內(nèi)網(wǎng)域名系統(tǒng)的安全保密風(fēng)險(xiǎn)研究-來(lái)源：國(guó)家保密科技測(cè)評(píng)中心

1 引言

隨著信息化的不斷深入，機(jī)關(guān)、單位內(nèi)網(wǎng)業(yè)務(wù)不斷拓展，應(yīng)用不斷增多，為提高用戶使用體驗(yàn)，越來(lái)越多的單位在內(nèi)網(wǎng)中部署域名系統(tǒng)。

域名系統(tǒng)（Domain Name System，DNS）主要負(fù)責(zé)提供域名地址空間映射服務(wù)，將易于人類記憶的域名翻譯為易于機(jī)器識(shí)別的IP地址。域名系統(tǒng)就像電話號(hào)碼本，號(hào)碼本上的聯(lián)系人是域名，而聯(lián)系方式就是IP地址。所有的上網(wǎng)行為，除非直接通過(guò)IP地址訪問(wèn)，瀏覽器第一步做的都是通過(guò)查詢域名服務(wù)器將域名轉(zhuǎn)換為IP地址，IP地址錯(cuò)了，后面的報(bào)文生成、TCP連接、網(wǎng)絡(luò)包路由等都沒(méi)有意義。在互聯(lián)網(wǎng)中，域名系統(tǒng)是最重要的基礎(chǔ)設(shè)施之一，確保其安全可靠是保障網(wǎng)絡(luò)正常運(yùn)行的關(guān)鍵點(diǎn)；但在內(nèi)網(wǎng)中，由于更多的關(guān)注應(yīng)用系統(tǒng)、安全保密設(shè)備、網(wǎng)絡(luò)設(shè)備、終端設(shè)備等的安全，域名系統(tǒng)的安全性往往會(huì)被忽視，因此漸漸成為木桶效應(yīng)的那塊短板。

本文比較了內(nèi)網(wǎng)域名系統(tǒng)和互聯(lián)網(wǎng)域名系統(tǒng)的不同，分析了內(nèi)網(wǎng)域名系統(tǒng)面臨的主要安全保密風(fēng)險(xiǎn)，并提出了一些相應(yīng)的安全保密措施。

2 域名系統(tǒng)

域名系統(tǒng)能實(shí)現(xiàn)域名與IP地址的快速映射與轉(zhuǎn)換，為了保證網(wǎng)絡(luò)中域名的唯一性，域名系統(tǒng)采用特殊的樹(shù)狀結(jié)構(gòu)以實(shí)現(xiàn)域名層次的劃分，每一個(gè)樹(shù)形節(jié)點(diǎn)都有不同的子節(jié)點(diǎn)，每一個(gè)域名都是從當(dāng)前節(jié)點(diǎn)讀到根節(jié)點(diǎn)路徑上所有節(jié)點(diǎn)標(biāo)記的點(diǎn)分順序連接的字符串，如圖1對(duì)應(yīng)的域名為“www.xxxxxx.org.cn.”。其中，最后的“.”（通常省略）為根域名，“.cn”為頂級(jí)域名，“.org”為二級(jí)域名，“.xxxxxx”為三級(jí)域名，“www”為主機(jī)名。上級(jí)域名服務(wù)器中維護(hù)著其名下所有次級(jí)域名的信息，如根域名服務(wù)器中維護(hù)所有頂級(jí)域名的域名和地址信息。

將域名解析為IP地址（域名解析）的過(guò)程是從根節(jié)點(diǎn)開(kāi)始的，比如要查詢“www.xxxxxx.org.cn”這個(gè)域名的IP地址，首先向根域名服務(wù)器查詢“.cn”的地址，然后再向“.cn”頂級(jí)域名服務(wù)器查詢“.org”的地址，之后繼續(xù)向“.org”二級(jí)域名服務(wù)器查詢“.xxxxxx”的地址，最后向“.xxxxxx”三級(jí)域名服務(wù)器查詢“www”主機(jī)的IP地址，這個(gè)查詢的過(guò)程，稱為迭代查詢，而這些存儲(chǔ)著原始域名記錄信息的域名服務(wù)器又稱為權(quán)威域名服務(wù)器。

