鄭州鐵路職業(yè)技術(shù)學(xué)院教案首頁序號(hào)：27授課班級(jí)信息安全22A1信息安全22A2授課日期5.206.14出勤情況課程名稱網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行與維護(hù)教學(xué)類型理實(shí)結(jié)合復(fù)習(xí)舊課引入新課復(fù)習(xí)舊課：配置主從DNS服務(wù)配置DNS子域配置DNS服務(wù)高級(jí)選項(xiàng)引入新課：Linux系統(tǒng)DNS服務(wù)安裝與配置（三）教學(xué)目標(biāo)學(xué)生通過該能力模塊的學(xué)習(xí),能夠獨(dú)立完成和熟練掌握安全配置DNS服務(wù)器，加強(qiáng)Linux系統(tǒng)的DNS服務(wù)的安全防御能力。講授要點(diǎn)教學(xué)設(shè)計(jì)講授要點(diǎn)：保護(hù)DNS服務(wù)器本身安全保護(hù)ZoneTransfer的安全保護(hù)DNS免于Spoofed攻擊教學(xué)設(shè)計(jì)：回顧上節(jié)內(nèi)容DNS的配置和主從服務(wù)器的配置引入本節(jié)內(nèi)容保護(hù)DNS服務(wù)器自身的安全任務(wù)實(shí)施分3個(gè)實(shí)驗(yàn)步驟，完成DNS安全的配置課堂總結(jié)重點(diǎn)難點(diǎn)解決方法重點(diǎn)：保護(hù)DNS服務(wù)器本身安全保護(hù)ZoneTransfer的安全保護(hù)DNS免于Spoofed攻擊難點(diǎn)： 保護(hù)ZoneTransfer的安全解決方法：演示+上機(jī)操作課后作業(yè)完成本節(jié)實(shí)驗(yàn)，并上交實(shí)驗(yàn)課后總結(jié)DNS的安全設(shè)置既復(fù)雜又難度較大，稍微一點(diǎn)錯(cuò)誤，就會(huì)引起整個(gè)實(shí)驗(yàn)的失敗，因此應(yīng)當(dāng)在實(shí)驗(yàn)中加倍認(rèn)真。鄭州鐵路職業(yè)技術(shù)學(xué)院教師教案第27-PAGE13頁Linux系統(tǒng)DNS服務(wù)安裝與配置（三）教學(xué)過程步驟主要內(nèi)容教學(xué)組織復(fù)習(xí)配置主從DNS服務(wù)配置DNS子域配置DNS服務(wù)高級(jí)選項(xiàng)教師帶動(dòng)學(xué)生復(fù)習(xí)5分鐘任務(wù)引入加強(qiáng)DNS的安全，首先應(yīng)該從DNS服務(wù)器自身的安全開始進(jìn)行配置教師講授5分鐘知識(shí)講授一、ZoneTransferDNS的區(qū)域傳輸目的是為了DNS的備份，當(dāng)DNS服務(wù)器壞了，它的數(shù)據(jù)不會(huì)丟失。注意在配置區(qū)域傳輸是一定要注意輔助服務(wù)器上建立的區(qū)域是輔助區(qū)域且與主服務(wù)器的域名相同，而且區(qū)域傳輸是雙向的，不但需要在輔助服務(wù)器上配置還要在主服務(wù)器上進(jìn)行相應(yīng)的配置。二、DNS威脅 DNS服務(wù)面臨的安全問題主要包括：DNS欺騙（DNSSpoffing）、拒絕服務(wù)（Denialofservice，DoS）攻擊、分布式拒絕服務(wù)攻擊和緩沖區(qū)漏洞溢出攻擊（BufferOverflow）。1.DNS欺騙

DNS欺騙即域名信息欺騙是最常見的DNS安全問題。當(dāng)一個(gè)DNS服務(wù)器掉入陷阱，使用了來自一個(gè)惡意DNS服務(wù)器的錯(cuò)誤信息，那么該DNS服務(wù)器就被欺騙了。DNS欺騙會(huì)使那些易受攻擊的DNS服務(wù)器產(chǎn)生許多安全問題，例如：將用戶引導(dǎo)到錯(cuò)誤的互聯(lián)網(wǎng)站點(diǎn)，或者發(fā)送一個(gè)電子郵件到一個(gè)未經(jīng)授權(quán)的郵件服務(wù)器。網(wǎng)絡(luò)攻擊者通常通過三種方法進(jìn)行DNS欺騙。圖1是一個(gè)典型的DNS欺騙的示意圖。（1）緩存感染黑客會(huì)熟練的使用DNS請(qǐng)求，將數(shù)據(jù)放入一個(gè)沒有設(shè)防的DNS服務(wù)器的緩存當(dāng)中。這些緩存信息會(huì)在客戶進(jìn)行DNS訪問時(shí)返回給客戶，從而將客戶引導(dǎo)到入侵者所設(shè)置的運(yùn)行木馬的Web服務(wù)器或郵件服務(wù)器上，然后黑客從這些服務(wù)器上獲取用戶信息。（2）DNS信息劫持入侵者通過監(jiān)聽客戶端和DNS服務(wù)器的對(duì)話，通過猜測(cè)服務(wù)器響應(yīng)給客戶端的DNS查詢ID。每個(gè)DNS報(bào)文包括一個(gè)相關(guān)聯(lián)的16位ID號(hào)，DNS服務(wù)器根據(jù)這個(gè)ID號(hào)獲取請(qǐng)求源位置。黑客在DNS服務(wù)器之前將虛假的響應(yīng)交給用戶，從而欺騙客戶端去訪問惡意的網(wǎng)站。（3）DNS復(fù)位定向

