1、IPv6下的 DNS系統(tǒng)的分析摘 要 本文闡述了IPV6中DNS域名系統(tǒng)的體系結(jié)構(gòu)，DNS對(duì)IPV6地址層次性和即插即用特性的支持，以及IPv4到IPv6過(guò)渡期DNS的升級(jí)和轉(zhuǎn)換，重點(diǎn)對(duì)IPv4和IPv6 環(huán)境下的DNS系統(tǒng)中可能存在的安全問(wèn)題進(jìn)行了分析和比對(duì)。關(guān)鍵詞 IPV6;DNS系統(tǒng);DNS安全1 引 言IPv6 是新一代的網(wǎng)絡(luò)協(xié)議，與IPv4協(xié)議相比它擁有巨大的地址空間；從地址結(jié)構(gòu)和地址分配上支持地址聚合，從而大大減少路由表?xiàng)l目；具有方便的網(wǎng)絡(luò)即插即用功能；具有良好的移動(dòng)性支持等等新特性。域名系統(tǒng)（Domain Name System，簡(jiǎn)稱 DNS）的主要功能是通過(guò)域名和 IP 地址之

2、間的相互對(duì)應(yīng)關(guān)系，來(lái)定位網(wǎng)絡(luò)資源，即根據(jù)域名查詢 IP 地址，反之亦然。它是 Internet 的基礎(chǔ)架構(gòu)，眾多的網(wǎng)絡(luò)服務(wù)（如 Http，F(xiàn)tp， Email 等等）都是建立在 DNS 服務(wù)之上的。IPv6 協(xié)議是取代 IPv4 的下一代網(wǎng)絡(luò)協(xié)議，它具有許多新的特性與功能。域名系統(tǒng)（DNS）是 Internet的基礎(chǔ)架構(gòu)，IPv6 的新特性也需要 DNS 的支持。因此，DNS 勢(shì)必要升級(jí)以滿足 IPv6 的需求。本文從 IPv6的地址空間、IPv6 地址自動(dòng)配置和即插即用、IPv6 的移動(dòng)性、IPv4 到 IPv6 的過(guò)渡以及安全性等幾方面對(duì) IPv6 對(duì) DNS的需求及其解決方法進(jìn)行了分析和

3、研究。2 IPv6域名系統(tǒng)2. 1 IPv6域名系統(tǒng)的體系結(jié)構(gòu)IPv6網(wǎng)絡(luò)中的DNS與IPv4的DNS在體系結(jié)構(gòu)上是一致的，都采用樹型結(jié)構(gòu)的域名空間。IPv4協(xié)議與IPv6協(xié)議的不同并不意味著需要單獨(dú)兩套IPv4 DNS體系和IPv6 DNS體系，相反的是，DNS的體系和域名空間必須是一致的，即IPv4和IPv6共同擁有統(tǒng)一的域名空間。在IPv4到IPv6的過(guò)渡階段，域名可以同時(shí)對(duì)應(yīng)于多個(gè)IPv4和IPv6的地址。以后隨著IPv6網(wǎng)絡(luò)的普及，IPv6地址將逐漸取代IPv4地址。2.2 DNS對(duì)IPv6地址層次性的支持在RFC1886中定義了一種新的DNS資源記錄類型，AAAA(4A),它用于將

4、完全合格的域名解析為IPV6地址。4A記錄DNS記錄類型28。4A記錄相當(dāng)于IPV4名稱解析中的主機(jī)地址(A)資源記錄。資源記錄類型以AAAA來(lái)命名是因?yàn)?28位的IPV6地址的長(zhǎng)度是32位的IPV4地址長(zhǎng)度的4倍。在DNS數(shù)據(jù)庫(kù)文件中的AAAA資源記錄通常具有如下結(jié)構(gòu)：Name IN AAAA Address這里的Name是完全合格的域名，Address是與名稱相關(guān)的IPV6地址。如下列：H IN AAAA FEC0:1:2AA:FF:FE3F:2A1CIPv6可聚合全局單播地址是在全局范圍內(nèi)使用的地址，必須進(jìn)行層次劃分及地址聚合。FP（001）：用于可聚

5、合全局單播地址的格式前綴（FP:Format Prefix）（3比特）；TLA ID：頂級(jí)聚合標(biāo)識(shí)符（Top-Level Aggregation Identifier）；RES：為將來(lái)使用而保留；NLA ID：次級(jí)聚合標(biāo)識(shí)符（Next-Level Aggregation Identifier）；SLA ID：站點(diǎn)級(jí)聚合標(biāo)識(shí)符（Site-Level Aggregation Identifier）；INTERFACE ID：接口標(biāo)識(shí)符。IPv6全局單播地址的分配方式如下：頂級(jí)地址聚合機(jī)構(gòu) TLA(即大的ISP或地址管理機(jī)構(gòu))獲得大塊地址，負(fù)責(zé)給次級(jí)地址聚合機(jī)構(gòu)NLA(中小規(guī)模ISP)分配地址，NL