實(shí)際解析過(guò)程中，客戶端并不直接向權(quán)威域名服務(wù)器查詢域名，而是向部署在本地的域名服務(wù)器提交遞歸查詢請(qǐng)求，由本地域名服務(wù)器代為完成上述查詢過(guò)程，域名解析過(guò)程如圖2所示。本地域名服務(wù)器又稱遞歸解析服務(wù)器，一般由網(wǎng)絡(luò)運(yùn)營(yíng)商部署、管理，其IP地址配置在客戶端的DNS地址中。同時(shí)，為提高查詢效率，遞歸解析服務(wù)器均開(kāi)啟緩存功能，將最近的查詢結(jié)果存儲(chǔ)在本地高速緩存中，收到查詢請(qǐng)求后，先檢查數(shù)據(jù)是否在高速緩存中，若是，則直接返回查詢結(jié)果；若否，再繼續(xù)原查詢過(guò)程。存儲(chǔ)在高速緩存中的數(shù)據(jù)，為了確保不是過(guò)時(shí)的數(shù)據(jù)，其生命周期受TTL（Time To Live）值控制，超過(guò)TTL的緩存數(shù)據(jù)，會(huì)被清理掉。

3 內(nèi)網(wǎng)域名系統(tǒng)與互聯(lián)網(wǎng)域名系統(tǒng)的區(qū)別

內(nèi)網(wǎng)域名系統(tǒng)與互聯(lián)網(wǎng)域名系統(tǒng)的主要區(qū)別包括部署規(guī)模不同、解析過(guò)程不同、可控程度不同、日志量不同等。

3.1 部署規(guī)模不同

互聯(lián)網(wǎng)域名系統(tǒng)經(jīng)過(guò)幾十年的發(fā)展，已經(jīng)從一個(gè)簡(jiǎn)單的查詢系統(tǒng)，逐步發(fā)展成為一個(gè)復(fù)雜的生態(tài)系統(tǒng)。目前，全球已有超過(guò)1000萬(wàn)臺(tái)DNS服務(wù)器，從本質(zhì)上看，互聯(lián)網(wǎng)域名系統(tǒng)是規(guī)模龐大的全球分布式數(shù)據(jù)庫(kù)系統(tǒng)。

相對(duì)而言，內(nèi)網(wǎng)域名系統(tǒng)則比較簡(jiǎn)單，無(wú)須解析海量的互聯(lián)網(wǎng)域名，只需解析有限的內(nèi)部域名。若是局域網(wǎng)，一般僅需部署主、輔2臺(tái)DNS服務(wù)器。2臺(tái)DNS服務(wù)器均是內(nèi)網(wǎng)的權(quán)威域名服務(wù)器，以絕對(duì)的權(quán)威回答內(nèi)網(wǎng)管轄域的任何查詢。主DNS服務(wù)器的域信息存儲(chǔ)在管理員構(gòu)造的本地磁盤文件（區(qū)域文件）中，該文件包含著該DNS服務(wù)器具有管理權(quán)的域結(jié)構(gòu)的最精確信息。輔DNS服務(wù)器用于為主服務(wù)器分擔(dān)負(fù)載，其從主DNS服務(wù)器下載和更新區(qū)域文件。因?yàn)椴恍枰镜谼NS服務(wù)器作為遞歸解析服務(wù)器再向其他DNS服務(wù)器查詢，因此內(nèi)網(wǎng)域名系統(tǒng)一般把本地DNS服務(wù)器就設(shè)置為根服務(wù)器。內(nèi)網(wǎng)若是規(guī)模特別大的廣域網(wǎng)，也可以分級(jí)部署，在中心節(jié)點(diǎn)部署根域名服務(wù)器。

3.2 解析過(guò)程不同

互聯(lián)網(wǎng)域名系統(tǒng)中，由廣泛部署于互聯(lián)網(wǎng)中的遞歸解析服務(wù)器為客戶端提供查詢服務(wù)，遞歸解析服務(wù)器從根域名開(kāi)始，逐級(jí)查詢，直至查詢到目標(biāo)域名。

內(nèi)網(wǎng)域名系統(tǒng)的解析過(guò)程不需要那么復(fù)雜，客戶端直接向主/輔DNS服務(wù)器發(fā)送查詢請(qǐng)求，無(wú)論域名是否存在，都由主/輔DNS服務(wù)器直接返回權(quán)威解析數(shù)據(jù)，不需要再向其他DNS服務(wù)器進(jìn)行查詢，如圖3所示（內(nèi)網(wǎng)規(guī)模特別大，域名系統(tǒng)分級(jí)部署的除外）。同樣，主/輔DNS服務(wù)器一般也會(huì)開(kāi)啟DNS緩存功能，域名已被緩存的，直接將緩存中的數(shù)據(jù)返回查詢客戶端。

