【IT168 专稿】域名系统(DNS)服务在Internet服务中占据着非常重要的地位,企业内部、互联网用户通过此类服务可以轻易地与世界各地取得快捷的信息联系;但其在普及应用过程中,也存在很多安全漏洞。目前,网络中针对DNS服务的攻击手段层出不穷,如何有效的维护DNS自身的安全、保障用户上网应用的利益等问题,即是本文所讨论的要点。
一、系统漏洞
操作系统一直是安全隐患的焦点,特别是Windows类系统,经常会被用户发现各种使用漏洞,因此在关注DNS安全防范的问题上,操作系统的考虑也应引起注意。
比如,最近微软系统爱好者就发现,微软的Windows 2000和Windows 2003的DNS服务出现一个极高的安全漏洞,在工作时,RPC接口如果处理到有非常规的畸形连接请求,就会向外释放管理员权限,让黑客可以利用这种漏洞完全控制系统。黑客可以通过向有这个漏洞的系统发送一个经过特别设计的RPC数据包,就能够获得该系统的管理员权限,远程执行任意指令。
对此类漏洞的产生及安全危害的详细进程,不属于我们的讨论范围;对于这类系统漏洞,目前最有效的解决办法就是对系统的补丁升级,通过查询得知,可以到http://www.microsoft.com/china/technet/security/bulletin/ms07-029.mspx站点,并根据当前操作系统版本选择对应的补丁升级程序进行修补。
另外就是在系统中进行相应的安全配置设置,这主要可通过注册表配置程序来完成。进入注册表中的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters分支,然后在右方窗口中新建一个名为“RpcProtocol”的DWORD项目,并将其键值数据更改为4,最后重启DNS服务更改生效即可。
图1 注册表安全防范
二、DNS域名劫持 一、系统漏洞
操作系统一直是安全隐患的焦点,特别是Windows类系统,经常会被用户发现各种使用漏洞,因此在关注DNS安全防范的问题上,操作系统的考虑也应引起注意。
比如,最近微软系统爱好者就发现,微软的Windows 2000和Windows 2003的DNS服务出现一个极高的安全漏洞,在工作时,RPC接口如果处理到有非常规的畸形连接请求,就会向外释放管理员权限,让黑客可以利用这种漏洞完全控制系统。黑客可以通过向有这个漏洞的系统发送一个经过特别设计的RPC数据包,就能够获得该系统的管理员权限,远程执行任意指令。
对此类漏洞的产生及安全危害的详细进程,不属于我们的讨论范围;对于这类系统漏洞,目前最有效的解决办法就是对系统的补丁升级,通过查询得知,可以到http://www.microsoft.com/china/technet/security/bulletin/ms07-029.mspx站点,并根据当前操作系统版本选择对应的补丁升级程序进行修补。
另外就是在系统中进行相应的安全配置设置,这主要可通过注册表配置程序来完成。进入注册表中的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters分支,然后在右方窗口中新建一个名为“RpcProtocol”的DWORD项目,并将其键值数据更改为4,最后重启DNS服务更改生效即可。
图1 注册表安全防范
这类攻击是目前最为常见的DNS服务安全隐患。域名劫持简单的理解就是:将用户访问的某一个网站劫持到仿冒的网站上,黑客通过此仿冒的网站收集用户的ID信息和密码等。
域名被劫持后,不仅网站内容会被改变,甚至可能导致域名所有权也被盗取。而在事后解决问题上,如果是国内CN域名被劫持,还可以通过和注册服务商或注册管理机构联系以解决问题;而如果是国际域名被劫持,则解决流程会非常复杂。记得2006年6月,著名的搜索门户Google.com就曾经遭受劫持,其被域名被指向了买麦网;今年3月,SANS Institute发现一次将1,300个著名品牌域名改变方向的缓存投毒攻击,这些品牌包括ABC、American Express, Citi和Verizon Wireless等。
为防范此类攻击也波及到您所在的企业网络环境,可以从如下方面予以防范:
1、DNS使用与运行安全措施
正确的使用习惯,是被验证过的有效安全防范手段。针对DNS服务来说,可从如下方面考虑:
将外部和内部域名服务器分开并使用转发器。
在不同的网络上运行分离的域名服务器,通过构建网络冗余来提高DNS服务安全。
利用事务签名对区域传送和区域更新进行数字签名。
隐藏运行在服务器上的BIND版本。
删除运行在DNS服务器上的不必要服务,如FTP、telnet和HTTP等。
在网络外围和DNS服务器上加装防火墙服务。
2、一般解决办法
当您在访问时发现某个正规网站已被非法劫持到另外的网站(比如www.sina.com),一方面可以重启电脑到安全模式进行本机的杀毒处理;另一方面就是将218.30.66.101 www.sina.com添加到\WINNT\system32\drivers\etc\hosts文件中,然后在IE浏览器中删除Internet临时文件即可;还有就是,先禁用本地连接,然后启用本地连接来清除DNS缓存。
三、DDOS攻击
这也是目前黑客经常采用而难以防范的攻击手段,此类攻击方式有很多种,最基本的攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。当系统受到此类攻击时,通常会出现以下现象:
被攻击主机上有大量等待的TCP连接。
网络中有大量无用的数据包,造成网络拥塞,使受害主机无法正常和外界通讯。
利用受害主机提供的服务或传输协议上的缺陷,反复高速的发出特定的服务请求,使受害主机无法及时处理所有正常请求,严重时造成系统死机。
要防范此类攻击的产生,可从如下方面予以考虑。
1、通常说来,对于此类攻击现象采取的防范措施主要有:
关闭不必要的服务。
限制同时打开的Syn半连接数目。
缩短Syn半连接的time out 时间。
及时更新系统补丁。
2、而如果当前网络环境中安装有硬件防火墙,还可进行如下方面的防范配置:
禁止对主机的非开放服务的访问。
限制同时打开的SYN最大连接数。
限制特定IP地址的访问。
启用防火墙的防DDoS属性。
严格限制对外开放的服务器的向外访问。
图2 防火墙的DoS攻击防护选项
四、分析总结
目前,多数企业网站的维护工作都由网络管理员来完成,由于网络管理员错误的维护意识以及其他工作的干扰,导致DNS服务等对外访问服务在维护上有所疏忽,才导致目前基于DNS服务的各类攻击层出不穷。
而涉及到具体的安全防范来说,绝对的万无一失是不太可能的;重要的是,应随时关注国内外业界最新趋势,并及时地对系统进行修补,以堵住安全漏洞。另外,很多国外公司选择将DNS服务器的维护交给一些专业的外包DNS服务公司所解决的方法,也值得借鉴。
