dns问题,DNS专题(10)---安全问题①

DNS专题(10)---安全问题① - 网络安全 - 电脑教程网

DNS专题(10)---安全问题①

日期:2006-10-25   荐:
  本章的内容包括:  电子欺骗和域名查询。电子欺骗可以使DNS服务器相信一台不可靠的主机是一台合法的辅服务器。不道德的黑客用这种技术来获得域区文件的副本,而当内部计算机的地址被他们知道后,就很容易受到直接的攻击。  拒绝服务。大量服务请求涌向一台机器使它不能正常工作,这是某些攻击形式的第一步。这种情况下的保护是对维持高可用性服务的一个练习。几个DNS相关的配置在这方面会有所帮助  使用DNS和防火墙。防火墙是一种运行专门软件的计算机或特殊装置,用限制通过它们的访问来保护一个或多个网络。防火墙的配置变化较大,从专用的的硬件、路由器解决方案,多台机器的方案到只有一台有两个或更多网卡的机器。要有一个与Internet的连接和一个与内部网或DMZ的连接,DNS根据解析和公共需要作特殊的配置。  服务通告。知道有关目标的更多知识通常有助于攻击者探索其弱点。与主机保护和已公布名字空间中的服务通告相关的问题经常通过限制访问这些公布的内容来解决。DNS和NetBIOS名空间是大家都很关注的,但服务记录和LDAP服务增加的因素却是全新的。  动态DDNS,这种新能力有很多许诺,也有很多危险。在使用这种动态更新机制时对windows 2000 操作系统特有的问题在此作简单的翻新。  邮件安全性:SMTP,POP,IMAP和Exchange邮件服务器可能遭受多种攻击。介绍若干比较严重的安全隐患,并建议如何使用DNSMX记录和邮件中继来减少受攻击的可能性。  WWW安全性。因为Web服务器和浏览器功能越来越强,使用越来越普遍,也就越来越可能成为破坏安全性的入口。描述某些Web安全性问题,以及一些可用来防卫的技术。  FTP安全性。FTP服务器对于通过下载来传送软件和电子文档是十分有用的,也可Web服务器中实现下载和发布。描述和FTP有关的安全问题。  本章并不覆盖设置网络连接到Internet时应考虑的所有安全问题。本章的目的是帮助读者理解这些安全问题和DNS服务的关系。有人说安全性应从设计开始。除非从开始设计,安全的弱点总是分层的拼凑物,或者通过重新设计实现的。事实上,网络安全不是一件事情,而是由很多细小的配置部分共同促成的。在说明对公共网络连接的需求和它的风险时,本章把重点放在DNS上。很多风险必须在内部说明。例如,除了所选择的那些可以引出FTP和Telnet服务器的内部端口。过滤掉所有其他的并不很好。大的企业可以从内部获得效益,在安全领域实行逻辑分割,并且在这些情况下,在处理公共网络时面临的一些问题也可应用在内部。  在处理安全问题时,应确保跟上所有新的安全公报、补丁和bug修正。除了仍与你的提供商保持联系外,还应该与其他一些企业保持联系,这些企业不一定把重点放在DNS上,但也发布警告和提供咨询。  10.1电子欺骗和域名查询  DNS电子欺骗是指黑客进入系统并更改主机的IP映射使之指向虚假的主机。发生这种电子欺骗的可能性是存在的,但要完全成功也比较难。黑客对DNS服务器攻击的最大危害是破坏域区信息的完整性,并可能将查询请求转指到其他的主机。有幸的是这类攻击是比较容易防卫和更正的。  Nslookup、ping、traceroute等应用程序可用来确定计算机的信息是否被修改(特别是发现不属于这个节点或这个域的IP地址)。如果觉得存在问题,可查询其他授权服务器和检查结果。如果攻击发生在一定时间以前,错误信息可能已经在网络中缓存,但这些信息将会过期并回到正常的工作状态。如果不能确信你的服务器中是否有错误信息,就用nslookup反复查询,并检查它的结果。为了确定被破坏的数据来自缓存还是已进入到域区数据中,可以使用高级模式在DNS管理控制台中检查,也可以使用DNSCMD.EXE检查,如果问题出在缓冲中,可以刷新服务器的缓存,重新经过每一个工具。可以停机、重启域区或服务器,强迫从它的存储中读取域区信息。应该在分析出了破坏点在哪儿以后再采取相应的措施。  