IPv6安全思考(一):IPv6網路中遞迴DNS的風險分析
DNS(Domain Name System )域名系統是支撐網際網路執行的重要核心基礎設施,因此DNS系統也成為網際網路攻擊的最主要目標。DNS安全意義重大,一旦發生重大DNS攻擊事件,將可能會影響大範圍網際網路的正常執行,並給社會帶來巨大經濟損失。
隨著中國推進IPv6規模部署行動計劃快速實施,中國三大電信運營商的固定和4G LTE網路已經大範圍部署IPv6協議,隨著一批TOP ICP網站和APP支援IPv6協議,目前中國已經有超過5億使用者獲得IPv6地址,開始使用IPv6網路服務。中國網際網路正在向IPv6時代全面演進。在這個階段,必須要高度重視DNS安全問題。
1. 遞迴DNS的執行機制
DNS系統可以分為:根DNS伺服器、頂級域名DNS伺服器(TLD)、權威DNS伺服器、遞迴DNS伺服器等幾類。
使用者訪問網際網路,第一步需要向本地遞迴DNS申請域名解析。遞迴DNS查詢快取或向上一級DNS進行遞迴,獲得域名解析結果並返回給使用者,然後使用者瀏覽器就可以訪問目標網站和網頁。從網際網路DNS體系架構來看,遞迴DNS是一個綜合體系,包含多個層級。使用者向低階遞迴DNS查詢,低階向高階遞迴DNS查詢,高階遞迴DNS向根DNS、頂級域名DNS、權威DNS伺服器查詢,這樣一級一級遞迴查詢。權威DNS解析出來域名的IP地址再一級一級返回,最後發給使用者主機。
遞迴DNS在日誌裡面將會記錄使用者的DNS查詢記錄,包括使用者主機的源IP地址、目標網站、查詢時間、返回DNS查詢結果(目標網站的IP地址)等等。
2. IPv6 與IPv4環境下遞迴DNS執行機制的差異及風險
IPv6網路環境下,DNS的執行機制與IPv4網路環境下存在一些差異。
由於IPv4地址資源缺乏,所以IPv4網路通常會在出口部署NAT裝置,內網主機向遞迴DNS申請域名解析申請時,遞迴DNS收到的是NAT裝置IP地址,無法獲得使用者主機的IP地址。
IPv6協議提供了海量IP地址資源,所有使用者主機/聯網終端都配置真實IPv6地址。IPv6主機(或聯網終端)使用真實IPv6地址向遞迴DNS發起域名解析申請,遞迴DNS伺服器向用戶主機返回域名解析結果,並在日誌中記錄使用者的真實IPv6地址。
網際網路IP地址掃描探測是黑客常用的攻擊手段。由於IPv6協議設計有海量地址,原有IPv4地址段掃描的探測方式在IPv6網路上基本失效,所以黑客需要獲得使用者的真實IPv6地址,就需要找到一個擁有大量使用者真實IPv6地址記錄的系統,入侵破解之後獲取使用者IP地址資料。而遞迴DNS伺服器恰恰能夠滿足黑客的探測需求,無論是內網遞迴DNS系統,還是公共遞迴DNS系統,在DNS日誌檔案裡面都記錄了海量使用者的真實IPv6地址與域名解析記錄。
3. IPv6網路環境中竊取將成為遞迴DNS重要攻擊方式
對遞迴DNS系統的攻擊,主要包括破壞、投毒、竊取三種方式。
- IPv4時代對DNS的攻擊以破壞為主,包括DDOS攻擊等,目的是造成DNS服務停止。這種攻擊發生後很快就會被發現,並在12-24小時內修復。
- DNS快取投毒是指遞迴DNS向上級DNS申請查詢,攻擊者仿冒上級DNS伺服器向遞迴DNS 伺服器傳送偽造應答包搶先完成應答,用虛假資料汙染遞迴DNS 快取,從而使遞迴DNS向用戶主機返回錯誤的解析IP結果,將使用者訪問重定向到危險網站。
- 進入IPv6時代,由於獲取使用者真實IPv6地址變得困難,因此竊取將成為遞迴DNS攻擊的重要方式。黑客入侵DNS後,不干擾DNS正常執行,而是長期潛伏起來,持續竊取DNS伺服器的日誌資料,從日誌資料中即時獲取海量使用者的真實IPv6地址,並作為網路探測的目標。
如果黑客入侵併攻破校園網、政務網,企業網的遞迴DNS伺服器,以及公共DNS服務商的遞迴DNS系統,就可以獲取DNS日誌並抓取大量新鮮有效的使用者IPv6地址,以進行精準IPv6地址掃描探測。潛伏竊取是靜默無聲並且長期的,其帶來的風險要遠遠大於DDOS攻擊破壞和DNS快取投毒。
目前很多園區網、企業網的DNS伺服器安全防護薄弱,隨著使用者網路IPv6升級和DNS系統IPv6升級,將可能成為黑客重點攻擊目標。
4. IPv6網路隨意配置和使用公共DNS的風險
目前網上有很多文章推薦國外的公共DNS,
包括:
- GooglePublic DNS (IPv4:8.8.8.8;IPv6:2001:4860:4860::8888);
- IBMQuad9 DNS (IPv4:9.9.9.9;IPv6:2620:fe::fe);
- CloudflareDNS (IPv4:1.1.1.1;IPv6:2606:4700:4700::1111);
- CiscoOpenDNS (IPv4:208.67.222.222;IPv6:2620:0:ccc::2);
- HurricaneElectric Public DNS (IPv4:74.82.42.42;IPv6:2001:470:20::2 )
由於國內網路受互聯互通、國際出口擁堵等情況的影響,一些網站訪問速度較慢。在一些介紹全球公共DNS的網路技術文章影響下,很多使用者在自己的電腦上設定國內、國外公共DNS作為首選DNS,以求實現網路加速。還有一些企業沒有內網DNS伺服器,網管技術人員往往在路由器上將DNS設定為公共DNS的IP地址,內網使用者直接使用公共DNS的域名解析服務。這種情況在IPv4網路環境下的問題不大,因為主機都在NAT裝置之後配置內網IP,沒有publicIP地址。但是在IPv6網路中,所有主機都將配置真實IPv6 Public IP地址,一旦IP地址暴露,即可被精準掃描。
Google、IBM、Cloudflare等全球公共DNS系統為全球網際網路使用者提供免費的DNS解析服務,正面看是一種公益和慈善,但從IPv6網路安全的角度看,其實也是一個全球主機IP地址收集器。如果使用者主機DNS設定直接寫入這些公共DNS的IP地址,或者小企業出口路由器的DNS設定直接寫入這些公共DNS的IP地址,那麼使用者主機發起DNS解析請求時,這些公共DNS將直接獲得使用者主機(或企業內網主機)的真實IPv6地址。假設某個公共DNS系統的日誌資料庫與網軍的IP地址掃描探測系統直聯共享,那麼情況簡直不堪設想。
5. 在中國IPv6規模部署初期就要重視IPv6網路安全
兩辦《推進IPv6規模部署行動計劃》檔案中明確提出了“兩並舉三同步”原則:“發展與安全並舉,同步推進網路安全系統規劃、建設、執行”。
中國IPv6規模部署剛剛進入發展期,已經有超過5億部手機實現了IPv6聯網,一批高校、政府、企業的網路正在升級支援IPv6協議。在目前階段,重視IPv6網路安全問題處於最佳階段,而不能等到發生事故之後再亡羊補牢。可以預見,在不遠的將來,IPv6 DNS安全將成為IPv6網路安全的最重點問題之一,必須要予以高度重視,提前做好網路安全防護。