IPv6互联网中DNS的风险性剖析

2021-01-19 23:43 jianzhan

DNS(Domain Name System )网站域名系统软件是支撑点互联网技术运作的关键关键基本设备,因而DNS系统软件同样成为互联网技术进攻的最关键总体目标。DNS安全性实际意义重特大,1旦产生重特大DNS进攻恶性事件,将将会会危害大范畴互联网技术的一切正常运作,并给社会发展带来极大经济发展损害。

伴随着我国推动IPv6经营规模布署行動方案迅速执行,我国3大电信经营商的固定不动和4G LTE互联网早已大范畴布署IPv6协议书,伴随着1批TOP ICP网站和APP适用IPv6协议书,现阶段我国早已有超出5亿客户得到IPv6详细地址,刚开始应用IPv6互联网服务。我国互联网技术正在向IPv6时期全面演进。在这个环节,务必要高宽比高度重视DNS安全性难题。

1. 递归DNS的运作体制

DNS系统软件能够分成:根DNS服务器、一级域名DNS服务器(TLD)、权威性DNS服务器、递归DNS服务器等几类。

客户浏览互联网技术,第1步必须向当地递归DNS申请办理网站域名分析。递归DNS查寻缓存文件或向上1级DNS开展递归,得到网站域名分析結果并回到给客户,随后客户访问器便可以浏览总体目标网站和网页页面。从互联网技术DNS管理体系构架看来,递归DNS是1个综合性管理体系,包括好几个等级。客户向低等递归DNS查寻,低等向高級递归DNS查寻,高級递归DNS向根DNS、一级域名DNS、权威性DNS服务器查寻,这样1级1级递归查寻。权威性DNS分析出来网站域名的IP详细地址再1级1级回到,最终发给客户主机。

递归DNS在系统日志里边可能纪录客户的DNS查寻纪录,包含客户主机的源IP详细地址、总体目标网站、查寻時间、回到DNS查寻結果(总体目标网站的IP详细地址)这些。

2. IPv6 与IPv4自然环境下递归DNS运作体制的差别及风险性

IPv6互联网自然环境下,DNS的运作体制与IPv4互联网自然环境下存在1些差别。

因为IPv4详细地址資源欠缺,因此IPv4互联网一般会在出口布署NAT机器设备,内网主机向递归DNS申请办理网站域名分析申请办理时,递归DNS收到的是NAT机器设备IP详细地址,没法得到客户主机的IP详细地址。

IPv6协议书出示了大量IP详细地址資源,全部客户主机/连接网络终端设备都配备真正IPv6详细地址。IPV6主机(或连接网络终端设备)应用真正IPv6详细地址向递归DNS进行网站域名分析申请办理,递归DNS服务器向客户主机回到网站域名分析結果,并在系统日志中纪录客户的真正IPv6详细地址。

互联网技术IP详细地址扫描仪检测是网络黑客常见的进攻方式。因为IPv6协议书设计方案有大量详细地址,原来IPv4详细地址段扫描仪的检测方法在IPv6互联网上基础无效,因此网络黑客必须得到客户的真正IPv6详细地址,就必须寻找1个有着很多客户真正IPv6详细地址纪录的系统软件,侵入破译以后获得客户IP详细地址数据信息。而递归DNS服务器刚好可以考虑网络黑客的检测要求,不管是内网递归DNS系统软件,還是公共性递归DNS系统软件,在DNS系统日志文档里边都纪录了大量客户的真正IPv6详细地址与网站域名分析纪录。

3. IPv6互联网自然环境中盗取将变成递归DNS关键进攻方法

对递归DNS系统软件的进攻,关键包含破坏、投毒、盗取3种方法。

  • IPv4时期对DNS的进攻以破坏为主,包含ddos进攻等,目地是导致DNS服务终止。这类进攻产生后很快就会被发现,并在12⑵4小时内修补。
  • DNS缓存文件投毒是指递归DNS向上级DNS申请办理查寻,进攻者假冒上级DNS服务器向递归DNS 服务器推送仿冒回复包抢鲜进行回复,用虚报数据信息污染递归DNS 缓存文件,从而使递归DNS向客户主机回到不正确的分析IP結果,将客户浏览重定项到风险网站。
  • 进到IPv6时期,因为获得客户真正IPv6详细地址变得艰难,因而盗取将变成递归DNS进攻的关键方法。网络黑客侵入DNS后,不影响DNS一切正常运作,而是长期性埋伏起来,不断盗取DNS服务器的系统日志数据信息,从系统日志数据信息中及时获得大量客户的真正IPv6详细地址,并做为互联网检测的总体目标。

假如网络黑客侵入并攻克校园内网、政务网,公司网的递归DNS服务器,和公共性DNS服务商的递归DNS系统软件,便可以获得DNS系统日志并抓取很多新鮮合理的客户IPv6详细地址,以开展精确IPv6详细地址扫描仪检测。埋伏盗取是默然无声而且长期性的,其带来的风险性要远宏大于DDOS进攻破坏和DNS缓存文件投毒。

现阶段许多产业园区网、公司网的DNS服务器安全性安全防护欠缺,伴随着客户互联网IPv6升級和DNS系统软件IPv6升級,将将会变成网络黑客关键进攻总体目标。

4. IPv6互联网随便配备和应用公共性DNS的风险性

因为中国互联网受互联互通、国际性出口拥挤等状况的危害,1些网站浏览速率较慢。在1些详细介绍全世界公共性DNS的互联网技术性文章内容危害下,许多客户在自身的电脑上上设定中国、海外公共性DNS做为首选DNS,以求实创新现互联网加快。也有1些公司沒有内网DNS服务器,网管技术性人员常常在路由器器上把DNS设定为公共性DNS的IP详细地址,内网客户立即应用公共性DNS的网站域名分析服务。这类状况在IPv4互联网自然环境下的难题不大,由于主机都在NAT机器设备以后配备内网IP,沒有publicIP详细地址。可是在IPv6互联网中,全部主机都将配备真正IPv6 Public IP详细地址,1旦IP详细地址曝露,便可被精确扫描仪。

Google、IBM、Cloudflare等全世界公共性DNS系统软件为全世界互联网技术客户出示完全免费的DNS分析服务,正面看是1种公益和公益慈善,但从IPv6互联网安全性的角度看,实际上也是1个全世界主机IP详细地址搜集器。假如客户主机DNS设定立即写入这些公共性DNS的IP详细地址,或小公司出口路由器器的DNS设定立即写入这些公共性DNS的IP详细地址,那末客户主机进行DNS分析恳求时,这些公共性DNS将立即得到客户主机(或公司内网主机)的真正IPv6详细地址。假定某个公共性DNS系统软件的系统日志数据信息库与网军的IP详细地址扫描仪检测系统软件直联共享资源,那末状况真是不堪入目构想。

5. 在我国IPv6经营规模布署前期就要高度重视IPv6互联网安全性

两办《推动IPv6经营规模布署行動方案》文档中确立提出了“两并举3同歩”标准:“发展趋势与安全性并举,同歩推动互联网安全性系统软件整体规划、基本建设、运作”。

我国IPv6经营规模布署不久进到发展趋势期,早已有超出5亿部手机上完成了IPv6连接网络,1批高校、政府部门、公司的互联网正在升級适用IPv6协议书。在现阶段环节,高度重视IPv6互联网安全性难题处在最好环节,而不可以直到产生安全事故以后再亡羊补牢。能够预料,在不远的未来,IPv6 DNS安全性将变成IPv6互联网安全性的最关键难题之1,务必要予以高宽比高度重视,提早做好互联网安全性安全防护。