行業新聞


?

IPv6網絡中DNS的風險分析

日期:2020-07-16 10:23 瀏覽次數: 分類:行業新聞 來源:鄭州冰川網絡技術有限公

       DNS(Domain Name System )域名系統是支撐互聯網運行的重要核心基礎設施,因此DNS系統也成為互聯網攻擊的最主要目標。DNS安全意義重大,一旦發生重大DNS攻擊事件,將可能會影響大范圍互聯網的正常運行,并給社會帶來巨大經濟損失。

  隨著中國推進IPv6規模部署行動計劃快速實施,中國三大電信運營商的固定和4G LTE網絡已經大范圍部署IPv6協議,隨著一批TOP ICP網站和APP支持IPv6協議,目前中國已經有超過5億用戶獲得IPv6地址,開始使用IPv6網絡服務。中國互聯網正在向IPv6時代全面演進。在這個階段,必須要高度重視DNS安全問題。

1. 遞歸DNS的運行機制

        DNS系統可以分為:根DNS服務器、頂級域名DNS服務器(TLD)、權威DNS服務器、遞歸DNS服務器等幾類。

用戶訪問互聯網,第一步需要向本地遞歸DNS申請域名解析。遞歸DNS查詢緩存或向上一級DNS進行遞歸,獲得域名解析結果并返回給用戶,然后用戶瀏覽器就可以訪問目標網站和網頁。從互聯網DNS體系架構來看,遞歸DNS是一個綜合體系,包含多個層級。用戶向低級遞歸DNS查詢,低級向高級遞歸DNS查詢,高級遞歸DNS向根DNS、頂級域名DNS、權威DNS服務器查詢,這樣一級一級遞歸查詢。權威DNS解析出來域名的IP地址再一級一級返回,最后發給用戶主機。

       遞歸DNS在日志里面將會記錄用戶的DNS查詢記錄,包括用戶主機的源IP地址、目標網站、查詢時間、返回DNS查詢結果(目標網站的IP地址)等等。

2. IPv6 與IPv4環境下遞歸DNS運行機制的差異及風險IPv6網絡環境下,DNS的運行機制與IPv4網絡環境下存在一些差異。

      由于IPv4地址資源缺乏,所以IPv4網絡通常會在出口部署NAT設備,內網主機向遞歸DNS申請域名解析申請時,遞歸DNS收到的是NAT設備IP地址,無法獲得用戶主機的IP地址。

      IPv6協議提供了海量IP地址資源,所有用戶主機/聯網終端都配置真實IPv6地址。IPv6主機(或聯網終端)使用真實IPv6地址向遞歸DNS發起域名解析申請,遞歸DNS服務器向用戶主機返回域名解析結果,并在日志中記錄用戶的真實IPv6地址。

      互聯網IP地址掃描探測是黑客常用的攻擊手段。由于IPv6協議設計有海量地址,原有IPv4地址段掃描的探測方式在IPv6網絡上基本失效,所以黑客需要獲得用戶的真實IPv6地址,就需要找到一個擁有大量用戶真實IPv6地址記錄的系統,入侵破解之后獲取用戶IP地址數據。而遞歸DNS服務器恰恰能夠滿足黑客的探測需求,無論是內網遞歸DNS系統,還是公共遞歸DNS系統,在DNS日志文件里面都記錄了海量用戶的真實IPv6地址與域名解析記錄。

3. IPv6網絡環境中竊取將成為遞歸DNS重要攻擊方式對遞歸DNS系統的攻擊,主要包括破壞、投毒、竊取三種方式。

      IPv4時代對DNS的攻擊以破壞為主,包括DDOS攻擊等,目的是造成DNS服務停止。這種攻擊發生后很快就會被發現,并在12-24小時內修復。

      DNS緩存投毒是指遞歸DNS向上級DNS申請查詢,攻擊者仿冒上級DNS服務器向遞歸DNS 服務器發送偽造應答包搶先完成應答,用虛假數據污染遞歸DNS 緩存,從而使遞歸DNS向用戶主機返回錯誤的解析IP結果,將用戶訪問重定向到危險網站。

      進入IPv6時代,由于獲取用戶真實IPv6地址變得困難,因此竊取將成為遞歸DNS攻擊的重要方式。黑客入侵DNS后,不干擾DNS正常運行,而是長期潛伏起來,持續竊取DNS服務器的日志數據,從日志數據中即時獲取海量用戶的真實IPv6地址,并作為網絡探測的目標。

      如果黑客入侵并攻破校園網、政務網,企業網的遞歸DNS服務器,以及公共DNS服務商的遞歸DNS系統,就可以獲取DNS日志并抓取大量新鮮有效的用戶IPv6地址,以進行精準IPv6地址掃描探測。潛伏竊取是靜默無聲并且長期的,其帶來的風險要遠遠大于DDOS攻擊破壞和DNS緩存投毒。

      目前很多園區網、企業網的DNS服務器安全防護薄弱,隨著用戶網絡IPv6升級和DNS系統IPv6升級,將可能成為黑客重點攻擊目標。

4. IPv6網絡隨意配置和使用公共DNS的風險

      由于國內網絡受互聯互通、國際出口擁堵等情況的影響,一些網站訪問速度較慢。在一些介紹全球公共DNS的網絡技術文章影響下,很多用戶在自己的電腦上設置國內、國外公共DNS作為首選DNS,以求實現網絡加速。還有一些企業沒有內網DNS服務器,網管技術人員往往在路由器上將DNS設置為公共DNS的IP地址,內網用戶直接使用公共DNS的域名解析服務。這種情況在IPv4網絡環境下的問題不大,因為主機都在NAT設備之后配置內網IP,沒有publicIP地址。但是在IPv6網絡中,所有主機都將配置真實IPv6 Public IP地址,一旦IP地址暴露,即可被精準掃描。

       Google、IBM、Cloudflare等全球公共DNS系統為全球互聯網用戶提供免費的DNS解析服務,正面看是一種公益和慈善,但從IPv6網絡安全的角度看,其實也是一個全球主機IP地址收集器。如果用戶主機DNS設置直接寫入這些公共DNS的IP地址,或者小企業出口路由器的DNS設置直接寫入這些公共DNS的IP地址,那么用戶主機發起DNS解析請求時,這些公共DNS將直接獲得用戶主機(或企業內網主機)的真實IPv6地址。假設某個公共DNS系統的日志數據庫與網軍的IP地址掃描探測系統直聯共享,那么情況簡直不堪設想。

5. 在中國IPv6規模部署初期就要重視IPv6網絡安全兩辦《推進IPv6規模部署行動計劃》文件中明確提出了“兩并舉三同步”原則:“發展與安全并舉,同步推進網絡安全系統規劃、建設、運行”。

      中國IPv6規模部署剛剛進入發展期,已經有超過5億部手機實現了IPv6聯網,一批高校、政府、企業的網絡正在升級支持IPv6協議。在目前階段,重視IPv6網絡安全問題處于最佳階段,而不能等到發生事故之后再亡羊補牢??梢灶A見,在不遠的將來,IPv6 DNS安全將成為IPv6網絡安全的最重點問題之一,必須要予以高度重視,提前做好網絡安全防護。
冰川網絡   智能DNS   嵌入式DNS

男人j进女人p免费视频