如何保障DNS系统的安全迫在眉睫，势在必行系统安全风险分析

<"https://vps.cmy.cn/p/4439.html" title="运营商" "">运营商DNS系统安全解决方案117运营商DNS系统安全解决方案中联绿盟信息技术（北京）有限公司概述域名系统（DNS）作为互联网基础设施，在互联网服务中占据着越来越重要的地位，保障域名系统安全运行对于维护互联网安全、提升客户感知具有重要意义。近期互联网领域频繁发生针对DNS系统的DDOS攻击（分布式拒绝服务攻击）、缓存投毒、权威域名篡改等导致互联网断网或者重要应用无法访问等安全事件；有些DNS安全事件造成的损失非常巨大，以“519断网事件”为例，据有关人士估计，电信运营商损失约为1.2亿元。如何保障DNS系统的安全迫在眉睫，势在必行。该文档将给出DNS系统的安全防护整体解决方案，为运营商的DNS系统保驾护航，使其为用户提供可信、安全、可靠的DNS服务，满足运营商DNS系统“业务可用、解析正确、状态可视”的安全需求。DNS系统安全风险分析2.1DNS系统的重要性DNS（DomainNameSystem，域名系统），是Internet的一项核心服务，它作为可以将域名和IP地址相互映射的一个分布式数据库，能够使人更方便地访问互联网，而不用去记住能够被机器直接读取的IP数串。完整的域名系统由递归域名服务系统（即本地域名服务器）、根域名服务系统、顶级域名服务系统以及各级域名服务系统等四个层级构成。

DNS是十分重要的Internet基础设施，是Internet的基石，是互联网的起点和入口，是全球互联网通信的基础，基于Internet的各种Web服务、E-mail服务、路由服务都依赖或者间接依赖DNS。DNS的作用相当于互联网的中枢神经系统，域名系统的故障会导致互联网陷入瘫痪。域名系统就像是“空气”，平时我们感觉不到它的存在，但是一旦出现问题，其影响可能是“致众所周知的“519断网事件”，为DNS的安全再一次敲响了警钟，并给了一次深刻的教训。2010中国通信业百个成功解决方案评选获奖方案11821时起，由于baofeng.com网站的域名解析系统受到网络攻击出现故障，导致电信运营企业的递归域名解析服务器收到大量异常请求而引发拥塞，造成广西、江苏、海南、安徽、甘肃和浙江等省宽带用户大面积断网。此次断网事件造成的损失非常巨大，据有关人士估计，电信运营商损失约为1.2亿元，游戏运营商损失000万元。2.2DNS系统面临的主要风险目前，DNS面临的安全问题主要可以分为三类：DNS欺骗攻击、拒绝服务攻击、系统漏洞，下文将分别进行介绍。DNS欺骗攻击当一个DNS服务器遭到欺骗攻击，使用了来自一个恶意域名信息记录的，将会产生许多安全问题。

常见的DNS欺骗方式有以下几种：缓存投毒（cachepoison或缓存污染）、域名劫持、IP欺骗（IPSpoofing）、不安全的动态更新。拒绝服务攻击一旦DNS系统遭受拒绝服务攻击，其服务将停止，会导致互联网将处于瘫痪状态。针对DNS的拒绝服务攻击主要有：通用型DDoS攻击、、DNSQueryFlood攻击（常见的QueryFlood攻击有IPSpoofing型攻击、RandomQname型攻击、滥用型攻击等）；利用DNS的拒绝服务攻击主要有反射DDoS攻击（DrDDoS）、放大攻击等。系统与应用漏洞BIND已经是DNS服务器的事实标准，但是BIND自身存在安全漏洞，如远程缓存破坏漏洞、可预测DNS查询ID漏洞、验证远程拒绝服务漏洞、上下文远程拒绝服务漏洞等。DNS系统安全防护解决方案3.1DNS系统安全目标对运营商而言，DNS系统的安全目标是：第一，保障DNS系统自身的安全，第二，DNS服务的高可靠性、可用性、连续性，第三，为其他相关业务系统提供支持。也可以说，对运营商而言，DNS系统的安全目标就是为用户提供可信、安全、可靠的DNS服务。3.2DNS安全体系模型一个完备的DNS系统保障体系，应该包括四个部分（策略体系、管理体系、技术体系、运作体系）、四个层次（物理安全、网络安全、主机安全、应用及数据安全）和三个阶段（安全评估、安全防护、安全运维），它们共同构成一个有机的整体，协同作用，使DNS系统可以提供高可靠性、高可用性、高连续性的DNS服务，如图1所示。

