针对动态域名服务(DNS)的攻击比针对因特网其他组件的攻击要少一些。因此,直到最近才出现一些针对保护DNS的协议,即DNS安全扩展(DNSSEC),保护域名到地址的映射不被伪造。
下面来快速浏览一下DNS的概念:DNS通过访问一系列的域名服务器将域名解析为因特网地址。你的个人计算机上的DNS解析器配置为系统启动的时候运行,直接查询你的组名或者你的ISP的域名服务器。如果你请求一个本地域名服务器不知道的名字,它就会转而查询其他的域名服务器来满足你的请求。
例如,如果你查询一个类似www.xyz.com的名字,并且你的本地域名服务器没有有关xyz.com的信息,它就会查询维护所有.com信息的域名服务器来找到它。然后,它会在xyz.com这个域内查询www.xyz.com的地址。如果攻击者能够在这个路径上的任何地方截获你的请求,那么它就可以返回一个虚假的信息。收到查询响应中的虚假地址的DNS客户端就会定位到一个伪装成合法网站的站点去。一个假的银行网站可以收集到类似用户名和密码等的信用卡信息。
因为这些查询都是使用UDP来完成的,攻击甚至都不需要去阻塞发送到合法目标的请求。攻击者只需要比合法服务器更快的响应即可。发出请求的人就会接收到它的响应,并会忽略随后的合法答案。想了解更多有关DNS的威胁类型的细节,请查看《RFC 3833 Threat Analysis of the Domain Name System (DNS)》。
攻击者不需要截取受攻击的站点的查询,而是使用“缓存中毒(cache poisoning)”攻击。这里,攻击者用合法的信息响应请求,但是在响应中附加额外的域名进行地址映射。额外的信息并不立即执行,但是会保留在请求者的缓存中。例如,攻击者响应一个来自ISP域名服务器对于xyz.com返回的信息,并提供了一个正确的xyz.com的地址,但是同时附加了一个虚假的域名,作为yourbank.com的地址映射。所有请求了yourbank.com的地址的ISP用户都会收到这个错误的信息。
DNSSEC通过数字签名和公钥加密保证了DNS信息的有效性。支持DNSSEC的域名服务器给每个他们维护的域名到地址的映射加上数字签名。查询信息的解析器和域名服务器都采用提供给域名服务器的公钥来验证签名和数据。
为了解决以安全的方式分发公钥所面临的挑战,使用了“信任链”的方法。这个技术阻止了攻击者截获密钥,并应用他们自己的假公钥。这比在因特网上维护一个拥有数百万域的单独的注册表容易实现得多。
根名字服务器通过因特网团体来进行维护,提供顶级域名,例如.com 和 .org的名字到地址的映射。通常,解析器也用人所共知的这些根名字服务器的地址来进行配置。在DNSSEC中,解析器还用能够对顶级域名的名字到地址映射进行数字签名的根名字服务器公钥进行配置。这个密钥,依次被用于直接对顶级域名以下的各级域名进行名字到地址映射的签名。这个链可以根据需要延长。
性能一直都是加密的主题之一。域名服务器只在它们被存储的时候进行一次映射,所以每次请求映射的时候就不会再有延迟。更进一步的讲,没有必要解密映射的整个内容。提供域名的服务器提供了信息的哈希,并对哈希表加密;解析器重新计算哈希,解密提供的哈希,并对这两个哈希进行比较。如果它们一样,从有效资源来的数据在路上就没有被更改过。想要了解更多有关DNSSEC的细节,请看http://www.dnssec.net/。
然而测试DNSSEC的部署的时候遇到操作的问题,去年秋季提交的升级版RFC即将发布。美国安全部门遇到了部署问题,一个内部的小组正在着手解决这个问题。见www.dnssec-deployment.org。
DNSSEC部署是从一些隔离的域开始的。根据额外获得的经验,它会推广到整个网络。要将DNSSEC添加到你的公司的域名服务器上,你需要更新你的DNS软件以支持它。公共的域名BIND软件通过修改支持DNSSEC。你需要创建一个私钥,并将其维护在一个安全的地方。
将DNSSEC添加到你的网络中意味着额外的工作,但是如果你的站点受到攻击者的青睐,这也是值得的。
网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)