攻擊者能夠?qū)NS名稱查詢復(fù)位向到惡意DNS服務(wù)器。這樣攻擊者可以獲得DNS服務(wù)器的寫權(quán)限。2.拒絕服務(wù)攻擊

黑客主要利用一些DNS軟件的漏洞，如在BIND9版本（版本9.2.0以前的9系列）如果有人向運(yùn)行BIND的設(shè)備發(fā)送特定的DNS數(shù)據(jù)包請(qǐng)求，BIND就會(huì)自動(dòng)關(guān)閉。攻擊者只能使BIND關(guān)閉，而無法在服務(wù)器上執(zhí)行任意命令。如果得不到DNS服務(wù)，那么就會(huì)產(chǎn)生一場(chǎng)災(zāi)難：由于網(wǎng)址不能解析為IP地址，用戶將無方訪問互聯(lián)網(wǎng)。這樣，DNS產(chǎn)生的問題就好像是互聯(lián)網(wǎng)本身所產(chǎn)生的問題，這將導(dǎo)致大量的混亂。3、分布式拒絕服務(wù)攻擊

DDOS攻擊通過使用攻擊者控制的幾十臺(tái)或幾百臺(tái)計(jì)算機(jī)攻擊一臺(tái)主機(jī)，使得服務(wù)

拒絕攻擊更難以防范：使服務(wù)拒絕攻擊更難以通過阻塞單一攻擊源主機(jī)的數(shù)據(jù)流，來防范服務(wù)拒絕攻擊。SynFlood是針對(duì)DNS服務(wù)器最常見的分布式拒絕服務(wù)攻擊。4.緩沖區(qū)漏洞

Bind軟件的缺省設(shè)置是允許主機(jī)間進(jìn)行區(qū)域傳輸（zonetransfer）。區(qū)域傳輸主要用于主域名服務(wù)器與輔域名服務(wù)器之間的數(shù)據(jù)同步，使輔域名服務(wù)器可以從主域名服務(wù)器獲得新的數(shù)據(jù)信息。一旦起用區(qū)域傳輸而不做任何限制，很可能會(huì)造成信息泄漏，黑客將可以獲得整個(gè)授權(quán)區(qū)域內(nèi)的所有主機(jī)的信息，判斷主機(jī)功能及安全性，從中發(fā)現(xiàn)目標(biāo)進(jìn)行攻擊。教師講授，演示DNS可能遭遇的威脅35分鐘任務(wù)實(shí)施一、選擇沒有安全缺陷的DNS版本BIND主要分為三個(gè)版本：（1）v4：1998年多數(shù)unix捆綁（2）v8：如今使用最多最廣大版本安全信息：/showQueryL.asp?libID=530（3）v9：最新版本，免費(fèi)（)2.保持DNS服務(wù)器配置正確、可靠dlint是專門檢查DNS配置文件開源代碼軟件：/dns/dlint.shtmldnstop可以查詢DNS服務(wù)器狀態(tài)：/dnstop/dentop-20010809-1.i386.rpm二、保護(hù)DNS服務(wù)器本身安全第一步：隔離DNS服務(wù)器DNS服務(wù)器要專用，不要在DNS服務(wù)器上運(yùn)行其它服務(wù)，盡量允許普通用戶登錄。第二步：隱藏DNS服務(wù)器網(wǎng)絡(luò)攻擊者對(duì)DNS服務(wù)進(jìn)行攻擊前，首先要知道BIND有版本號(hào)，根據(jù)BIND版本號(hào)找到漏洞來確定攻擊DNS服務(wù)器方法，攻擊者使用dig命令可以查詢到BIND的版本號(hào)。為了保障DNS服務(wù)器安全的首先要隱藏DNS服務(wù)器。下面是沒有隱藏DNS服務(wù)，攻擊者查詢到的DNS服務(wù)器的版本。[root@centos~]#dig@1txtchaosversion.bind;<<>>DiG9.3.4-P1<<>>@1txtchaosversion.bind;(1serverfound);;globaloptions:printcmd;;Gotanswer:;;->>HEADER<<-opcode:QUERY,status:NOERROR,id:10122;;flags:qraard;QUERY:1,ANSWER:1,AUTHORITY:1,ADDITIONAL:0;;QUESTIONSECTION:;version.bind.CHTXT;;ANSWERSECTION:version.bind.0CHTXT"9.2.4";;AUTHORITYSECTION:version.bind.0CHNSversion.bind.;;Querytime:20msec;;SERVER:1#53(1);;WHEN:ThuJan1418:33:272010;;MSGSIZErcvd:62[root@centos~]#通過下面對(duì)服務(wù)器進(jìn)行安全配置，攻擊者無法查詢到DNS服務(wù)地版本信息，編輯BIND配置文件，如下所示。