运营商DNS系统安全解决方案119DNS安全体系模型3.3DNS安全整体解决方案框架从两个维度来构建DNS整体解决方案，如图2所示。绿盟<"https://vps.cmy.cn/p/1558.html" title="数掘科技高防CDN" "">科技DNS安全解决方案时间维度在安全评估阶段，DNS安全体系的建设内容主要是：依据风险管理思想，对DNS系统进行全面的安全评估，提出风险处置计划。在安全防护阶段，构建DNS安全体系的主要工作是：对DNS系统进行全面的实时安全防护运营商<"https://vps.cmy.cn/p/112.html" title="腾讯云dns解析套餐" "">dns污染，保障业务的可用性。在安全运维阶段，主要是从安全角度运营商dns污染，完善DNS系统运维工作，依托技术从管理上保障DNS业务的正常运行。对于电信运营商而言，DNS系统的安全运维工作主要包括以下三个方面：（1）安全运维队伍：如何建立一个高效、具备解决问题能力的安全运维队伍；（2）安全运维流2010中国通信业百个成功解决方案评选获奖方案120程：如何建立适合核心业务需求的安全事件处理机制、流程；（3）安全运维平台：依靠何种手段将众多的安全基础设施管理起来。构成维度主要从产品和服务两个方面，来构成DNS安全解决方案，产品主要包括绿盟科技安全基线检查系统、绿盟科技DNS专项防护系统、绿盟科技流量清洗系统；服务主要包括绿盟科技的针对DNS系统的安全评估服务、渗透测试服务、安全值守服务、系统监控服务、安全事件处理、应急响应、事件追溯等。

3.4DNS系统安全防护方案部署构建DNS系统双层立体防护体系：运营商骨干网部署流量清洗中心，进行大流量级清洗；DNS系统前部署DNS专项防护系统，进行有针对性的细粒度的清洗，基线检查工具用于日常安全检查评估工作。部署示意图如图3所示。DNS立体防护体系示意图3.5DNS系统安全服务方案3.5.1安全评估对运营商DNS系统进行安全评估，应该从技术和管理两个方面的评估展开。技术评估主要包括网络安全评估、主机安全评估、业务及应用安全评估、数据安全评估，目的是从网络、主机、业务及应用、数据等层面对DNS系统进行完整的安全评估，掌握其整体安全状况。管理评估主要包括安全管理制度、安全管理组织、人员管理安全、系统建设管理、运营商DNS系统安全解决方案121系统运维管理等方面的管理评估，目的是掌握DNS的安全管理状况。3.5.2安全加固在渗透、脆弱性评估的基础上，由绿盟科技形成加固方案以及整改建议，对DNS系统的应用软件、主机、网络设备、管理制度等四个方面进行检查加固工作。对于服务器加固而言，就是：根据服务器功能类型的不同，分别完成各自服务器在补丁更新、密码策略设置、运行策略配置、用户授权控制、日志审计等方面的分析与加固工作。

很多DNS系统使用BIND软件进行域名解析。BIND 安全选项非常多，应针对BIND 服务 软件进行安全配置，充分利用 BIND 自身已经实现的保护功能加强 BIND 安全性，从而能抵御 目前已知的BIND 安全漏洞，并尽可能使潜在的安全漏洞对DNS 服务造成最小的影响。 BIND 安全配置可完成针对限制域传输、限制查询、防止DNS 欺骗、设置重试查询次数、 修改BIND 的版本信息等Bind 系统安全配置，具体配置项目包括： 隐藏BIND版本信息 禁止DNS域名递归查询 增加查询ID的随机性 指定动态DNS更新主机 定义ACL地址名 设置重试查询次数3.5.3 渗透测试 通过采用渗透测试的方式，完成DNS 系统的渗透测试，找出面临的威胁，发现弱点、了解 设计和执行的缺陷，提前做针对性的防范工作。 3.5.4 安全巡检服务 对DNS 系统进行定期的安全状态巡查，借助专业工具在实际环境中检验系统的运作情况， 检测、分析系统的运行健康状况、策略的适用情况、安全方案应用的实际效果等，对其中发现 的问题及时进行修复，并提供优化建议。 3.5.5 安全值守服务 在重大/特定时期，提供 DNS 安全值守服务，即提供现场及远程的 724 小时 DNS 安全监 控服务，及时发现DNS 的安全问题，随时处理，保障DNS 的安全运营。

3.5.6 应急响应 DNS系统遭受攻击，或出现异常情况时，提供应急响应服务，使 DNS 系统恢复正常业 务。同时，针对域名系统可能发生的 DDoS 攻击、权威解析篡改、缓存投毒等安全事件，协助 客户编写应急预案并组织应急演练，完善安全事件的联动处理流程。 2010 中国通信业百个成功解决方案评选获奖方案 122 3.6 绿盟ADS-D 专项防护系统优势 DNS专项DDoS 防护模块 绿盟科技利用自己常年在 DDoS 领域的防护经验，利用反欺骗、协议栈行为分析、特定应 用防护、用户行为模式分析、动态指纹识别、流量限速等机制，专门开发了针对DNS 专项DDoS 攻击的防护手段，可以有效地对伪造源IP DNS 攻击、DNS 畸形包DoS 攻击、随机域名DNS Query Flood 等攻击进行清洗，将一般只有1 万到10 万QPS 查询容量的DNS 系统，提高到可以对千 万级QPS DDoS 攻击进行防护的能力，从而确保DNS 长期稳定的对外提供服务。 安全域名缓存绿盟科技ADS-D 专项防护系统，内置了安全域名缓存模块，利用这个安全域名缓存，可以 协助进行DNS 应用层DDoS 攻击判断、对DNS 的ID/Port 等碰撞投毒攻击的检测，同时还可以 实现诸如域名解析加速、Fast Flux 检测、域名控制、域名分析、域名保护、重点域名容灾等功 能，从而实现域名容错类安全问题的防护。

