| 導讀 | 中國互聯網正在向IPv6時代全面演進。在這個階段,必須要高度重視DNS安全問題。 |
DNS(Domain Name System )域名系統是支撐互聯網運行的重要核心基礎設施,因此DNS系統也成爲互聯網***的最主要目標。DNS安全意義重大,一旦發生重大DNS***事件,將可能會影響大範圍互聯網的正常運行,並給社會帶來巨大經濟損失。
隨着中國推進IPv6規模部署行動計劃快速實施,中國三大電信運營商的固定和4G LTE網絡已經大範圍部署IPv6協議,隨着一批TOP ICP網站和APP支持IPv6協議,目前中國已經有超過5億用戶獲得IPv6地址,開始使用IPv6網絡服務。中國互聯網正在向IPv6時代全面演進。在這個階段,必須要高度重視DNS安全問題。
1. 遞歸DNS的運行機制
DNS系統可以分爲:根DNS服務器、頂級域名DNS服務器(TLD)、權威DNS服務器、遞歸DNS服務器等幾類。
用戶訪問互聯網,第一步需要向本地遞歸DNS申請域名解析。遞歸DNS查詢緩存或向上一級DNS進行遞歸,獲得域名解析結果並返回給用戶,然後用戶瀏覽器就可以訪問目標網站和網頁。從互聯網DNS體系架構來看,遞歸DNS是一個綜合體系,包含多個層級。用戶向低級遞歸DNS查詢,低級向高級遞歸DNS查詢,高級遞歸DNS向根DNS、頂級域名DNS、權威DNS服務器查詢,這樣一級一級遞歸查詢。權威DNS解析出來域名的IP地址再一級一級返回,最後發給用戶主機。
遞歸DNS在日誌裏面將會記錄用戶的DNS查詢記錄,包括用戶主機的源IP地址、目標網站、查詢時間、返回DNS查詢結果(目標網站的IP地址)等等。
2. IPv6 與IPv4環境下遞歸DNS運行機制的差異及風險
IPv6網絡環境下,DNS的運行機制與IPv4網絡環境下存在一些差異。
由於IPv4地址資源缺乏,所以IPv4網絡通常會在出口部署NAT設備,內網主機向遞歸DNS申請域名解析申請時,遞歸DNS收到的是NAT設備IP地址,無法獲得用戶主機的IP地址。
IPv6協議提供了海量IP地址資源,所有用戶主機/聯網終端都配置真實IPv6地址。IPv6主機(或聯網終端)使用真實IPv6地址向遞歸DNS發起域名解析申請,遞歸DNS服務器向用戶主機返回域名解析結果,並在日誌中記錄用戶的真實IPv6地址。
互聯網IP地址掃描探測是***常用的***手段。由於IPv6協議設計有海量地址,原有IPv4地址段掃描的探測方式在IPv6網絡上基本失效,所以***需要獲得用戶的真實IPv6地址,就需要找到一個擁有大量用戶真實IPv6地址記錄的系統,***破解之後獲取用戶IP地址數據。而遞歸DNS服務器恰恰能夠滿足***的探測需求,無論是內網遞歸DNS系統,還是公共遞歸DNS系統,在DNS日誌文件裏面都記錄了海量用戶的真實IPv6地址與域名解析記錄。
3. IPv6網絡環境中竊取將成爲遞歸DNS重要***方式
對遞歸DNS系統的***,主要包括破壞、投毒、竊取三種方式。
IPv4時代對DNS的***以破壞爲主,包括DDOS***等,目的是造成DNS服務停止。這種***發生後很快就會被發現,並在12-24小時內修復。 DNS緩存投毒是指遞歸DNS向上級DNS申請查詢,***者仿冒上級DNS服務器向遞歸DNS 服務器發送僞造應答包搶先完成應答,用虛假數據污染遞歸DNS 緩存,從而使遞歸DNS向用戶主機返回錯誤的解析IP結果,將用戶訪問重定向到危險網站。 進入IPv6時代,由於獲取用戶真實IPv6地址變得困難,因此竊取將成爲遞歸DNS***的重要方式。******DNS後,不干擾DNS正常運行,而是長期潛伏起來,持續竊取DNS服務器的日誌數據,從日誌數據中即時獲取海量用戶的真實IPv6地址,並作爲網絡探測的目標。
如果******並攻破校園網、政務網,企業網的遞歸DNS服務器,以及公共DNS服務商的遞歸DNS系統,就可以獲取DNS日誌並抓取大量新鮮有效的用戶IPv6地址,以進行精準IPv6地址掃描探測。潛伏竊取是靜默無聲並且長期的,其帶來的風險要遠遠大於DDOS***破壞和DNS緩存投毒。
目前很多園區網、企業網的DNS服務器安全防護薄弱,隨着用戶網絡IPv6升級和DNS系統IPv6升級,將可能成爲***重點***目標。
4. IPv6網絡隨意配置和使用公共DNS的風險
目前網上有很多文章推薦國外的公共DNS,
包括:
GooglePublic DNS (IPv4:8.8.8.8;IPv6:2001:4860:4860::8888); IBMQuad9 DNS (IPv4:9.9.9.9;IPv6:2620:fe::fe); CloudflareDNS (IPv4:1.1.1.1;IPv6:2606:4700:4700::1111); CiscoOpenDNS (IPv4:208.67.222.222;IPv6:2620:0:ccc::2); HurricaneElectric Public DNS (IPv4:74.82.42.42;IPv6:2001:470:20::2 )
由於國內網絡受互聯互通、國際出口擁堵等情況的影響,一些網站訪問速度較慢。在一些介紹全球公共DNS的網絡技術文章影響下,很多用戶在自己的電腦上設置國內、國外公共DNS作爲首選DNS,以求實現網絡加速。還有一些企業沒有內網DNS服務器,網管技術人員往往在路由器上將DNS設置爲公共DNS的IP地址,內網用戶直接使用公共DNS的域名解析服務。這種情況在IPv4網絡環境下的問題不大,因爲主機都在NAT設備之後配置內網IP,沒有publicIP地址。但是在IPv6網絡中,所有主機都將配置真實IPv6 Public IP地址,一旦IP地址暴露,即可被精準掃描。
Google、IBM、Cloudflare等全球公共DNS系統爲全球互聯網用戶提供免費的DNS解析服務,正面看是一種公益和慈善,但從IPv6網絡安全的角度看,其實也是一個全球主機IP地址收集器。如果用戶主機DNS設置直接寫入這些公共DNS的IP地址,或者小企業出口路由器的DNS設置直接寫入這些公共DNS的IP地址,那麼用戶主機發起DNS解析請求時,這些公共DNS將直接獲得用戶主機(或企業內網主機)的真實IPv6地址。假設某個公共DNS系統的日誌數據庫與網軍的IP地址掃描探測系統直聯共享,那麼情況簡直不堪設想。Linux就該這麼學
5. 在中國IPv6規模部署初期就要重視IPv6網絡安全
兩辦《推進IPv6規模部署行動計劃》文件中明確提出了“兩並舉三同步”原則:“發展與安全並舉,同步推進網絡安全系統規劃、建設、運行”。
中國IPv6規模部署剛剛進入發展期,已經有超過5億部手機實現了IPv6聯網,一批高校、政府、企業的網絡正在升級支持IPv6協議。在目前階段,重視IPv6網絡安全問題處於最佳階段,而不能等到發生事故之後再亡羊補牢。可以預見,在不遠的將來,IPv6 DNS安全將成爲IPv6網絡安全的最重點問題之一,必須要予以高度重視,提前做好網絡安全防護。