DNS(Domain Name System )域名系統(tǒng)是支撐互聯(lián)網(wǎng)運行的重要核心基礎(chǔ)設(shè)施，因此DNS系統(tǒng)也成為互聯(lián)網(wǎng)攻擊的最主要目標。DNS安全意義重大，一旦發(fā)生重大DNS攻擊事件，將可能會影響大范圍互聯(lián)網(wǎng)的正常運行，并給社會帶來巨大經(jīng)濟損失。

隨著中國推進IPv6規(guī)模部署行動計劃快速實施，中國三大電信運營商的固定和4G LTE網(wǎng)絡(luò)已經(jīng)大范圍部署IPv6協(xié)議，隨著一批TOP ICP網(wǎng)站和APP支持IPv6協(xié)議，目前中國已經(jīng)有超過5億用戶獲得IPv6地址，開始使用IPv6網(wǎng)絡(luò)服務(wù)。中國互聯(lián)網(wǎng)正在向IPv6時代全面演進。在這個階段，必須要高度重視DNS安全問題。

[[262318]]

1. 遞歸DNS的運行機制

DNS系統(tǒng)可以分為：根DNS服務(wù)器、域名DNS服務(wù)器(TLD)、權(quán)威DNS服務(wù)器、遞歸DNS服務(wù)器等幾類。

用戶訪問互聯(lián)網(wǎng)，第一步需要向本地遞歸DNS申請域名解析。遞歸DNS查詢緩存或向上一級DNS進行遞歸，獲得域名解析結(jié)果并返回給用戶，然后用戶瀏覽器就可以訪問目標網(wǎng)站和網(wǎng)頁。從互聯(lián)網(wǎng)DNS體系架構(gòu)來看，遞歸DNS是一個綜合體系，包含多個層級。用戶向低級遞歸DNS查詢，低級向高級遞歸DNS查詢，高級遞歸DNS向根DNS、域名DNS、權(quán)威DNS服務(wù)器查詢，這樣一級一級遞歸查詢。權(quán)威DNS解析出來域名的IP地址再一級一級返回，最后發(fā)給用戶主機。

遞歸DNS在日志里面將會記錄用戶的DNS查詢記錄，包括用戶主機的源IP地址、目標網(wǎng)站、查詢時間、返回DNS查詢結(jié)果(目標網(wǎng)站的IP地址)等等。

2. IPv6 與IPv4環(huán)境下遞歸DNS運行機制的差異及風險

IPv6網(wǎng)絡(luò)環(huán)境下，DNS的運行機制與IPv4網(wǎng)絡(luò)環(huán)境下存在一些差異。

由于IPv4地址資源缺乏，所以IPv4網(wǎng)絡(luò)通常會在出口部署NAT設(shè)備，內(nèi)網(wǎng)主機向遞歸DNS申請域名解析申請時，遞歸DNS收到的是NAT設(shè)備IP地址，無法獲得用戶主機的IP地址。

IPv6協(xié)議提供了海量IP地址資源，所有用戶主機/聯(lián)網(wǎng)終端都配置真實IPv6地址。IPv6主機(或聯(lián)網(wǎng)終端)使用真實IPv6地址向遞歸DNS發(fā)起域名解析申請，遞歸DNS服務(wù)器向用戶主機返回域名解析結(jié)果，并在日志中記錄用戶的真實IPv6地址。

互聯(lián)網(wǎng)IP地址掃描探測是黑客常用的攻擊手段。由于IPv6協(xié)議設(shè)計有海量地址，原有IPv4地址段掃描的探測方式在IPv6網(wǎng)絡(luò)上基本失效，所以黑客需要獲得用戶的真實IPv6地址，就需要找到一個擁有大量用戶真實IPv6地址記錄的系統(tǒng)，入侵破解之后獲取用戶IP地址數(shù)據(jù)。而遞歸DNS服務(wù)器恰恰能夠滿足黑客的探測需求，無論是內(nèi)網(wǎng)遞歸DNS系統(tǒng)，還是公共遞歸DNS系統(tǒng)，在DNS日志文件里面都記錄了海量用戶的真實IPv6地址與域名解析記錄。

3. IPv6網(wǎng)絡(luò)環(huán)境中竊取將成為遞歸DNS重要攻擊方式

對遞歸DNS系統(tǒng)的攻擊，主要包括破壞、投毒、竊取三種方式。

• IPv4時代對DNS的攻擊以破壞為主，包括DDOS攻擊等，目的是造成DNS服務(wù)停止。這種攻擊發(fā)生后很快就會被發(fā)現(xiàn)，并在12-24小時內(nèi)修復。
• DNS緩存投毒是指遞歸DNS向上級DNS申請查詢，攻擊者仿冒上級DNS服務(wù)器向遞歸DNS 服務(wù)器發(fā)送偽造應(yīng)答包搶先完成應(yīng)答，用虛假數(shù)據(jù)污染遞歸DNS 緩存，從而使遞歸DNS向用戶主機返回錯誤的解析IP結(jié)果，將用戶訪問重定向到危險網(wǎng)站。
• 進入IPv6時代，由于獲取用戶真實IPv6地址變得困難，因此竊取將成為遞歸DNS攻擊的重要方式。黑客入侵DNS后，不干擾DNS正常運行，而是長期潛伏起來，持續(xù)竊取DNS服務(wù)器的日志數(shù)據(jù)，從日志數(shù)據(jù)中即時獲取海量用戶的真實IPv6地址，并作為網(wǎng)絡(luò)探測的目標。

