内网域名系统的安全保密风险（上）

时间：2023-02-21 14:15:01 | 来源：建站知识

时间：2023-02-21 14:15:01 来源：建站知识

内网域名系统的安全保密风险（上）：内网域名系统中的安全保密风险情况分为9类，由于篇幅太长，小编将整篇文章分为上下文。上文主要介绍内网域名系统中的9类安全保密风险情况，下文并归纳了5种防护措施，希望可以帮助企事业单位做好风险防范工作。

缓存投毒

缓存投毒主要针对的是递归解析服务器，攻击者是利用递归解析服务器无法验证DNS数据真实性的特点。将虚假的DNS查询回复写入递归解析服务器的高速缓存中，同时为延长缓存中毒的时间，攻击者还会将回复TTL设得足够大。这样客户端向递归解析服务器查询有关域名信息时，会命中高速缓存的中毒信息，导致客户端收到错误的IP地址，访问到攻击者控制的服务器，造成用户数据泄露。

在内网域名系统中，此种攻击方式只适用于多级部署且DNS服务器开启递归解析功能的情况。对于仅主、辅两台DNS服务器的单级部署方式，因为主、辅DNS服务器不需要向其他DNS服务器查询，因此一般不会缓存中毒。

DNS ID欺骗

域名解析采用基于UDP协议的数据报文进行通信，且请求报文和响应报文具有相同的数据结构，如图4所示。

其中报文头部的ID是DNS查询应答的唯一标识，通常是随机生成的。当客户端发起DNS查询时，攻击者可以在DNS服务器应答前伪造同样ID的响应报文对客户端进行欺骗攻击，其危害和缓存投毒一样，都会使客户端访问到攻击者控制的服务器，但其攻击不如缓存中毒攻击持久。DNS ID攻击需要获取客户端DNS请求报文头部的ID，采用穷举法显然效率不高，通过监听客户端网络数据包或者采取ARP欺骗的方式，更容易实现，特别是攻击者和客户端在同一个内网、同一个网段的情况下。

普通DDoS攻击

分布式拒绝攻击（DDoS）是网络中最常见的攻击方式，不仅域名系统，网络中所有服务器都深受其害。其具体攻击方式有多种，针对域名系统的DDoS攻击最基本方法就是利用大量正常的DNS查询请求来占用DNS服务器的网络带宽、CPU、内存等资源，使得其他合法的DNS查询得不到响应。

普通DDoS攻击常常需要控制较多的傀儡主机完成饱和攻击，如果查询数量不足，不能覆盖住DNS服务器的资源，就无法攻击成功。由于内网中本身客户端数量就有限，再加上防护措施比较多，较难控制大量主机进行DDoS攻击。另外，DDoS攻击只会导致DNS服务器性能下降，延迟提高，但查询结果还是正确的，因此在内网中的安全保密风险较低。

DNS 放大攻击

通常的DNS响应报文只有几十个字节，但特定查询的DNS响应报文却可以很长，例如ANY类型、TXT类型或者EDNS0的DNS响应报文可以上千甚至几千个字节；响应报文的长度是通常请求报文的几十倍。DNS放大攻击就是利用了这一特性，向DNS服务器发送大量此类查询请求，DNS服务器将回复几十倍的应答流量，资源被更快地消耗。

这种攻击可以看作是普通DDoS攻击的加强版，攻击者可以用更少的查询量、更快地攻瘫DNS服务器。同普通DDoS攻击一样，由于内网中可控制的主机数量有限，要成功完成此。

DNS反射攻击和反射放大攻击

DNS反射攻击是利用DNS服务器的响应报文攻击客户端或递归解析服务器的攻击方式。攻击者利用傀儡主机向多个DNS服务器（反射体）发起大量的DNS查询请求，查询请求的源IP地址伪造为受害客户端或递归解析服务器的IP地址，这样DNS服务器返回的响应结果流量就会全部打到受害客户端或递归解析服务器上，迅速消耗其资源，导致无法提供服务。

DNS反射攻击通常结合DNS放大攻击一起使用，即反射放大攻击，发起大量伪造源IP地址的、会放大响应报文的DNS查询请求，以增强攻击效果，这种方式往往比普通DDoS攻击更有效。由于反射攻击和反射放大攻击都需要足够多的反射体（即DNS服务器）来响应查询请求，而内网中DNS服务器的规模数量要比互联网中小得多，因此这两类攻击的在内网中发生的概率较低。

