DNS安全浅析

　　近几个月以来，一些校园网的用户和管理人员发现学校的陆续出现无法正常提供递归解析服务的情况，也有一些校园网发现一些知名的网站(如www.baidu.com,www..com)域名解析出现奇怪的现象，很多用户和管理员面对这些现象仍然很困惑。

　　域名系统的安全性一直是运行安全的关键之一。在国际上，DNSSec作为域名系统安全的一项重要措施，近年来也出现了新的进展。这些新的技术是否可以解决我们校园网域名解析面临的安全问题？看下面案例的分析：

　　Key1配置错误

　　错误的配置信息导致DNS无法提供正常的服务，DNS的配置是目前网络服务中少有的几个难理解的配置之一!

　　典型案例：

　　瑞典顶级域名.se故障

　　2009年10月12日晚瑞典顶级域名服务器出现故障，导致一百多万使用.se结尾的域名无法正常解析，一些地区直到48小时候才能正常解析.se域名

　　事件回放：

　　1.2009年10月12日瑞典顶级域名.se服务商的管理员象往常一样使用脚本对域名服务器.se的zone文件进行更新。

　　2.更新后发现所有.se的域名无法正常解析

　　3.管理迅速检查原因，发现是因为脚本在编辑存盘时把原本应该有的.给不小心删掉了，这个错误直接导致.se从根域名服务器数据中消失。

　　4.虽然管理员迅速的对zone进行了修复，但是扩散出去的数据导致一些地区在48小时候才重新认为.se是有效域名。

　　事件分析：

　　1.DNS配置文件的复杂性;

　　2.DNS缺乏一个有效的快速更新机制。

　　Key2软件漏洞

　　DNS服务软件本身存在安全漏洞，导致DNS无法正常提供服务。

　　典型案例：

　　Bind9漏洞导致.com无法正常解析

　　2011年3月底，我们陆续接到一些院校投诉其DNS解析服务存在故障，经常无法正常解析域名。最后查明是bind9软件存在条件竞争漏洞导致的。

　　事件背景：

　　DNS安全扩展(DNSSEC)蜒是由IETF提供的一系列DNS安全认证的机制(可参考RFC2535)，它利用数字签名的技术来保证域名解析的权威性，以保证域名不受中间人的攻击或缓存污染。

　　Verisign公司——域名服务商，.com域名的实际维护者，DNSSEC协议的发起人之一。

　　Bind软件——DNS服务程序，目前网络上使用最广泛的DNS软件，教育网的占有率在90%以上。

　　事件回放：

　　1.ISC在Bind8.1.x版本后开始支持DNSSec，并在Bind9版本后默认打开了DNSSec的查询，Bind9.6-ESVR3之前的版本在实现DNSSEC查询的过程中存在一个条件竞争漏洞;

　　2.2011年3月下旬，Verisign公司开始向13台根域名服务器发布.com域名的DNSSEC数据;

　　3.根域名服务器上的DS数据诱发了Bind软件的漏洞，导致递归服务器的非DS请求有50%的几率被根服务认为是无效请求而返回SERVFAIL应答。这直接导致用户端访问.com的域名有一半的几率会失败;

　　4.3月31号，ISC发布安全公告，并更新了Bind9软件。

　　事件分析：

　　1.DNS软件是否需要随时更新？

　　2.DNS软件更新机制。