当然,这些情况不应该发生,但如果发生了,就需要立即更正。把一个监视器放在合适的地方、特别是大的域区旁是很重要的。然而,如果可以进行早期探测,攻击的踪迹是新的并且阻止将来受攻击的可能性将增加。在有些情况下,可以很成功地实现监视,如观察服务器性能和网络的不正常测量结果比观察域区中被破坏的数据或错误的回答更容易。不要忽视DNSCMD.EXE,它可以描绘域区数据的传送、可以在一定点与标准数据进行周期性的比较。  困难的是确定黑客是如何或从什么地方侵入系统来进行第一次修改。使用入侵检测软件包或监听可有助于追查黑客。有很多书籍和资料专门讨论和处理这个问题。  黑客从变换域区可得到的好处是可以将用户引向他们控制的机器。然后,黑客利用这种设置来获得他想截取的用户注册信息和邮件帐户信息,并利用这些信息侵入网络上的其他主机。当黑客拿一个未授权的机器作为授权服务器对一个域进行操作时,他就可以通过截取和回答查询来污染Internet上其他名字服务器的缓存。虽然有些保护方法反对这样做,但windows 2000 DNS服务器可以通过配置保护它的缓存。  减少这种入侵危险的一种方法是使用反向查找来进行验证。如果一台主机想装扮成另一台服务器,则反向查找可以验证此IP地址是否能回到同一个主机。实际上,有些FTP和HTTP服务器在允许下载或连接前就用这种方法进行了验证。为了在你的环境中使用这种保护方法,你的DNS服务器必须配置有反向查找域区的功能。  设置域名服务器的最好策略之一就是使它尽可能安全。不要使用有许多用户登录或有许多交互式服务的机器作为域名服务器。许多安全专家建议,如果通信量允许最好把一个单独的服务运行在一个单独的机器上。有些人甚至建议对所有的远程访问或者取消或者对它进行严格的控制,只有通过解密的私有网络或者类似的其他机制的访问才能接受。  另一个要注意的问题是黑客可以从域名服务器通过域区传送来获得地址。防止将数据送到非法辅服务器的最好的方法是,在DNS管理控制台的ZoneTransfer(域区传送)选项卡中列出所有的合法DNS服务器。在图10-1中选择AllowZoneTransfer(允许域区传送),然后选择条目“OnlytotheFollowingServers(仅到下面的服务器中)”,并且添上服务器的IP,然后使用Notify选项卡给支持此功能的服务器配置Notify选项(参见图11-8)。既使在认为这些信息不是危险的条件下,这样做也是一个很好的方法,它提供一个高效的性能,甚至可以在有令人不高兴的、恶劣的人的内部网络中提供保护。由于安全问题使我们看到人性坏的方面,或者,不得不考虑它存在的可能性,真是太不好了。    10.2拒绝服务  拒绝服务攻击有时在欺骗手段中使用,有时是出于恶意的损坏。这种攻击方法利用了服务器的TCP/IP栈实现中存在的公认的安全问题,或者仅仅利用了机器的能力是有限的特点。通过发送包含有错误的或特殊格式的大量文件包会导致服务器无法回答或完全瘫痪。如果此时路由器和合适的子网上的一台机器已失效的话,就为用替代方法进行欺骗敞开了大门。  最显然的预防措施是维护,并且只实现最少量的服务。对于DNS服务器,有时可用一些特殊的方法来解决,就象DNS服务器用于提供公共名字空间时一样。如果不得不响应请求,就设置DNS服务拒绝递归查询(参见第11章),这样不仅扩展了机器的容量,而且限制了所用DNS服务器代码的传送路径。利用操作系统知识的和已安装服务器级别的拒绝服务攻击,并且当它们只需要一个或几个特殊格式的报文时很难检测到。如果这些攻击的信号容易监视,将会堵上这个漏洞,另一方面,如果是基于大量包的攻击,则有很明显的特征。  至此想到的另一个与DNS服务器相关的事情是主服务器没有必要放在公共空间中提供服务,最好放在内部或放在DMZ中。这样可以很容易建立好的监视系统,该系统周期地检查DNS服务器是否正常。在DNS服务器属性页的Monitoring选项卡中也可实现监视的能力,除非它需要通过公共接口指向特定的远程服务器,它都会象所需要的那样发出警报。  (未完待续)
[1] [2]  

(出处:http://www.sheup.com)


 [1] [2] 

标签: