IPv6之DNS安全

admin6个月前笔记57

DNS(Domain Name System )域名系统是支撑互联网运行的重要核心基础设施,因此DNS系统也成为互联网攻击的最主要目标。DNS安全意义重大,一旦发生重大DNS攻击事件,将可能会影响大范围互联网的正常运行,并给社会带来巨大经济损失。
随着中国推进IPv6规模部署行动计划快速实施,中国三大电信运营商的固定和4G LTE网络已经大范围部署IPv6协议,随着一批TOP ICP网站和APP支持IPv6协议,目前中国已经有超过5亿用户获得IPv6地址,开始使用IPv6网络服务。中国互联网正在向IPv6时代全面演进。在这个阶段,必须要高度重视DNS安全问题。

image.png

1. 递归DNS的运行机制

DNS系统可以分为:根DNS服务器、顶级域名DNS服务器(TLD)、权威DNS服务器、递归DNS服务器等几类。
用户访问互联网,第一步需要向本地递归DNS申请域名解析。递归DNS查询缓存或向上一级DNS进行递归,获得域名解析结果并返回给用户,然后用户浏览器就可以访问目标网站和网页。从互联网DNS体系架构来看,递归DNS是一个综合体系,包含多个层级。用户向低级递归DNS查询,低级向高级递归DNS查询,高级递归DNS向根DNS、顶级域名DNS、权威DNS服务器查询,这样一级一级递归查询。权威DNS解析出来域名的IP地址再一级一级返回,最后发给用户主机。
递归DNS在日志里面将会记录用户的DNS查询记录,包括用户主机的源IP地址、目标网站、查询时间、返回DNS查询结果(目标网站的IP地址)等等。

2. IPv6 与IPv4环境下递归DNS运行机制的差异及风险

IPv6网络环境下,DNS的运行机制与IPv4网络环境下存在一些差异。
由于IPv4地址资源缺乏,所以IPv4网络通常会在出口部署NAT设备,内网主机向递归DNS申请域名解析申请时,递归DNS收到的是NAT设备IP地址,无法获得用户主机的IP地址。
IPv6协议提供了海量IP地址资源,所有用户主机/联网终端都配置真实IPv6地址。IPv6主机(或联网终端)使用真实IPv6地址向递归DNS发起域名解析申请,递归DNS服务器向用户主机返回域名解析结果,并在日志中记录用户的真实IPv6地址。
互联网IP地址扫描探测是黑客常用的攻击手段。由于IPv6协议设计有海量地址,原有IPv4地址段扫描的探测方式在IPv6网络上基本失效,所以黑客需要获得用户的真实IPv6地址,就需要找到一个拥有大量用户真实IPv6地址记录的系统,入侵破解之后获取用户IP地址数据。而递归DNS服务器恰恰能够满足黑客的探测需求,无论是内网递归DNS系统,还是公共递归DNS系统,在DNS日志文件里面都记录了海量用户的真实IPv6地址与域名解析记录。

3. IPv6网络环境中窃取将成为递归DNS重要攻击方式

对递归DNS系统的攻击,主要包括破坏、投毒、窃取三种方式。

IPv4时代对DNS的攻击以破坏为主,包括DDOS攻击等,目的是造成DNS服务停止。这种攻击发生后很快就会被发现,并在12-24小时内修复。
DNS缓存投毒是指递归DNS向上级DNS申请查询,攻击者仿冒上级DNS服务器向递归DNS 服务器发送伪造应答包抢先完成应答,用虚假数据污染递归DNS 缓存,从而使递归DNS向用户主机返回错误的解析IP结果,将用户访问重定向到危险网站。
进入IPv6时代,由于获取用户真实IPv6地址变得困难,因此窃取将成为递归DNS攻击的重要方式。黑客入侵DNS后,不干扰DNS正常运行,而是长期潜伏起来,持续窃取DNS服务器的日志数据,从日志数据中即时获取海量用户的真实IPv6地址,并作为网络探测的目标。

如果黑客入侵并攻破校园网、政务网,企业网的递归DNS服务器,以及公共DNS服务商的递归DNS系统,就可以获取DNS日志并抓取大量新鲜有效的用户IPv6地址,以进行精准IPv6地址扫描探测。潜伏窃取是静默无声并且长期的,其带来的风险要远远大于DDOS攻击破坏和DNS缓存投毒。
目前很多园区网、企业网的DNS服务器安全防护薄弱,随着用户网络IPv6升级和DNS系统IPv6升级,将可能成为黑客重点攻击目标。