3.3 可控程度不同

互聯(lián)網(wǎng)域名系統(tǒng)采用中心化管理模式，一直由美國(guó)主導(dǎo)。其中最高一級(jí)的根域名服務(wù)器分布嚴(yán)重失衡，共有13個(gè)根域名服務(wù)器：1個(gè)主根域名服務(wù)器、9個(gè)輔根域名服務(wù)器放置在美國(guó)，2個(gè)輔根域名服務(wù)器分別放置在歐洲的英國(guó)和瑞典，1個(gè)輔根域名服務(wù)器放置在亞洲的日本。輔根域名服務(wù)器中的根區(qū)域文件需與主根域名服務(wù)器保持一致。第二級(jí)的頂級(jí)域名，包括“國(guó)家和地區(qū)頂級(jí)域名”“通用頂級(jí)域名”“新增通用頂級(jí)域名”等，除“國(guó)家和地區(qū)頂級(jí)域名”由各國(guó)網(wǎng)絡(luò)信息中心負(fù)責(zé)管理外，其余的均由位于美國(guó)的國(guó)際互聯(lián)網(wǎng)絡(luò)名稱及編號(hào)分配公司（Internet Corporation for [**]ssigned Names and Numbers，IC[**]NN）管理。雖然自2016年以來(lái)，美國(guó)政府形式上完全移交了管理權(quán)，不再承擔(dān)相關(guān)審核和監(jiān)督職責(zé)，但美國(guó)在專家、技術(shù)和產(chǎn)業(yè)上依然具有優(yōu)勢(shì)，IC[**]NN等也將繼續(xù)接受美國(guó)法律管轄，這種一家獨(dú)大的中心化管理模式給整個(gè)互聯(lián)網(wǎng)域名系統(tǒng)的穩(wěn)定運(yùn)行帶來(lái)潛在隱患。

在互聯(lián)網(wǎng)域名體系中，雖然“.cn”“.中國(guó)”等國(guó)家頂級(jí)域名由中國(guó)互聯(lián)網(wǎng)信息中心（CNNIC）管理，但頂級(jí)域名在很大程度上還要受制于根域名，可控性仍比較差。與互聯(lián)網(wǎng)域名系統(tǒng)的管理體制不同，內(nèi)網(wǎng)域名系統(tǒng)的建設(shè)、管理均掌握在內(nèi)網(wǎng)建設(shè)使用單位手中，無(wú)論是單級(jí)管理，還是兩級(jí)甚至多級(jí)管理，各級(jí)域名服務(wù)器均在內(nèi)網(wǎng)可控單位的管理之下，可控程度很高。

3.4 日志量不同

互聯(lián)網(wǎng)域名系統(tǒng)在域名解析過(guò)程中會(huì)產(chǎn)生海量日志，因?yàn)橛脩糁鲃?dòng)發(fā)起的DNS查詢，會(huì)連帶產(chǎn)生大量的被動(dòng)DNS查詢。如當(dāng)使用瀏覽器進(jìn)入某個(gè)域名的網(wǎng)頁(yè)時(shí)，后臺(tái)可能會(huì)產(chǎn)生大量附加處理操作，會(huì)請(qǐng)求不同域名下的圖片、視頻、腳本等資源，而每次資源請(qǐng)求都會(huì)產(chǎn)生一次DNS查詢。大量的查詢導(dǎo)致產(chǎn)生海量日志。在某運(yùn)營(yíng)商的網(wǎng)絡(luò)中，每天可以產(chǎn)生幾十TB級(jí)的DNS日志。

內(nèi)網(wǎng)域名系統(tǒng)的日志量要小得多，一方面內(nèi)網(wǎng)的客戶端數(shù)量規(guī)模有限，查詢的主體要少得多；另一方面，內(nèi)網(wǎng)中域名的數(shù)量有限，一般僅部署幾個(gè)至幾十個(gè)用于內(nèi)部辦公、業(yè)務(wù)工作的Web應(yīng)用、網(wǎng)站等。同時(shí)，頁(yè)面內(nèi)容也遠(yuǎn)沒(méi)有互聯(lián)網(wǎng)豐富，被動(dòng)查詢較少。一般內(nèi)網(wǎng)域名系統(tǒng)每天產(chǎn)生的日志量在MB級(jí)。