DNS日志泄露

DNS服务器日志中含有客户端请求域名解析的记录，一般包括日期、时间戳、请求源IP地址和端口号、请求域名、解析记录等信息。内网域名系统中，请求源IP地址就是客户端真实的IP地址，这样，DNS日志记录就提供了一个完整的存活主机列表。在内网中，各种扫描工具会被严格限制，如果能够访问到DNS服务器日志，就代替扫描工具拿到了存活主机列表，完成了网络渗透攻击的第一步。互联网域名系统中，在使用IPv4的情况下：

一是因为地址空间有限，客户端访问互联网时，会进行网络地址转换。因此，递归解析服务器日志中的请求源IP地址并不是客户端的真实地址（IPv6环境下，IP地址不再是紧缺资源，客户端访问互联网不进行地址转换，递归解析服务器上存储的就是真实的客户端IP地址）；

二是域名解析是由递归解析服务器代替客户端向权威域名服务器查询的，因此权威域名服务器上的DNS日志，请求源IP地址为递归解析服务器的IP地址，不是客户端IP地址；

三是互联网域名系统的DNS服务器中有海量的DNS日志，日志分析利用的难度比较大，因此安全保密隐患相对较低。DNS协议设计之初没有过多考虑安全问题，为提高效率，几乎所有DNS流量都是基于明文传输的，没有采取保护措施。因此通过链路监听的方式，也可以分析出请求源IP地址、查询的域名等信息，甚至可以通过监听DNS响应报文，获取服务器的IP地址列表。

主/辅部署不当

内网域名系统通常以主/辅方式部署DNS服务器，当其中某一台服务器不能工作时，另一台服务器仍然可以提供解析服务。然而实际部署中，主、辅DNS服务器常常位于同一网段、同一防火墙后、同一物理地点，不能有效防止区域性突发事件造成的服务中断（例如网络中断、电力中断、防火墙拥塞等），具有潜在的可用性问题。

在互联网域名系统中，域名系统是关键基础设施，无论是递归解析服务器，还是权威域名服务器，都部署了大量的辅服务器或镜像服务器，此方面的安全隐患较低。

匿名区域文件传输

区域传输用于主、辅DNS服务器之间的数据更新和备份。例如，当主DNS服务器上的权威记录发生变化时，辅DNS服务器通过区域传输的方式从主DNS服务器下载区域文件的完整副本，以保持数据一致。在具体实现上，区域传输采用客户端-服务器的形式进行，客户端发送一个axfr（异步完整区域传输）类型的DNS查询请求，通过TCP连接从服务器端获取完整的区域文件。

区域文件为域名服务器的敏感数据，应该严格保护，避免泄露，因此，异步完整区域传输应当仅允许在受信任的DNS服务器之间进行。但内网中，由于和外部网络隔离，此方面防范经常疏忽，DNS服务器常配置不当，任意匿名主机都可以利用异步完整区域传输获取完整区域文件，暴露网络中的信息，加快渗透攻击进程。

匿名区域文件更新

主DNS服务器的区域文件更新可通过运维主机编辑服务器上的区域文件完成，运维主机通过update请求完成对区域文件的修改。这个操作也应当仅允许在受信任的主机和DNS服务器之间进行。但内网中，有时为了便利操作，DNS服务器会开放配置，任意匿名主机都可以更新。这样攻击者可以通过构造恶意的update请求对区域文件进行任意修改，将域名解析地址更改为攻击者控制的IP地址，以便开展下一步窃密行为。

综上，本文列举了一些常见安全问题在内网域名系统中的安全保密风险情况。另外，还有一些老生常谈的DNS服务器操作系统配置不完善、DNS软件（Linux系统的BIND、Windows系统的DNS服务系统组件）配置不完善等风险以及一些在内网域名系统出现概率非常低的安全保密风险，如相似域名欺骗、伪造DNS服务器、无效域名查询攻击等，就不再一一赘述。

---

内容转载自国家保密局，仅供学习分享，如有问题请直接咨询或致电全国服务热线：400-163-0608

关注我们，了解更多保密资格内容。