DNS投毒防控 绿盟科技ADS-D 专项防护系统利用安全域名缓存、缓存锁定机制以及特征识别等方式可以 有效地检测、防御DNS 投毒过程，有效地防控ID 检查机制投毒、源端口非随机性投毒、生日 攻击投毒、粘合投毒（Kaminski attack）等，从而为DNS 的域名安全和正确解析提供保障。 DNS监控模块 DNS 监控模块可以让DNS 服务器的运维人员轻松地获取DNS 的运行信息，并随时分析DNS 运行中的安全威胁趋势变化，接收DNS 安全事件的告警，从而全面掌控DNS 的运行安全问题。 一体化旁路部署方式在DNS 防护方式上，绿盟科技ADS-D 专项防护产品可以支持串联模式，也可以支持旁路 部署方式。根据DNS 应用特点，绿盟科技ADS-D 系统将流量安全的检测分析和清洗系统有机 地集成于同一设备上，从而实现监控和清洗一体化。建议选择旁路部署模式，在正常情况下， ADS-D 主要用来作为安全监控设备，一旦发生安全问题，可以由管理员手工或者自动的方式将 DNS 流量牵引到ADS-D 设备上，并进行威胁的清除和清洗。 DNS安全增值业务展望 那么，在保障安全的同时，我们还可以作什么呢？我们可以利用DNS，开展增值业务，找 到新的价值点，以促进收益。

4.1 安全上网业务 如图4 所示，利用DNS+Web 信誉系统，可以实现安全上网业务的开展。当用户访问某个网站， 输入该网站的URL 地址时，当地的DNS 系统会和绿盟科技云安全平台中的Web 信誉系统互动， 查询该URL 地址的信誉值，给出该页面是否安全的建议，DNS 专项系统再将此结果反馈给用户， 也可以直接阻断该访问。这样，就给用户创造了一个安全的上网环境，使用户可以无忧上网。 运营商DNS 系统安全解决方案 123 安全上网：DNS＋Web信誉系统 4.2 BotNet 主机检测业务 通过蜜网技术和DNS 专项防护系统的联合，可以实现BotNet 主机的检测，如图5 所示。 使用蜜网技术，可以深入跟踪和分析Botnet 的性质和特征。主要过程是，首先通过蜜罐等 手段尽可能多地获得各种流传在网上的bot 程序样本；当获得bot 程序样本后，采用逆向工程等 恶意代码分析手段，获得隐藏在代码中的登录Botnet 所需要的属性，如Botnet 服务器地址、服 务端口、指定的恶意频道名称及登录密码，以及登录所使用到的用户名称，通过行为分析中心 （BAC）对这些信息的分析，可以有效地跟踪Botnet 和获取Botnet 的特征。

当用户访问网络时，DNS 专项防护产品会和行为分析中心（BAC）互动，BAC 会识别该行 为是否是BotNet 的行为，从而可以实现BotNet 主机的检测和定位。 BotNet主机检测：DNS＋蜜网 2010 中国通信业百个成功解决方案评选获奖方案 124 4.3 精准广告推送业务 利用 DNS＋域名重定向，可以实现广告业务的推送，如图 所示。当DNS 解析失败时， 根据用户行为分析，将用户的访问指向预定义的该用户喜欢的Web 广告页面，从而实现广告业 务的精准推送。 总结域名系统（DNS）作为互联网基础设施，在互联网服务中占据着越来越重要的地位，保障 域名系统安全运行对于维护互联网安全、提升客户感知具有重要意义。如何保障DNS 的安全， 迫在眉睫。该文档从时间、构成两个维度给出了绿盟科技DNS 系统的安全防护整体解决方案， 为运营商的 DNS 系统保驾护航，使其可以为用户提供可信、安全、可靠的 DNS 服务；最后， 就DNS 安全增值进行了探讨。 域名系统（DNS）作为互联网基础设施，其安全问题直接关系到整个互联网应用能否 正常使用，体系性的问题需要用体系性的思路去解决，绿盟的解决方案从多个维度考虑， 不影响现有基础架构，部署简单灵活，并可以实现增值服务，具有非常重要的现实意义。 运营商DNS系统安全解决方案 125