[root@lab2~]#vi/etc/named.conf////named.confforRedHatcaching-nameserver//options{directory"/var/named";version"unknowonthisplatform";dump-file"/var/named/data/cache_dump.db";statistics-file"/var/named/data/named_stats.txt";/**Ifthereisafirewallbetweenyouandnameserversyouwant*totalkto,youmightneedtouncommentthequery-source*directivebelow.PreviousversionsofBINDalwaysasked*questionsusingport53,butBIND8.1usesanunprivileged*portbydefault.*///query-sourceaddress*port53;};////acachingonlynameserverconfig//"/etc/named.conf"79L,1572C在配置文件中加入“version"unknowonthisplatform";”，保存配置文件，然后退出，重啟DNS服務(wù)器。[root@lab2~]#servicenamedrestart停止named：[確定]啟動(dòng)named：[確定][root@lab2~]#再使用dig命令進(jìn)行測(cè)試，如下所示：[root@centos~]#dig@1txtchaosversion.bind;<<>>DiG9.3.4-P1<<>>@1txtchaosversion.bind;(1serverfound);;globaloptions:printcmd;;Gotanswer:;;->>HEADER<<-opcode:QUERY,status:NOERROR,id:61670;;flags:qraard;QUERY:1,ANSWER:1,AUTHORITY:1,ADDITIONAL:0;;QUESTIONSECTION:;version.bind.CHTXT;;ANSWERSECTION:version.bind.0CHTXT"unknowonthisplatform";;AUTHORITYSECTION:version.bind.0CHNSversion.bind.;;Querytime:16msec;;SERVER:1#53(1);;WHEN:ThuJan1418:40:232010;;MSGSIZErcvd:80通過上面測(cè)試，可以看到攻擊者無法查詢到DNS的版本信息。第三步：避免透露DNS服務(wù)器信息和版本號(hào)一樣，也不要輕易透露服務(wù)器其他信息。為了讓潛在的攻擊者更難得手，盡量不要在DNS配置文件中使用這HINFO和TXT兩個(gè)資源記錄。第四步：以最小的權(quán)限及使用chroot()方式運(yùn)行BIND以root使用者的身分執(zhí)行BIND有安全隱患，攻擊者若找到BIND的安全漏洞，可能獲取root的身分，從而進(jìn)行對(duì)服務(wù)器攻擊。BIND8.1.2+允許在啟動(dòng)DNS服務(wù)器後，變更其UID和GID，可以使用命令named-unamed以chroot()的方式執(zhí)行BIND可將危害減至最低設(shè)置chroot之后的環(huán)境：設(shè)置dev/zero、dev/random、dev/log或etc/localtime，可以使用命令修改運(yùn)行用戶。named-unamed-t/var/named三、保護(hù)DNS免于Spoofed攻擊DNS服務(wù)器若接受來自Internet的遞歸詢問要求，易遭受Spoofing的攻擊，導(dǎo)致攻擊者修改DNS服務(wù)器區(qū)域文件，其它用戶解析域名的時(shí)候，取回的是假造的名稱信息。第一步：關(guān)閉rescursion的功能關(guān)閉rescursion功能后，DNS服務(wù)器只會(huì)響應(yīng)非遞歸的詢問要求無遞歸功能的DNS服務(wù)器不易易遭受Spoofing的攻擊，因?yàn)樗粫?huì)送出查詢要求，所以也不會(huì)攝取所管區(qū)域以外的任何數(shù)據(jù)如果DNS服務(wù)器還提供服務(wù)給合法的解析器（resolver），或是充當(dāng)其他DNS服務(wù)器的代詢服務(wù)器（forwarder），就不應(yīng)該關(guān)閉rescursion的功能。如果無法關(guān)閉rescursion的功能，應(yīng)該限制查詢要求的服務(wù)對(duì)象修改配置文件：/etc/named.conf.