如何讓IaaS服務(wù)免受DNS漏洞的威脅？

申請(qǐng)免費(fèi)試用、咨詢(xún)電話(huà)：400-8352-114

本文是關(guān)于云安全技術(shù)應(yīng)用指南系列中的第六篇，我們集中討論域名系統(tǒng)（DNS）的漏洞，以及它們是如何對(duì)基礎(chǔ)設(shè)施即服務(wù)（IaaS）產(chǎn)品產(chǎn)生負(fù)面影響的。

我們之前的文章主要涉及IaaS受到底層操作系統(tǒng)與服務(wù)的威脅和來(lái)自于遠(yuǎn)程管理解決方案的威脅，而本文將闡述域名系統(tǒng)以及受損IP地址解析或錯(cuò)誤數(shù)據(jù)反饋是如何對(duì)IaaS產(chǎn)品構(gòu)成威脅的。

快速DNS入門(mén)

域名系統(tǒng)（DNS）將某一域名翻解析IP地址。為了訪(fǎng)問(wèn)互聯(lián)網(wǎng)上的一臺(tái)服務(wù)器，您需要知道其IP地址，而對(duì)于人們來(lái)說(shuō)他們相對(duì)更易于記住一個(gè)域名（例如www.techtarget.com），而不是記住一個(gè)IP地址（例如，192.168.134.235）。DNS就提供了這樣一個(gè)翻譯服務(wù)。它使用有層次的服務(wù)器和域名擁有者（即那些擁有DNS域名的人或組織），提供將這些域名與IP地址的“權(quán)威”影射。作為系統(tǒng)的一部分，還有一些幫助分擔(dān)域名解析請(qǐng)求的二級(jí)服務(wù)器和緩存服務(wù)器。

另外一個(gè)需要指出的事實(shí)是，主查詢(xún)響應(yīng)請(qǐng)求完成后所使用的用戶(hù)數(shù)據(jù)報(bào)協(xié)議（UDP）在默認(rèn)情況下是非安全、無(wú)國(guó)籍、不可靠的。

有哪些來(lái)自DNS的威脅會(huì)影響IaaS服務(wù)？

由于我們依賴(lài)于DNS來(lái)幫我們進(jìn)行域名與IP地址之間的影射，那么我們?cè)诳赡艿那闆r下都必須注意和減輕任何阻止解析或錯(cuò)誤數(shù)據(jù)反饋的情況。而后者可以稱(chēng)得上是要解決的最大威脅。讓我們來(lái)看看這個(gè)例子：

您希望管理您的IaaS服務(wù)器，其DNS名稱(chēng)是server.example.com。您打開(kāi)您的遠(yuǎn)程管理工具并啟動(dòng)一個(gè)對(duì)話(huà)。您的客戶(hù)端向DNS服務(wù)器查詢(xún)“解析”域名server.example.com并返回IP地址。同時(shí)，攻擊者已設(shè)立了一個(gè)惡意的DNS服務(wù)器用于查找DNS查詢(xún)并響應(yīng)其所控制系統(tǒng)的IP地址。然后您的客戶(hù)端連接到返回的IP地址（惡意服務(wù)器）。攻擊者就能夠嘗試攻擊您客戶(hù)端。

在這方面，主要有四種DNS威脅會(huì)影響IaaS服務(wù)：

緩存中毒：當(dāng)一個(gè)DNS服務(wù)器沒(méi)有域名-IP影射信息時(shí)，它必須找到另外一個(gè)擁有這些信息的DNS服務(wù)器。當(dāng)它接收到回答時(shí)，它通常將該信息存放于緩存中以便于之后再次使用（有超時(shí)和限制，但它們作用有限）。緩存中毒就是指服務(wù)器接收到包含錯(cuò)誤信息的回答。惡意緩存中毒也稱(chēng)為DNS欺騙。

不安全的動(dòng)態(tài)更新：這是另外一個(gè)將惡意數(shù)據(jù)帶入DNS服務(wù)器的機(jī)制，然后再對(duì)該信息的任意查詢(xún)返回惡意數(shù)據(jù)。其效果類(lèi)似于緩存中毒。

信息泄露：一個(gè)攻擊者執(zhí)行DNS區(qū)域傳輸以獲取DNS域名，計(jì)算機(jī)名和IP地址，以便于識(shí)別敏感的網(wǎng)絡(luò)資源。

服務(wù)堵塞：一個(gè)攻擊者采用遞歸查詢(xún)的方式攻擊DNS服務(wù)器，使它們無(wú)法對(duì)正常合法的查詢(xún)做出響應(yīng)。如果沒(méi)有了域名-IP的解析服務(wù)，您將無(wú)法訪(fǎng)問(wèn)您的IaaS資源。

如何應(yīng)對(duì)

如果用戶(hù)控制了DNS服務(wù)器，可以采用手工操作減輕這些威脅，或是可能需要由供應(yīng)商來(lái)處理。以下是我對(duì)于緩解威脅的若干建議：

只使用IP地址或一個(gè)本地主機(jī)文件： 如果您不使用DNS進(jìn)行域名-IP的解析，那么以上所述的DNS問(wèn)題就變得無(wú)關(guān)重要。雖然這似乎不切實(shí)際，但是如果您擁有的IaaS數(shù)量有限，且可以指定靜態(tài)IP，這是一個(gè)現(xiàn)實(shí)的解決方案。

隨機(jī)事務(wù)ID：確保DNS服務(wù)器具有一個(gè)適當(dāng)?shù)碾S機(jī)事務(wù)ID（最新的DNS服務(wù)器就是這么做的）。每一個(gè)DNS查詢(xún)都被分配一個(gè)ID，其值的隨機(jī)性將使攻擊更難以執(zhí)行。

源端口隨機(jī)化：配置您的DNS服務(wù)器使用“查詢(xún)?cè)炊丝陔S機(jī)化”。攻擊者將需要知道事務(wù)ID以及事務(wù)發(fā)送的端口（即隨機(jī)源端口將不一定是53）。請(qǐng)注意，這可能會(huì)影響防火墻規(guī)則。

安全動(dòng)態(tài)更新：配置您的DNS服務(wù)器和客戶(hù)端只接收安全動(dòng)態(tài)更新。您也可以限制動(dòng)態(tài)更新源的IP地址范圍。

限制區(qū)域傳輸：這將阻止攻擊者輕易地收集您的IaaS IP和主機(jī)名信息。

總結(jié)

DNS是一個(gè)基礎(chǔ)性的互聯(lián)網(wǎng)協(xié)議?；ヂ?lián)網(wǎng)及其上的所有服務(wù)在缺乏DNS的情況下都不能充分發(fā)揮作用。但是如同電力一樣，在不出現(xiàn)故障的情況下人們似乎并不覺(jué)得其存在。在使用IaaS時(shí)，時(shí)刻謹(jǐn)記保持這種服務(wù)的重要性及其周?chē)踩珕?wèn)題。