4 內(nèi)網(wǎng)域名系統(tǒng)的安全保密風(fēng)險(xiǎn)

內(nèi)網(wǎng)域名系統(tǒng)的不同特點(diǎn)決定了其安全問(wèn)題也與互聯(lián)網(wǎng)域名系統(tǒng)不同，下面分析了一些常見(jiàn)安全問(wèn)題在內(nèi)網(wǎng)域名系統(tǒng)中的安全保密風(fēng)險(xiǎn)情況。

4.1 緩存投毒

緩存投毒主要針對(duì)的是遞歸解析服務(wù)器，攻擊者是利用遞歸解析服務(wù)器無(wú)法驗(yàn)證DNS數(shù)據(jù)真實(shí)性的特點(diǎn)，將虛假的DNS查詢回復(fù)寫入遞歸解析服務(wù)器的高速緩存中，同時(shí)為延長(zhǎng)緩存中毒的時(shí)間，攻擊者還會(huì)將回復(fù)TTL設(shè)得足夠大，這樣客戶端向遞歸解析服務(wù)器查詢有關(guān)域名信息時(shí)，會(huì)命中高速緩存的中毒信息，導(dǎo)致客戶端收到錯(cuò)誤的IP地址，訪問(wèn)到攻擊者控制的服務(wù)器，造成用戶數(shù)據(jù)泄露。在內(nèi)網(wǎng)域名系統(tǒng)中，此種攻擊方式只適用于多級(jí)部署且DNS服務(wù)器開(kāi)啟遞歸解析功能的情況，對(duì)于僅主、輔兩臺(tái)DNS服務(wù)器的單級(jí)部署方式，因?yàn)橹?、輔DNS服務(wù)器不需要向其他DNS服務(wù)器查詢，因此一般不會(huì)緩存中毒。

4.2 DNS ID欺騙

域名解析采用基于UDP協(xié)議的數(shù)據(jù)報(bào)文進(jìn)行通信，且請(qǐng)求報(bào)文和響應(yīng)報(bào)文具有相同的數(shù)據(jù)結(jié)構(gòu)，如圖4所示。其中報(bào)文頭部的ID是DNS查詢應(yīng)答的唯一標(biāo)識(shí)，通常是隨機(jī)生成的。當(dāng)客戶端發(fā)起DNS查詢時(shí)，攻擊者可以在DNS服務(wù)器應(yīng)答前偽造同樣ID的響應(yīng)報(bào)文對(duì)客戶端進(jìn)行欺騙攻擊，其危害和緩存投毒一樣，都會(huì)使客戶端訪問(wèn)到攻擊者控制的服務(wù)器，但其攻擊不如緩存中毒攻擊持久。

DNS ID攻擊需要獲取客戶端DNS請(qǐng)求報(bào)文頭部的ID，采用窮舉法顯然效率不高，通過(guò)監(jiān)聽(tīng)客戶端網(wǎng)絡(luò)數(shù)據(jù)包或者采取[**]RP欺騙的方式，更容易實(shí)現(xiàn)，特別是攻擊者和客戶端在同一個(gè)內(nèi)網(wǎng)、同一個(gè)網(wǎng)段的情況下。

4.3 普通DDoS攻擊

分布式拒絕攻擊（DDoS）是網(wǎng)絡(luò)中最常見(jiàn)的攻擊方式，不僅域名系統(tǒng)，網(wǎng)絡(luò)中所有服務(wù)器都深受其害。其具體攻擊方式有多種，針對(duì)域名系統(tǒng)的DDoS攻擊最基本方法就是利用大量正常的DNS查詢請(qǐng)求來(lái)占用DNS服務(wù)器的網(wǎng)絡(luò)帶寬、CPU、內(nèi)存等資源，使得其他合法的DNS查詢得不到響應(yīng)。普通DDoS攻擊常常需要控制較多的傀儡主機(jī)完成飽和攻擊，如果查詢數(shù)量不足，不能覆蓋住DNS服務(wù)器的資源，就無(wú)法攻擊成功。由于內(nèi)網(wǎng)中本身客戶端數(shù)量就有限，再加上防護(hù)措施比較多，較難控制大量主機(jī)進(jìn)行DDoS攻擊。另外，DDoS攻擊只會(huì)導(dǎo)致DNS服務(wù)器性能下降，延遲提高，但查詢結(jié)果還是正確的，因此在內(nèi)網(wǎng)中的安全保密風(fēng)險(xiǎn)較低。

