DNS安全的背景及事件分析
DNS的安全问题不容忽视!不要让DNS成为校园网安全的短板!
问题DNS服务攻击具有以下的特点:利用最少的资源,发动最具破坏力的攻击、利用最少的攻击,获得最大的收益、可以轻易绕过严密安全防护。
当前,DNS面临的风险包括:拒绝服务攻击、劫持、错误的配置、软件漏洞、缓存污染、中间人攻击、DNS恶意指向。
这些风险中引发的事件,多数由于管理环节的疏漏,以及DNS配置复杂性、缺乏一个有效的快速更新机制等原因引起的,下面分别举例说明:
Key1拒绝服务攻击
攻击使用大量的请求或是流量湮灭,使得DNS服务无法正常提供服务。
典型案例:
暴风影音攻击事件——蝴蝶效应
2009年5月19日晚,由于暴风影音的域名出现无法解析的故障,而用户端的暴风影音软件持续发送大量的DNS解析请求形成了对DNS递归查询的攻击,导致多省的网络服务中断。
事件背景:
DNSPod——免费的动态域名解析服务提供商,拥有ns1.dnspod.net至ns6.dnspod.net六台DNS解析服务器,为30万个域名提供权威解析服务。每天的解析请求达20亿次。
暴风影音——国内著名的免费媒体播放软件,拥有1.2亿的用户装机量。DNSPod的用户之一。
事件回放:
1.游戏互斗,导致攻击DNSPod的服务器,瞬间的攻击流量达10G;
2.电信的IDC为避免影响网络,在路由上禁封了DNSpod的IP地址,导致DNSPod无法提供正常的DNS解析服务;
3.暴风影音软件会定期自动访问自己的主站获取信息,由于域名无法解析就持续发送解析请求;
4.大量的暴风影音用户持续发送域名解析请求导致递归解析服务器的资源耗尽,形成拒绝服务攻击;
5.用户无法获得DNS解析服务,导致网络应用瘫痪。
事件分析:
1.DNSPod的管理和IDC的责任心问题。
2.暴风影音的管理和更新机制问题。
Key2域名劫持
攻击者通过各种手段修改权威服务器上域名的NS或者A记录的指向,达到劫持该域名的目地。
典型案例:
域名劫持事件——社会工程学攻击
2010年1月12日百度域名被劫持,导致多个地区在长达4小时内无法正常访问百度,有的地区在24小时后才恢复正常。
事件背景:
Register.com——美国域名注册代理服务商,提供.com的域名注册服务,你只需提供一个有效的邮件地址和相应的费用便可在Register.com上注册你想要的域名(前提是该域名还未被别人注册),之后你可以随时使用该邮箱和设置的密码登录Register.com的网站修改你注册域名的ns记录或A记录的指向。
百度——国内最大的搜索服务提供商,baidu.com域名的拥有者,该域名通过Register.com公司注册。
事件回放:
攻击者冒充百度的代理商联系Register.com公司的客服人员(通过在线聊天软件)要求修改注册时使用的邮箱。
Register.com公司的客服人员在经过不完善的认证后将baidu.com域名的注册邮箱改成了antiwahabi2008@gmail.com;
使用密码重置功能获得baidu.com域名管理帐号密码,并登录系统修改了baidu.com的域名指向;
百度发现问题后无法用自己的帐号登录修改域名指向,只能通过联系Register.com公司的客服来进行处理,由于时差的关系联系进展缓慢,导致问题出现4个多小时后才得以解决。
事件分析:
1.域名注册的管理问题:商业化运作,管理混乱,没有监管机制;
2.根域名管理权问题:根域名控制在少数一些国家手中。