4. IPv6网络随意配置和使用公共DNS的风险

目前网上有很多文章推荐国外的公共DNS,
包括:

GooglePublic DNS (IPv4:8.8.8.8;IPv6:2001:4860:4860::8888);
IBMQuad9 DNS (IPv4:9.9.9.9;IPv6:2620:fe::fe);
CloudflareDNS (IPv4:1.1.1.1;IPv6:2606:4700:4700::1111);
CiscoOpenDNS (IPv4:208.67.222.222;IPv6:2620:0:ccc::2);
HurricaneElectric Public DNS (IPv4:74.82.42.42;IPv6:2001:470:20::2 )

由于国内网络受互联互通、国际出口拥堵等情况的影响,一些网站访问速度较慢。在一些介绍全球公共DNS的网络技术文章影响下,很多用户在自己的电脑上设置国内、国外公共DNS作为首选DNS,以求实现网络加速。还有一些企业没有内网DNS服务器,网管技术人员往往在路由器上将DNS设置为公共DNS的IP地址,内网用户直接使用公共DNS的域名解析服务。这种情况在IPv4网络环境下的问题不大,因为主机都在NAT设备之后配置内网IP,没有publicIP地址。但是在IPv6网络中,所有主机都将配置真实IPv6 Public IP地址,一旦IP地址暴露,即可被精准扫描。
Google、IBM、Cloudflare等全球公共DNS系统为全球互联网用户提供免费的DNS解析服务,正面看是一种公益和慈善,但从IPv6网络安全的角度看,其实也是一个全球主机IP地址收集器。如果用户主机DNS设置直接写入这些公共DNS的IP地址,或者小企业出口路由器的DNS设置直接写入这些公共DNS的IP地址,那么用户主机发起DNS解析请求时,这些公共DNS将直接获得用户主机(或企业内网主机)的真实IPv6地址。假设某个公共DNS系统的日志数据库与网军的IP地址扫描探测系统直联共享,那么情况简直不堪设想。

5. 在中国IPv6规模部署初期就要重视IPv6网络安全

两办《推进IPv6规模部署行动计划》文件中明确提出了“两并举三同步”原则:“发展与安全并举,同步推进网络安全系统规划、建设、运行”。
中国IPv6规模部署刚刚进入发展期,已经有超过5亿部手机实现了IPv6联网,一批高校、政府、企业的网络正在升级支持IPv6协议。在目前阶段,重视IPv6网络安全问题处于最佳阶段,而不能等到发生事故之后再亡羊补牢。可以预见,在不远的将来,IPv6 DNS安全将成为IPv6网络安全的最重点问题之一,必须要予以高度重视,提前做好网络安全防护。


相关文章

网络地址转换(NAT)的报文跟踪

网络地址转换(NAT)的报文跟踪

这是有关网络地址转换network address translation(NAT)的系列文章中的第一篇。这一部分将展示如何使用 iptables/nftables 报文跟踪功能来定位 NAT 相关的...

勒索病毒下数据安全的反思

勒索病毒下数据安全的反思

互联网时代的蓬勃发展,带来的便利和未来的期待的超越想象,同时也不可避免的增加了个人资料个人隐私泄密的风险。这次的勒索病毒事件,同时也曝露了数据安全的重要性,全球陷入恐慌中。而路透也援引数据称,勒索病毒...

安全干货:女巫攻击的影响、部署、以及该如何防范

安全干货:女巫攻击的影响、部署、以及该如何防范

不知您是否听说过女巫攻击(Sybil Attack)。其中,“Sybil”一词来自一位名叫Shirley Ardell Mason(又名Sybil Dorsett)的艺术家,她曾被诊断出患有多重人格障...

25个iptables常用示例

本文将给出25个iptables常用规则示例,这些例子为您提供了些基本的模板,您可以根据特定需求对其进行修改调整以达到期望。格式iptables [-t 表名] 选项 [链名] [条件] [-j 控制...

mysql/mariadb:数据库用户管理语句

mysql/mariadb:数据库用户管理语句

在了解mysql的用户管理语句之前,先来了解一下mysql的用户账号格式,如下:username@host上述格式表示,username对应的用户能够通过哪个host登录mysql。host:此mys...

保护服务器免受DDoS攻击的有效方法

保护服务器免受DDoS攻击的有效方法

互联网的安全性一直是很多企业关注的问题。不管技术发展得如何快。始终会存在一定的安全漏洞。而且DDoS攻击逐年日渐剧增。是令企业们比较头疼的一个问题。今天。我们来浅谈一下。虚拟主机应该如何做好预防DDo...

发表评论    

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。