6、A給站點(diǎn)級(jí)地址聚合機(jī)構(gòu)SLA(子網(wǎng))和網(wǎng)絡(luò)用戶分配地址。IPv6地址的層次性在DNS中通過(guò)地址鏈技術(shù)可以得到很好的支持。下面從DNS正向地址解析和反向地址解析兩方面進(jìn)行分析。a. 正向解析IPv4的地址正向解析的資源記錄是“A”記錄。IPv6地址的正向解析目前有兩種資源記錄，即，“AAAA”和“A6”記錄。其中， “AAAA”較早提出，它是對(duì)“A”記錄的簡(jiǎn)單擴(kuò)展，由于IP地址由32位擴(kuò)展到128位，擴(kuò)大了4倍，所以資源記錄由“A”擴(kuò)大成4 個(gè)“A”。“AAAA”用來(lái)表示域名和IPv6地址的對(duì)應(yīng)關(guān)系，并不支持地址的層次性?！癆6”在RFC2874中提出，它是把一個(gè)IPv6地址與多個(gè)“A6”記錄建

7、立聯(lián)系，每個(gè)“A6”記錄都只包含了IPv6地址的一部分，結(jié)合后拼裝成一個(gè)完整的IPv6地址。“A6”記錄支持一些“AAAA”所不具備的新特性，如地址聚合，地址更改(Renumber)等。首先，“A6”記錄方式根據(jù)TLA、NLA和SLA的分配層次把128位的IPv6的地址分解成為若干級(jí)的地址前綴和地址后綴，構(gòu)成了一個(gè)地址鏈。每個(gè)地址前綴和地址后綴都是地址鏈上的一環(huán)，一個(gè)完整的地址鏈就組成一個(gè)IPv6地址。這種思想符合IPv6地址的層次結(jié)構(gòu)，從而支持地址聚合。其次，用戶在改變ISP時(shí)，要隨ISP改變而改變其擁有的IPv6地址。如果手工修改用戶子網(wǎng)中所有在DNS中注冊(cè)的地址，是一件非常繁瑣的事情。而

8、在用“A6”記錄表示的地址鏈中，只要改變地址前綴對(duì)應(yīng)的ISP名字即可，可以大大減少DNS中資源記錄的修改。并且在地址分配層次中越靠近底層，所需要改動(dòng)的越少。b. 反向解析IPv6反向解析的記錄和IPv4一樣，是“PTR”，但地址表示形式有兩種。一種是用 “.”分隔的半字節(jié)16進(jìn)制數(shù)字格式(Nibble Format)，低位地址在前，高位地址在后，域后綴是“IP6.INT.”。另一種是二進(jìn)制串(Bit-string)格式，以“”，域后綴是“IP6.ARPA.”。半字節(jié)16進(jìn)制數(shù)字格式與“AAAA”對(duì)應(yīng)，是對(duì)IPv4的簡(jiǎn)單擴(kuò)展。二進(jìn)制串格式與“A6”記錄對(duì)應(yīng)，地址也象“A6”一樣，可以分成多級(jí)地址

9、鏈表示，每一級(jí)的授權(quán)用“DNAME”記錄。和 “A6”一樣，二進(jìn)制串格式也支持地址層次特性。 總之，以地址鏈形式表示的IPv6地址體現(xiàn)了地址的層次性，支持地址聚合和地址更改。但是，由于一次完整的地址解析分成多個(gè)步驟進(jìn)行，需要按照地址的分配層次關(guān)系到不同的DNS服務(wù)器進(jìn)行查詢。所有的查詢都成功才能得到完整的解析結(jié)果。這勢(shì)必會(huì)延長(zhǎng)解析時(shí)間，出錯(cuò)的機(jī)會(huì)也增加。因此，需要進(jìn)一步改進(jìn)DNS地址鏈功能，提高域名解析的速度才能為用戶提供理想的服務(wù)。2.3 IPv6中的即插即用與DNSIPv6協(xié)議支持地址自動(dòng)配置，這是一種即插即用的機(jī)制，在沒(méi)有任何人工干預(yù)的情況下，IPv6網(wǎng)絡(luò)接口可以獲得鏈路局部地址、站點(diǎn)局

10、部地址和全局地址等，并且可以防止地址重復(fù)。IPv6支持無(wú)狀態(tài)地址自動(dòng)配置和有狀態(tài)地址自動(dòng)配置兩種方式。IPv6節(jié)點(diǎn)通過(guò)地址自動(dòng)配置得到IPv6地址和網(wǎng)關(guān)地址。但是，地址自動(dòng)配置中不包括DNS服務(wù)器的自動(dòng)配置。如何自動(dòng)發(fā)現(xiàn)提供解析服務(wù)的DNS服務(wù)器也是一個(gè)需要解決的問(wèn)題。正在研究的DNS服務(wù)器的自動(dòng)發(fā)現(xiàn)的解決方法可以分為無(wú)狀態(tài)和有狀態(tài)兩類。在無(wú)狀態(tài)的方式下，需要為子網(wǎng)內(nèi)部的DNS服務(wù)器配置站點(diǎn)范圍內(nèi)的任播地址。要進(jìn)行自動(dòng)配置的節(jié)點(diǎn)以該任播地址為目的地址發(fā)送服務(wù)器發(fā)現(xiàn)請(qǐng)求，詢問(wèn)DNS服務(wù)器地址、域名和搜索路徑等DNS信息。這個(gè)請(qǐng)求到達(dá)距離最近的DNS服務(wù)器，服務(wù)器根據(jù)請(qǐng)求，回答DNS服務(wù)器單播地址

