DNS系统,顾名思义就是域名服务系统,在社会层面,很多人喜欢把它和我们的国家互联网治理相提并论,甚至有人这样描述一些经典事件:
基于互联网的信息网络是国家信息化建设和实现国家信息化战略的基础设施,域名系统是互联网上绝大部分服务和应用正常运行和实现的基石,是互联网上最关键的基础网络服务之一,关系到互联网乃至国家的稳定和安全,是国家信息化建设的重中之重。
攻击和利用域名系统会造成很大的危害。伊拉克顶级域名、利比亚国家顶级域名的失灵表明,控制域名系统已经成为网络空间战争的有效手段。在非常时期,可以瘫痪一个国家的网络,造成信息孤岛,丧失信息优势,从而丧失战争主动权。域名系统已经成为网络空间战争的重要目标。
由于根域名服务器不可控,以及域名系统本身的脆弱性,我国域名系统存在巨大的安全风险。近年来,事件频发,给我国互联网使用以及国家社会政治经济发展带来了巨大影响。因此,域名系统相关问题已成为制约我国互联网发展的重要因素。
以上针对域名系统的攻击方式从技术角度来说比较暴力和直接,但从国家安全角度来说也比较致命。我想强调的是,人们在接受事实的同时,需要辩证地看待这些事件。下面我将分析四种简单的DNS域名系统攻击方式,科学辩证地解读域名系统的安全性,而不是盲目跟风。DNS确实很重要!
辩证看待域名系统经典安全事件:伊拉克域名失效是美国人造成的?
据称,伊拉克战争期间,按照美国政府的指令,伊拉克顶级域名“.iq”的申请和解析被终止,所有带有“.iq”后缀的网站从互联网上消失。事实上,事实并非如此。
当时伊拉克还没有互联网,所以不存在这个域名的问题。以下内容摘自清华大学段海新教授的博客,也证明了美国人的阴谋不一定是公开的阴谋。有些可能是我们自己的幻想,很可能是为了增加DNS的地位和重要性而加上的。
1997年,Jon教授代表南加州大学信息科学研究所(ISI)IANA将.IQ授权给该公司的子公司Alani(位于美国德克萨斯州,从事主机托管业务)。Bayan是IQ域名的技术联系人。2000年,更新了IQ域名信息,并成为赞助IQ域名的公司。
巴扬于2002年12月被捕。2004年7月,巴扬与他的四名兄弟被判犯有违反利比亚制裁和为恐怖组织洗钱等罪行。
此外,IQ ccTLD 从未活跃过。大多数时间里,IQ ccTLD 由 Alani/ 运营,似乎只有两个域名指向注册人本身。2004 年 7 月,伊拉克过渡政府正式与 ICANN 联系,讨论 IQ 域名的重新授权问题。2004 年 12 月,总理致函 ICANN,指定国家通信和媒体委员会 (NCMC) 为代表伊拉克的机构,负责 IQ 域名的代理。2005 年 6 月,IANA 收到了 NCMC 的重新授权申请表。
经过一系列评估,IANA 决定将 IQ 域名重新委托给 NCMC,他们考虑的因素之一是新旧代理商均同意新的委托,但旧代理商当时正在服刑,在代理期间(1997-2002),Alani 和 NCMC 均未对 IQ 域名进行任何推广活动。
可见,所谓“伊拉克顶级域名.iq的申请和解析工作”根本就没有启动过,也就不存在“被终止”的问题。有人可能会说,这是美国政府精心策划的一场阴谋。但至少从逻辑上讲,这种阴谋论并不成立:既然美国政府这么擅长阴谋或明里暗里地阴谋,那为什么会同意把IQ域名授权给为恐怖分子洗钱的巴彦呢?
针对DNS的几种攻击方式(常见) 分布式拒绝服务(DDOS) 域名欺骗 域名劫持 分布式拒绝服务攻击(DDOS)
由于DNS协议开放系统、无认证、无连接、无状态等特性,更容易受到分布式拒绝服务攻击。针对DNS的分布式拒绝服务攻击主要采用正常域名请求、反弹、大流量阻断三种方式。
常见的是基于DNS的反射流量放大攻击,这种攻击不太常见,但也可能发生。
域名欺骗
通过技术手段,在缓存域名服务器中注入非法的域名解析记录,当用户向被攻击的缓存域名服务器提交域名请求时,就会返回攻击者预先设定的IP地址。
这种攻击在现实环境中很容易实现,最常见的就是GFW缓存污染或者缓存投毒,将IP地址劫持到新的IP地址上。
域名劫持
攻击者掌握域名管理密码和域名管理邮箱后,会把该域名的NS记录指向攻击者控制的DNS服务器,然后通过在DNS服务器上配置相应的域名记录,当用户访问该域名时,实际上就会被引导到攻击者预先设定的主机上。
这个比较难,但还是有可能实现的。需要有一个管理机构来控制域名,但实际操作起来可能不太现实。一般来说,域名劫持的第二步就足以算一个例子了。
DNS 的全球状态
到目前为止,IPv4 DNS 体系中共有 13 个根域名服务器,即“A”至“M”,其中 10 个位于美国,另 1 个位于英国、瑞典和日本。A 是唯一的主根服务器,位于美国。其余 12 个为辅助根服务器,其中 9 个位于美国,2 个位于欧洲,分别位于英国和瑞典,1 个位于亚洲,位于日本。
通过 DNS 流量您可以发现什么?
以上三点是针对DNS流量可以探索的新的安全领域,从宏观上来说,可以对恶意程序、木马、僵尸网络、DDoS基础设施、黑灰产业等恶意基础设施进行更全面的管控,我就不一一细说了,欢迎大家交流DNS安全相关的知识,欢迎大家骚扰我们!
扫一扫在手机端查看
我们凭借多年的网站建设经验,坚持以“帮助中小企业实现网络营销化”为宗旨,累计为4000多家客户提供品质建站服务,得到了客户的一致好评。如果您有网站建设、网站改版、域名注册、主机空间、手机网站建设、网站备案等方面的需求,请立即点击咨询我们或拨打咨询热线: 13761152229,我们会详细为你一一解答你心中的疑难。