IPv6网络中递归DNS的危险剖析121.127.232

shengliankeji22

DNS(Domain Name System )域名体系是支撑互联网运转的重要中心基础设施，因此DNS体系也成为互联网进犯的最首要方针。DNS安全含义严重，一旦发生严重DNS进犯事情，将可能会影响大范围互联网的正常运转，并给社会带来巨大经济损失。
随着我国推进IPv6规划布置行动计划快速实施，我国三大电信运营商的固定和4G LTE网络已经大范围布置IPv6协议，随着一批TOP ICP网站和APP支持IPv6协议，现在我国已经有超过5亿用户取得IPv6地址，开始运用IPv6网络效劳。我国互联网正在向IPv6年代全面演进。在这个阶段，有必要要高度重视DNS安全问题。

1. 递归DNS的运转机制
DNS体系能够分为：根DNS效劳器、尖端域名DNS效劳器(TLD)、权威DNS效劳器、递归DNS效劳器等几类。
用户拜访互联网，第一步需要向本地递归DNS请求域名解析。递归DNS查询缓存或向上一级DNS进行递归，取得域名解析成果并回来给用户，然后用户浏览器就能够拜访方针网站和网页。从互联网DNS体系架构来看，递归DNS是一个归纳体系，包含多个层级。用户向初级递归DNS查询，初级向高档递归DNS查询，高档递归DNS向根DNS、尖端域名DNS、权威DNS效劳器查询，这样一级一级递归查询。权威DNS解析出来域名的IP地址再一级一级回来，最后发给用户主机。
递归DNS在日志里边将会记载用户的DNS查询记载，包含用户主机的源IP地址、方针网站、查询时间、回来DNS查询成果(方针网站的IP地址)等等。
2. IPv6 与IPv4环境下递归DNS运转机制的差异及危险
IPv6网络环境下，DNS的运转机制与IPv4网络环境下存在一些差异。
由于IPv4地址资源缺乏，所以IPv4网络通常会在出口布置NAT设备，内网主机向递归DNS请求域名解析请求时，递归DNS收到的是NAT设备IP地址，无法取得用户主机的IP地址。
IPv6协议供给了海量IP地址资源，一切用户主机/联网终端都装备实在IPv6地址。IPv6主机(或联网终端)运用实在IPv6地址向递归DNS建议域名解析请求，递归DNS效劳器向用户主机回来域名解析成果，并在日志中记载用户的实在IPv6地址。
互联网IP地址扫描勘探是黑客常用的进犯手段。由于IPv6协议规划有海量地址，原有IPv4地址段扫描的勘探方法在IPv6网络上基本失效，所以黑客需要取得用户的实在IPv6地址，就需要找到一个具有许多用户实在IPv6地址记载的体系，侵略破解之后获取用户IP地址数据。而递归DNS效劳器恰恰能够满足黑客的勘探需求，无论是内网递归DNS体系，仍是公共递归DNS体系，在DNS日志文件里边都记载了海量用户的实在IPv6地址与域名解析记载。
3. IPv6网络环境中盗取将成为递归DNS重要进犯方法
对递归DNS体系的进犯，首要包含损坏、投毒、盗取三种方法。
IPv4年代对DNS的进犯以损坏为主，包含DDOS进犯等，目的是形成DNS效劳停止。这种进犯发生后很快就会被发现，并在12-24小时内修复。
DNS缓存投毒是指递归DNS向上级DNS请求查询，进犯者仿冒上级DNS效劳器向递归DNS 效劳器发送假造应答包抢先完成应答，用虚假数据污染递归DNS 缓存，从而使递归DNS向用户主机回来错误的解析IP成果，将用户拜访重定向到危险网站。
进入IPv6年代，由于获取用户实在IPv6地址变得困难，因此盗取将成为递归DNS进犯的重要方法。黑客侵略DNS后，不干扰DNS正常运转，而是长时间埋伏起来，持续盗取DNS效劳器的日志数据，从日志数据中即时获取海量用户的实在IPv6地址，并作为网络勘探的方针。
假如黑客侵略并攻破校园网、政务网，企业网的递归DNS效劳器，以及公共DNS效劳商的递归DNS体系，就能够获取DNS日志并抓取许多新鲜有效的用户IPv6地址，以进行精准IPv6地址扫描勘探。埋伏盗取是静默无声并且长时间的，其带来的危险峻远远大于DDOS进犯损坏和DNS缓存投毒。
现在许多园区网、企业网的DNS效劳器安全防护薄弱，随着用户网络IPv6晋级和DNS体系IPv6晋级，将可能成为黑客重点进犯方针。
4. IPv6网络随意装备和运用公共DNS的危险
现在网上有许多文章推荐国外的公共DNS，
包含：
GooglePublic DNS (IPv4：8.8.8.8;IPv6：2001:4860:4860::8888);
IBMQuad9 DNS (IPv4：9.9.9.9;IPv6：2620:fe::fe);
CloudflareDNS (IPv4：1.1.1.1;IPv6：2606:4700:4700::1111);
CiscoOpenDNS (IPv4：208.67.222.222;IPv6：2620:0:ccc::2);
HurricaneElectric Public DNS (IPv4：74.82.42.42;IPv6：2001:470:20::2 )
由于国内网络受互联互通、国际出口拥堵等状况的影响，一些网站拜访速度较慢。在一些介绍全球公共DNS的网络技术文章影响下，许多用户在自己的电脑上设置国内、国外公共DNS作为首选DNS，以求实现网络加快。还有一些企业没有内网DNS效劳器，网管技术人员往往在路由器上将DNS设置为公共DNS的IP地址，内网用户直接运用公共DNS的域名解析效劳。这种状况在IPv4网络环境下的问题不大，由于主机都在NAT设备之后装备内网IP，没有publicIP地址。但是在IPv6网络中，一切主机都将装备实在IPv6 Public IP地址，一旦IP地址暴露，即可被精准扫描。
Google、IBM、Cloudflare等全球公共DNS体系为全球互联网用户供给免费的DNS解析效劳，正面看是一种公益和慈善，但从IPv6网络安全的视点看，其实也是一个全球主机IP地址收集器。假如用户主机DNS设置直接写入这些公共DNS的IP地址，或许小企业出口路由器的DNS设置直接写入这些公共DNS的IP地址，那么用户主机建议DNS解析请求时，这些公共DNS将直接取得用户主机(或企业内网主机)的实在IPv6地址。假定某个公共DNS体系的日志数据库与网军的IP地址扫描勘探体系直联共享，那么状况简直不堪设想。
5. 在我国IPv6规划布置初期就要重视IPv6网络安全
两办《推进IPv6规划布置行动计划》文件中明确提出了“两并重三同步”原则：“发展与安全并重，同步推进网络安全体系规划、建设、运转”。
我国IPv6规划布置刚刚进入发展期，已经有超过5亿部手机实现了IPv6联网，一批高校、政府、企业的网络正在晋级支持IPv6协议。在现在阶段，重视IPv6网络安全问题处于最佳阶段，而不能等到发生事端之后再亡羊补牢。能够预见，在不远的将来，IPv6 DNS安全将成为IPv6网络安全的最重点问题之一，有必要要予以高度重视，提早做好网络安全防护。
企鹅840872912