如果黑客入侵并攻破校園網(wǎng)、政務(wù)網(wǎng)，企業(yè)網(wǎng)的遞歸DNS服務(wù)器，以及公共DNS服務(wù)商的遞歸DNS系統(tǒng)，就可以獲取DNS日志并抓取大量新鮮有效的用戶IPv6地址，以進行精準IPv6地址掃描探測。潛伏竊取是靜默無聲并且長期的，其帶來的風險要遠遠大于DDOS攻擊破壞和DNS緩存投毒。

目前很多園區(qū)網(wǎng)、企業(yè)網(wǎng)的DNS服務(wù)器安全防護薄弱，隨著用戶網(wǎng)絡(luò)IPv6升級和DNS系統(tǒng)IPv6升級，將可能成為黑客重點攻擊目標。

4. IPv6網(wǎng)絡(luò)隨意配置和使用公共DNS的風險

目前網(wǎng)上有很多文章推薦國外的公共DNS，

包括：

• GooglePublic DNS (IPv4：8.8.8.8;IPv6：2001:4860:4860::8888);
• IBMQuad9 DNS (IPv4：9.9.9.9;IPv6：2620:fe::fe);
• CloudflareDNS (IPv4：1.1.1.1;IPv6：2606:4700:4700::1111);
• CiscoOpenDNS (IPv4：208.67.222.222;IPv6：2620:0:ccc::2);
• HurricaneElectric Public DNS (IPv4：74.82.42.42;IPv6：2001:470:20::2 )

由于國內(nèi)網(wǎng)絡(luò)受互聯(lián)互通、國際出口擁堵等情況的影響，一些網(wǎng)站訪問速度較慢。在一些介紹全球公共DNS的網(wǎng)絡(luò)技術(shù)文章影響下，很多用戶在自己的電腦上設(shè)置國內(nèi)、國外公共DNS作為首選DNS，以求實現(xiàn)網(wǎng)絡(luò)加速。還有一些企業(yè)沒有內(nèi)網(wǎng)DNS服務(wù)器，網(wǎng)管技術(shù)人員往往在路由器上將DNS設(shè)置為公共DNS的IP地址，內(nèi)網(wǎng)用戶直接使用公共DNS的域名解析服務(wù)。這種情況在IPv4網(wǎng)絡(luò)環(huán)境下的問題不大，因為主機都在NAT設(shè)備之后配置內(nèi)網(wǎng)IP，沒有publicIP地址。但是在IPv6網(wǎng)絡(luò)中，所有主機都將配置真實IPv6 Public IP地址，一旦IP地址暴露，即可被精準掃描。

Google、IBM、Cloudflare等全球公共DNS系統(tǒng)為全球互聯(lián)網(wǎng)用戶提供免費的DNS解析服務(wù)，正面看是一種公益和慈善，但從IPv6網(wǎng)絡(luò)安全的角度看，其實也是一個全球主機IP地址收集器。如果用戶主機DNS設(shè)置直接寫入這些公共DNS的IP地址，或者小企業(yè)出口路由器的DNS設(shè)置直接寫入這些公共DNS的IP地址，那么用戶主機發(fā)起DNS解析請求時，這些公共DNS將直接獲得用戶主機(或企業(yè)內(nèi)網(wǎng)主機)的真實IPv6地址。假設(shè)某個公共DNS系統(tǒng)的日志數(shù)據(jù)庫與網(wǎng)軍的IP地址掃描探測系統(tǒng)直聯(lián)共享，那么情況簡直不堪設(shè)想。

5. 在中國IPv6規(guī)模部署初期就要重視IPv6網(wǎng)絡(luò)安全

兩辦《推進IPv6規(guī)模部署行動計劃》文件中明確提出了“兩并舉三同步”原則：“發(fā)展與安全并舉，同步推進網(wǎng)絡(luò)安全系統(tǒng)規(guī)劃、建設(shè)、運行”。

中國IPv6規(guī)模部署剛剛進入發(fā)展期，已經(jīng)有超過5億部手機實現(xiàn)了IPv6聯(lián)網(wǎng)，一批高校、政府、企業(yè)的網(wǎng)絡(luò)正在升級支持IPv6協(xié)議。在目前階段，重視IPv6網(wǎng)絡(luò)安全問題處于最佳階段，而不能等到發(fā)生事故之后再亡羊補牢。可以預見，在不遠的將來，IPv6 DNS安全將成為IPv6網(wǎng)絡(luò)安全的最重點問題之一，必須要予以高度重視，提前做好網(wǎng)絡(luò)安全防護。