4.4 DNS 放大攻擊

通常的DNS響應(yīng)報(bào)文只有幾十個(gè)字節(jié)，但特定查詢的DNS響應(yīng)報(bào)文卻可以很長(zhǎng)，例如[**]NY類型、TXT類型或者EDNS0的DNS響應(yīng)報(bào)文可以上千甚至幾千個(gè)字節(jié)，響應(yīng)報(bào)文的長(zhǎng)度是通常請(qǐng)求報(bào)文的幾十倍。DNS放大攻擊就是利用了這一特性，向DNS服務(wù)器發(fā)送大量此類查詢請(qǐng)求，DNS服務(wù)器將回復(fù)幾十倍的應(yīng)答流量，資源被更快地消耗。這種攻擊可以看作是普通DDoS攻擊的加強(qiáng)版，攻擊者可以用更少的查詢量、更快地攻癱DNS服務(wù)器。同普通DDoS攻擊一樣，由于內(nèi)網(wǎng)中可控制的主機(jī)數(shù)量有限，要成功完成此類攻擊，有一定的難度。

4.5 DNS反射攻擊和反射放大攻擊

DNS反射攻擊是利用DNS服務(wù)器的響應(yīng)報(bào)文攻擊客戶端或遞歸解析服務(wù)器的攻擊方式。攻擊者利用傀儡主機(jī)向多個(gè)DNS服務(wù)器（反射體）發(fā)起大量的DNS查詢請(qǐng)求，查詢請(qǐng)求的源IP地址偽造為受害客戶端或遞歸解析服務(wù)器的IP地址，這樣DNS服務(wù)器返回的響應(yīng)結(jié)果流量就會(huì)全部打到受害客戶端或遞歸解析服務(wù)器上，迅速消耗其資源，導(dǎo)致無(wú)法提供服務(wù)。

DNS反射攻擊通常結(jié)合DNS放大攻擊一起使用，即反射放大攻擊，發(fā)起大量偽造源IP地址的、會(huì)放大響應(yīng)報(bào)文的DNS查詢請(qǐng)求，以增強(qiáng)攻擊效果，這種方式往往比普通DDoS攻擊更有效。

由于反射攻擊和反射放大攻擊都需要足夠多的反射體（即DNS服務(wù)器）來(lái)響應(yīng)查詢請(qǐng)求，而內(nèi)網(wǎng)中DNS服務(wù)器的規(guī)模數(shù)量要比互聯(lián)網(wǎng)中小得多，因此這兩類攻擊的在內(nèi)網(wǎng)中發(fā)生的概率較低。

4.6 DNS日志泄露

DNS服務(wù)器日志中含有客戶端請(qǐng)求域名解析的記錄，一般包括日期、時(shí)間戳、請(qǐng)求源IP地址和端口號(hào)、請(qǐng)求域名、解析記錄等信息。內(nèi)網(wǎng)域名系統(tǒng)中，請(qǐng)求源IP地址就是客戶端真實(shí)的IP地址，這樣，DNS日志記錄就提供了一個(gè)完整的存活主機(jī)列表。在內(nèi)網(wǎng)中，各種掃描工具會(huì)被嚴(yán)格限制，如果能夠訪問(wèn)到DNS服務(wù)器日志，就代替掃描工具拿到了存活主機(jī)列表，完成了網(wǎng)絡(luò)滲透攻擊的第一步。

互聯(lián)網(wǎng)域名系統(tǒng)中，在使用IPv4的情況下，一是因?yàn)榈刂房臻g有限，客戶端訪問(wèn)互聯(lián)網(wǎng)時(shí)，會(huì)進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換，因此遞歸解析服務(wù)器日志中的請(qǐng)求源IP地址并不是客戶端的真實(shí)地址（IPv6環(huán)境下，IP地址不再是緊缺資源，客戶端訪問(wèn)互聯(lián)網(wǎng)不進(jìn)行地址轉(zhuǎn)換，遞歸解析服務(wù)器上存儲(chǔ)的就是真實(shí)的客戶端IP地址）；二是域名解析是由遞歸解析服務(wù)器代替客戶端向權(quán)威域名服務(wù)器查詢的，因此權(quán)威域名服務(wù)器上的DNS日志，請(qǐng)求源IP地址為遞歸解析服務(wù)器的IP地址，不是客戶端IP地址；三是互聯(lián)網(wǎng)域名系統(tǒng)的DNS服務(wù)器中有海量的DNS日志，日志分析利用的難度比較大，因此安全保密隱患相對(duì)較低。

