击有一定的重视,除了国家主权之外,域名体系的安全更是信息的保障作用。但是2006年年底,台海地震导致国际网络安全的保证。传输光纤中断引起国际网络出口故障,直到2007年1月4) 不断完善的域名管理和监管体系。技术是手底才基本恢复,这期间引起很多网站无法访问,究其原段,而完善的域名管理和监管体系则是保障技术手段得因,就是因为有些网站服务器设置在国外而导致无法访到落实的机制,有了这个机制,人们才会充分认识到域问,比如MSN、Goog1e等等,还有些网站是因为使用名安全的重要性,也才会有积极性从源头上去维护域名国外的域名,国际网络出口中断后,导致对国外域名服的安全。务器的访问失败,既便其网站服务器放在国内,但是域名解析失败仍然会导致用户无法访问,很多网站因此损4 结语失惨重。另外2009年5月19日晚21时起由于BAOFENG.域名系统作为互联网的基础设施,其安全性的好坏COM网站的域名解析系统受到网络攻击出现故障[5],导是衡量信息安全最重要的一环。本文从域名体系攻击手致电信运营企业的递归域名解析服务器收到大量异常请段、域名服务器和域名体系角色三方面详细分析了域名求而引发拥塞,造成江苏、河北、山西、广西、浙江等系统的各种安全问题,从中可以看出域名系统的安全问省陆续出现互联网网络故障,互联网用户的服务受到影题是一个综合性问题,涉及面非常广,要想全面保证这响。从这些事故中可以看出域名系统正在经受越来越多样一个系统的安全,是一项极为复杂的工程。本文最后的安全攻击,也说明了对域名根服务器和顶级服务器拥在技术、管理等方面提出一些初步建议以供参考。有管理权是一件非常重要的事情,而当前在域名系统的管理方面仍然存在着很多需要完善的地方,以下简要对参考文献域名安全提出一些策略建议以供参考。[1]Mockapetris P.Domain names-concepts and 1) 积极争取获得域名服务器的运营管理权。只有facilities[S].STD13,RFC 1034,November 1987拥有域名服务器的运营管理权,才能从源头上保障域名[2]吴海涛,郭丽红.DNS 协议分析与安全检测[J].计算体系的安全性,这也是利用技术手段去增强域名安全的机安全,2009(4):24-27基础。[3]域名常识[EB/OL].[2003-10-20].http://www.2) 不断优化域名防攻击技术手段。域名安全的攻cnnic.net.cn/html/Dir/2003/10/20/0909.htm击与防御是一种不断交互的过程,只有不断的升级和完[4]李晓东.公共互联网域名体系安全综述[J].信息网络善防攻击技术手段才能有效地抵御安全威胁。安全,2007(5):23-253) 增强对域名安全的重视。当今世界是一个互联[5]中国域名产业报告[EB/OL].[2009-5-网的时代,而域名是进入互联网门户的基础,特别是从10].http://www.cnnic.cn/uploadfiles/事电子商务和电子政务的网站更应该增强对域名安全性pdf/2009/6/8/135003.pdf38信息通信技术作者简历申志伟张 彬中国联通研究院工程北京邮电大学教授,博师,北邮博士,研究方向为士生导师,主要研究领域为互联网治理、电信规制与战信息与通信管理、电信运营略、网络安全等。管理和信息化水平测评。康 旗高级工程师。本科毕业于哈工大获工学学士,研究生分别毕业于、清华获经济学、管理学硕士;曾就职于中国网通网络部、规划部、总工办、计费中心、产品研发中心、网管中心等,现就职于联通研究院。陈文基张 辉北京邮电大学博士研毕业于电子科技大学通信与电子系统专业,究生,主要研究领域为博弈工学硕士,现就职于中国联通研究院,市场研究论、产业组织理论、战略管组工程师。理等。Aanalysis and Suggestions on Domain Name SecurityShen Zhiwei1,2Zhang Bin11 School of Economics and Management, Beijing University of Posts and Kang Qi2 Telecommunications, Beijing 100876, ChinaChen Wenji12 China Unicom Research Institute, Beijing 100032, ChinaZhang Hui2Abstract As a user access entry to Internet, the domain name is increasingly becoming one of the most important infrastructures, which carries a variety of applications on the Internet. Currently, as the attacks against the domain name system is emerging more and more, it is very necessary to ensure that the domain name systems operate stably and effectively. In this paper, the problems of current domain name system security are analyzed from three aspects and some suggestions on domain security strategy are given.Keywords Internet; Domain Name System; Domain Name Security; Security Strategy2010 0639Research & Development