加入一行：[root@lab2~]#vi/etc/named.conf////named.confforRedHatcaching-nameserver//options{directory"/var/named";version"unknowonthisplatform";recursionno;fetch-glueno;dump-file"/var/named/data/cache_dump.db";statistics-file"/var/named/data/named_stats.txt";/**Ifthereisafirewallbetweenyouandnameserversyouwant*totalkto,youmightneedtouncommentthequery-source*directivebelow.PreviousversionsofBINDalwaysasked*questionsusingport53,butBIND8.1usesanunprivileged*portbydefault."/etc/named.conf"81L,1603C第二步：關(guān)閉gluefetching的功能修當(dāng)DNS服務(wù)器為響應(yīng)詢問的DNS封包建立additionaldata區(qū)段的數(shù)據(jù)時(shí)，會(huì)自動(dòng)解析NS紀(jì)錄中任何DNS服務(wù)器的域名，這稱為gluefetching，易遭受Spoofing的攻擊。關(guān)閉gluefetching的功能，可避免DNS服務(wù)器送出任何的查詢要求，所以也不會(huì)攝取所管區(qū)域以外的任何數(shù)據(jù)。當(dāng)DNS服務(wù)器返回一個(gè)域的域名服務(wù)器紀(jì)錄并且域名服務(wù)器紀(jì)錄中沒有A紀(jì)錄，DNS服務(wù)器會(huì)嘗試獲取一個(gè)紀(jì)錄。就稱為gluefetching,攻擊者可以利用它進(jìn)行DNS欺騙。關(guān)閉gluefetching是一個(gè)好方法，修改配置文件：/etc/named.conf.加入一行：[root@lab2~]#vi/etc/named.conf////named.confforRedHatcaching-nameserver//options{directory"/var/named";version"unknowonthisplatform";recursionno;fetch-glueno;dump-file"/var/named/data/cache_dump.db";statistics-file"/var/named/data/named_stats.txt";/**Ifthereisafirewallbetweenyouandnameserversyouwant*totalkto,youmightneedtouncommentthequery-source*directivebelow.PreviousversionsofBINDalwaysasked*questionsusingport53,butBIND8.1usesanunprivileged*portbydefault."/etc/named.conf"81L,1603C第三步：限制查詢要求的服務(wù)對(duì)象如果無法關(guān)閉rescursion的功能，應(yīng)該限制查詢要求的服務(wù)對(duì)象限制詢問要求的來源（IP地址）限制可以查詢的區(qū)域范圍DNS服務(wù)器應(yīng)該拒絕來自以下網(wǎng)絡(luò)的詢問要求私有網(wǎng)絡(luò)（除非你自己在使用）實(shí)驗(yàn)性網(wǎng)絡(luò)群播網(wǎng)絡(luò)一般的DNS服務(wù)器對(duì)所管區(qū)域的名稱信息，可以服務(wù)來自任何IP地址的查詢要求，因?yàn)樗墙?jīng)授權(quán)而來管理該區(qū)域的權(quán)威DNS服務(wù)器對(duì)于所管區(qū)域以外的名稱信息，只應(yīng)該服務(wù)來自內(nèi)部或可信賴之IP地址的查詢要求cahing-onlyDNS服務(wù)器應(yīng)該只服務(wù)來自特定IP地址的解析器authoritative-onlyDNS服務(wù)器必須服務(wù)來自任何IP地址的詢問要求，但是應(yīng)該拒絕任何遞歸的詢問要求。具體配置如下所示。[root@lab2~]#vi/etc/named.conf////named.confforRedHatcaching-nameserver//options{directory"/var/named";version"unknowonthisplatform";recursionno;fetch-glueno;allow-query{/24;};dum