DNS協(xié)議設(shè)計(jì)之初沒(méi)有過(guò)多考慮安全問(wèn)題，為提高效率，幾乎所有DNS流量都是基于明文傳輸?shù)?，沒(méi)有采取保護(hù)措施。因此通過(guò)鏈路監(jiān)聽(tīng)的方式，也可以分析出請(qǐng)求源IP地址、查詢的域名等信息，甚至可以通過(guò)監(jiān)聽(tīng)DNS響應(yīng)報(bào)文，獲取服務(wù)器的IP地址列表。

4.7 主/輔部署不當(dāng)

內(nèi)網(wǎng)域名系統(tǒng)通常以主/輔方式部署DNS服務(wù)器，當(dāng)其中某一臺(tái)服務(wù)器不能工作時(shí)，另一臺(tái)服務(wù)器仍然可以提供解析服務(wù)。然而實(shí)際部署中，主、輔DNS服務(wù)器常常位于同一網(wǎng)段、同一防火墻后、同一物理地點(diǎn)，不能有效防止區(qū)域性突發(fā)事件造成的服務(wù)中斷（例如網(wǎng)絡(luò)中斷、電力中斷、防火墻擁塞等），具有潛在的可用性問(wèn)題。在互聯(lián)網(wǎng)域名系統(tǒng)中，域名系統(tǒng)是關(guān)鍵基礎(chǔ)設(shè)施，無(wú)論是遞歸解析服務(wù)器，還是權(quán)威域名服務(wù)器，都部署了大量的輔服務(wù)器或鏡像服務(wù)器，此方面的安全隱患較低。

4.8 匿名區(qū)域文件傳輸

區(qū)域傳輸用于主、輔DNS服務(wù)器之間的數(shù)據(jù)更新和備份。例如，當(dāng)主DNS服務(wù)器上的權(quán)威記錄發(fā)生變化時(shí)，輔DNS服務(wù)器通過(guò)區(qū)域傳輸?shù)姆绞綇闹鱀NS服務(wù)器下載區(qū)域文件的完整副本，以保持?jǐn)?shù)據(jù)一致。在具體實(shí)現(xiàn)上，區(qū)域傳輸采用客戶端-服務(wù)器的形式進(jìn)行，客戶端發(fā)送一個(gè)axfr（異步完整區(qū)域傳輸）類型的DNS查詢請(qǐng)求，通過(guò)TCP連接從服務(wù)器端獲取完整的區(qū)域文件。

區(qū)域文件為域名服務(wù)器的敏感數(shù)據(jù)，應(yīng)該嚴(yán)格保護(hù)，避免泄露，因此，異步完整區(qū)域傳輸應(yīng)當(dāng)僅允許在受信任的DNS服務(wù)器之間進(jìn)行。但內(nèi)網(wǎng)中，由于和外部網(wǎng)絡(luò)隔離，此方面防范經(jīng)常疏忽，DNS服務(wù)器常配置不當(dāng)，任意匿名主機(jī)都可以利用異步完整區(qū)域傳輸獲取完整區(qū)域文件，暴露網(wǎng)絡(luò)中的信息，加快滲透攻擊進(jìn)程。

4.9 匿名區(qū)域文件更新

主DNS服務(wù)器的區(qū)域文件更新可通過(guò)運(yùn)維主機(jī)編輯服務(wù)器上的區(qū)域文件完成，運(yùn)維主機(jī)通過(guò)update請(qǐng)求完成對(duì)區(qū)域文件的修改。這個(gè)操作也應(yīng)當(dāng)僅允許在受信任的主機(jī)和DNS服務(wù)器之間進(jìn)行，但內(nèi)網(wǎng)中，有時(shí)為了便利操作，DNS服務(wù)器會(huì)開(kāi)放配置，任意匿名主機(jī)都可以更新，這樣攻擊者可以通過(guò)構(gòu)造惡意的update請(qǐng)求對(duì)區(qū)域文件進(jìn)行任意修改，將域名解析地址更改為攻擊者控制的IP地址，以便開(kāi)展下一步竊密行為。

