DNS解析与域名服务安全防护策略

企业开源 DNS 服务应用概述

在 Internet 上域名与 IP 地址之间是一一对应的，域名虽然便于人们记忆，但机器之间只能互相认识 IP 地址，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，DNS 就是进行域名解析的服务器。DNS 是域名系统 Domain Name System 的缩写，该系统用于命名组织到域层次结构中的计算机和网络服务。DNS 命名用于 Internet 等 TCP/IP 网络中，通过用户友好的名称查找计算机和服务。当用户在应用程序中输入 DNS 名称时，DNS 服务可以将此名称解析为与之相关的其他信息，如 IP 地址。因为，用户在上网时输入的网址，是通过域名解析系解析找到相对应的 IP 地址，这样才能上网。其实，域名的最终指向是 IP。

DNS 是一个分层级的分散式名称对应系统，看起来有点像电脑的目录树结构。在最顶端的是一个“.”（root），然后其下分为好几个基本类别名称，如 com、org、edu 等。再下面是组织名称，如 sun、yale 等。继而是主机名称，如 eng、cs、ntu 等。如图 1 所示的 DNS 域名空间的分层结构：

图 1.DNS 域名空间的分层结构

值得一提的是，因为当初 Internet 是从美国发起的，所以当时并没有国域名称。但随着后来 Internet 的蓬勃发展，DNS 也加进了诸如 cn、jp、au 等国域名称。所以一个完整的 DNS 名称就好像是这样的 www.xyz.com.cn 而整个名称对应的就是一个 IP 地址了。在开始的时候 root 下面只有六个组织类别：

• edu：教育学术单位
• org：组织机构
• net：网路通讯单位
• com：公司企业
• gov：政府机关
• mil：军事单位

不过自从组织类别名称开放以後各种各样五花八门的名称也相继出现，但无论如何取名的规则最好量适合网站性质。除了原来的类别资料由美国的 NIC（Network Information Center）管理之外，其它在国域以下的类别分别由该国的 NIC 管理。

DNS 系统的组成

DNS 系统基于客户机 / 服务器模式，从概念上说它主要由三个部分组成：

（1）域名空间：域名空间中的记录标识一组主机并提供它们的有关信息。域中的每一个节点都有它的有关信息的数据库。查询命令试图从这个数据库中提取适当的信息。简单地说，域名空间是所有不同类型信息的列表，这些信息是域名、IP 地址、邮件别名和那些在 DNS 系统中能查到的内容。

（2）域名服务器：保持并维护域名空间中的数据的程序。每个域名服务器含有一个域名空间子集的完整信息，并保存其它有关部分的信息。一个域名服务器拥有它控制范围的完整信息。控制的信息按区进行划分，区可以分布在不同的域名服务器上，以便为每个区提供服务。每个域名服务器都知道所有负责其他区的域名服务器。如果来了一个请求，它请求给定域名服务器负责的那个区的信息，那么这个域名服务器只是简单地返回信息。但是，如果请求是不同区的信息，那么这个域名服务器就要与控制该区的相应服务器联系。

（3）解析器：解析器是简单的程序或子程序库，它从服务器中提取信息以响应对域名空间内主机的查询。

DNS 是一个很复杂的概念，下表列出了常用的 DNS 术语：

• 域：代表网络一部分的逻辑实体或组织。
• 域名：主机名的一部分，它代表包含这个主机的域。它可以和域交换使用。
• 主机：网络上的一台计算机。
• 节点：网络上的一台计算机。
• 域名服务器：提供 DNS 服务的计算机，它将 DNS 名字转化为 IP 地址。
• 解析：把一个域名转化为与其相应的 IP 地址的过程。
• 解析器：从域名服务器中提取 DNS 信息的程序或库子程序。
• 反向解析：将给出的 IP 地址转化为其相应的 DNS 名字。
• 欺骗：使网络看上去好象具有不同的 IP 地址或域名的行为。

DNS 服务器的类型

DNS 域名服务器是用来存储主机 - 域名映射信息的，这些服务器具体又可以分为 3 类：

（1）主 DNS 服务器（primary name server）：它是特定域所有信息的权威性信息源。它从域管理员构造的本地磁盘文件中加载域信息，该文件（区文件）包含着该服务器具有管理权的一部分域结构的最精确信息。主服务器是一种权威性服务器，因为它以绝对的权威去回答对其管辖域的任何查询。

（2）辅助 DNS 服务器（secondary name server）：它可从主服务器中复制一整套域信息。区文件是从主服务器中复制出来的，并作为本地磁盘文件存储在辅助服务器中。这种复制称为“区文件复制”。在辅助域名服务器中有一个所有域信息的完整拷贝，可以有权威地回答对该域的查询。因此，辅助域名服务器也称作权威性服务器。配置辅助域名服务器不需要生成本地区文件，因为可以从主服务器中下载该区文件。