綜上，本文列舉了一些常見(jiàn)安全問(wèn)題在內(nèi)網(wǎng)域名系統(tǒng)中的安全保密風(fēng)險(xiǎn)情況，另外，還有一些老生常談的DNS服務(wù)器操作系統(tǒng)配置不完善、DNS軟件（Linux系統(tǒng)的BIND、Windows系統(tǒng)的DNS服務(wù)系統(tǒng)組件）配置不完善等風(fēng)險(xiǎn)，以及一些在內(nèi)網(wǎng)域名系統(tǒng)出現(xiàn)概率非常低的安全保密風(fēng)險(xiǎn)，如相似域名欺騙、偽造DNS服務(wù)器、無(wú)效域名查詢攻擊等，就不再一一贅述。表1比較了內(nèi)網(wǎng)域名系統(tǒng)和互聯(lián)網(wǎng)域名系統(tǒng)一些安全保密風(fēng)險(xiǎn)發(fā)生的概率。

5 有關(guān)防護(hù)措施建議

為降低內(nèi)網(wǎng)域名系統(tǒng)的安全保密風(fēng)險(xiǎn)，可以采取如下幾種防護(hù)措施。

（1）合理的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)，在DNS服務(wù)器前部署防火墻、IPS等防護(hù)設(shè)備，對(duì)網(wǎng)絡(luò)流量進(jìn)行過(guò)濾、清洗；主DNS服務(wù)器和輔DNS服務(wù)器位于不同的網(wǎng)段，部署在不同防火墻后，條件允許的，放置在不同的樓宇；對(duì)網(wǎng)絡(luò)合理進(jìn)行分段，在網(wǎng)絡(luò)中部署設(shè)備接入控制系統(tǒng)。

（2）部署DNS安全拓展協(xié)議（Domain Name System Security Extensions，DNSSEC），DNSSEC采用數(shù)字簽名的方式解決了域名解析記錄傳輸中的安全問(wèn)題，可以有效防范緩存投毒和DNS ID欺騙等攻擊。

（3）加強(qiáng)防火墻的配置，僅開(kāi)放必要服務(wù)和端口，如DNS服務(wù)、TCP和UDP的53號(hào)端口（未修改DNS服務(wù)端口號(hào)的情況下）。

（4）DNS服務(wù)器應(yīng)配置高性能的硬件，確保不被DDoS攻擊輕易攻癱；操作系統(tǒng)僅開(kāi)放必要服務(wù)和端口，啟用偽根目錄，并部署入侵檢測(cè)、防病毒軟件等防護(hù)系統(tǒng)；嚴(yán)格限制對(duì)DNS日志、區(qū)域傳輸文件的訪問(wèn)權(quán)限。

（5）完善DNS軟件的配置，包括及時(shí)更新版本、限制域名解析的源IP地址、隱藏DNS軟件版本等。

6 結(jié)語(yǔ)

內(nèi)網(wǎng)域名系統(tǒng)的安全保密風(fēng)險(xiǎn)問(wèn)題常常被忽視，本文介紹了域名系統(tǒng)的原理，比較了內(nèi)網(wǎng)域名系統(tǒng)和互聯(lián)網(wǎng)域名系統(tǒng)的不同，分析了內(nèi)網(wǎng)域名系統(tǒng)面臨的主要安全保密風(fēng)險(xiǎn)，并給出了一些改進(jìn)建議。

下一步，隨著內(nèi)網(wǎng)規(guī)模的不斷擴(kuò)大，特別是國(guó)家電子政務(wù)內(nèi)網(wǎng)的建成、擴(kuò)展，在電子政務(wù)內(nèi)網(wǎng)中構(gòu)建國(guó)家級(jí)可信內(nèi)網(wǎng)域名體系的需求越來(lái)越迫切，內(nèi)網(wǎng)域名系統(tǒng)會(huì)成為內(nèi)網(wǎng)的核心基礎(chǔ)設(shè)施，其安全問(wèn)題將會(huì)越來(lái)越被關(guān)注。

?

（原載于《保密科學(xué)技術(shù)》雜志2020年10月刊）