（3）高速缓存服务器（caching-only server）：可运行域名服务器软件，但是没有域名数据库软件。它从某个远程服务器取得每次域名服务器查询的结果，一旦取得一个，就将它放在高速缓存中，以后查询相同的信息时就用它予以回答。高速缓存服务器不是权威性服务器，因为它提供的所有信息都是间接信息。对于高速缓存服务器只需要配置一个高速缓存文件，但最常见的配置还包括一个回送文件，这或许是最常见的域名服务器配置。

DNS 的工作原理

DNS 基于 C/S（Client/Server，客户机 / 服务器）模式，因而分为 Client 和 Server 两种角色。Client 扮演询问的角色，也就是向 Server 询问一个 Domain Name，而 Server 必须要回答此 Domain Name 所对应的真正 IP 地址。而当地的 DNS 先会查自己的资料库。如果自己的资料库没有，则会往该 DNS 上所设的其他 DNS 进行求助询问，依此得到答案之后，将收到的答案存起来，并回答客户。

DNS 服务器会根据不同的授权区（Zone），记录所属该网域下的各名称资料，这个资料包括网域下的次网域名称及主机名称。在每一个名称服务器中都有一个高速缓存区（Cache），这个 高速缓存区的主要目的是将该名称服务器所查询出来的名称及相对的 IP 地址记录在高速缓存区中，这样当下一次还有另外一个客户端到次服务器上去查询相同的名称时，服务器就不用在到别台主机上去寻找，而直接可以从缓存区中找到该名称记录资料，传回给客户端，以加速客户端对名称查询的速度。

举个例子，当 DNS 客户端向指定的 DNS 服务器查询网 Internet 上的某一台主机名称时，DNS 服务器会先在自己的高速缓存区中查询有无该条纪录，如果找到该条名称记录后，会从 DNS 服务器直接将所对应到的 IP 地址传回给客户端；如果查不到，则再次在本地资料库中找寻用户所指定的名称；如果 DNS 服务器在高速缓存区中和本地资料记录都查不到时，服务器才会向别的 DNS 服务器查询所要的名称。例如，本地的 DNS 服务器会向最接近（比如属于同一个 IP 地址段或者同一个 ISP）的 DNS 服务器去要求帮忙找寻该名称的 IP 地址。在另一台服务器上也有相同的动作的查询，当查询到后会回复原本要求查询的服务器，该 DNS 服务器在接收到另一台 DNS 服务器查询的结果后，先将所查询到的主机名称及对应 IP 地址记录到高速缓存区中，最后在将所查询到的结果回复给客户端。这样就成功地完成了一次标准的 DNS 查询 - 应答过程。

开源 DNS 服务构建面临的主要安全威胁分析

DNS 由于受当时条件限制，其系统设计存在很多缺陷：

1. 单点故障：DNS 采用层次化的树形结构，由树叶走向树根就可以形成—个全域名（Fully Qualified Domain Name，FQDN），DNS 服务器作为该 FQDN 唯一对外的域名数据库和对内部提供递归域名查询的系统，因而其安全和稳定就存在单点故障风险。
2. 无认证机制：DNS 没有提供认证机制，查询者在收到应答时无法确认应答信息的真假，就容易导致 DNS 欺骗。比如，提交给某个域名服务器的域名解析请求数据包被黑客截获，黑客可以将一个虚假的 IP 地址作为应答信息返回给请求者，那么原始请求者就误以为这是正确的 IP 地址而访问它，从而这样就导致了 DNS 欺骗。
3. 访问量和维护量巨大以及远距离集中式数据库：如果部署中采用单个或者少数个名字服务器，则这些服务器不得不处理所有 DNS 查询消息，并保存所有因特网主机的记录，数据库会相当巨大，需要为每台新增的主机频繁更新，而且单台或者少数台名字服务器主机不可能在所有请求查询的客户主机附近，就可能导致相当大的延迟。
4. DNS（Berkeley Internet Name Domain）的漏洞：DNS 是域名软件，它在提供高效服务的同时也存在许多的安全性漏洞。现已证明在 DNS 版本 4 和 8 上存在缺陷，攻击者利用这些缺陷能成功地进行 DNS 欺骗攻击。构成严重威胁的漏洞主要有两种：一种是缓冲区溢出漏洞，严重的可以使攻击者在 DNS 服务器上执行任意指令。另一种是 DoS 漏洞，受攻击后 DNS 服务器不能提供正常服务，而且其所辖的子网无法正常工作。

DNS 面临的网络威胁是指 DNS 在实际的应用和部署中，不法用户或者黑客利用 DNS 协议或者软件设计的漏洞，可以通过网络向 DNS 发起的攻击，主要包括如下几种：