11、、域名和搜索路徑等 DNS信息。節(jié)點(diǎn)根據(jù)服務(wù)器的應(yīng)答配置本機(jī)DNS信息，以后的DNS請(qǐng)求就直接用單播地址發(fā)送給DNS服務(wù)器。另外，也可以不用站點(diǎn)范圍內(nèi)的任播地址，而采用站點(diǎn)范圍內(nèi)的多播地址或鏈路多播地址等。還可以一直用站點(diǎn)范圍內(nèi)的任播地址作為DNS服務(wù)器的地址，所有的DNS解析請(qǐng)求都發(fā)送給這個(gè)任播地址。距離最近的DNS服務(wù)器負(fù)責(zé)解析這個(gè)請(qǐng)求，得到解析結(jié)果后把結(jié)果返回請(qǐng)求節(jié)點(diǎn)，而不像上述做法是把DNS 服務(wù)器單播地址、域名和搜索路徑等DNS信息告訴節(jié)點(diǎn)。從網(wǎng)絡(luò)擴(kuò)展性，安全性，實(shí)用性等多方面綜合考慮，第一種采用站點(diǎn)范圍內(nèi)的任播地址作為DNS服務(wù)器地址的方式相對(duì)較好。在有狀態(tài)的DNS服務(wù)器發(fā)現(xiàn)方式下

12、，是通過(guò)類似DHCP這樣的服務(wù)器把DNS服務(wù)器地址、域名和搜索路徑等DNS信息告訴節(jié)點(diǎn)。當(dāng)然，這樣做需要額外的服務(wù)器。2.4 IPv6過(guò)渡階段與DNS在IPv4到IPv6的過(guò)渡過(guò)程中，作為Internet基礎(chǔ)架構(gòu)的DNS服務(wù)也要支持這種網(wǎng)絡(luò)協(xié)議的升級(jí)和轉(zhuǎn)換。IPv4和IPv6的DNS記錄格式等方面有所不同，為了實(shí)現(xiàn)IPv4網(wǎng)絡(luò)和IPv6網(wǎng)絡(luò)之間的DNS查詢和響應(yīng)，可以采用應(yīng)用層網(wǎng)關(guān)DNS-ALG結(jié)合NATPT的方法，在 IPv4和IPv6網(wǎng)絡(luò)之間起到一個(gè)翻譯的作用。例如，IPv4的地址域名映射使用“A”記錄，而IPv6使用“AAAA”或“A6”記錄。那么， IPv4的節(jié)點(diǎn)發(fā)送到IPv6網(wǎng)絡(luò)的D

13、NS查詢請(qǐng)求是“A”記錄，DNS-ALG就把“A”改寫成“AAAA”，并發(fā)送給IPv6網(wǎng)絡(luò)中的DNS服務(wù)器。當(dāng)服務(wù)器的回答到達(dá)DNS-ALG時(shí)，DNS-ALG修改回答，把“AAAA”改為“A”，把IPv6地址改成DNS-ALG地址池中的IPv4轉(zhuǎn)換地址，把這個(gè)IPv4轉(zhuǎn)換地址和IPv6地址之間的映射關(guān)系通知NATPT，并把這個(gè)IPv4轉(zhuǎn)換地址作為解析結(jié)果返回IPv4主機(jī)。IPv4主機(jī)就以這個(gè)IPv4轉(zhuǎn)換地址作為目的地址與實(shí)際的IPv6主機(jī)通過(guò)NATPT通信。(如圖1 所示)圖 13 IPv6域名系統(tǒng)下的安全分析3.1 IPv4DNS的安全性問(wèn)題某些 DNS 服務(wù)器支持的反向查詢（iquery）

14、功能可使攻擊者獲得區(qū)域傳輸。所謂DNS服務(wù)器反向查詢，就是輸入IP地址，可以查出域名。攻擊者獲得區(qū)域傳輸后可以識(shí)別出注冊(cè)到您的 DNS 服務(wù)器的每臺(tái)計(jì)算機(jī)，并且可能被攻擊者用來(lái)更好的了解您的網(wǎng)絡(luò)。甚至當(dāng)您在 DNS 服務(wù)器上禁用了區(qū)域傳輸時(shí)，iquery 功能仍舊可以允許區(qū)域傳輸發(fā)生。例如“網(wǎng)絡(luò)釣魚（Phishing）”攻擊、“DNS中毒（DNS poisoning）”攻擊等，這些攻擊會(huì)控制DNS服務(wù)器，將合法網(wǎng)站的IP地址篡改為假冒、惡意網(wǎng)站的IP地址等。3.2 IPv6 對(duì)DNS安全的增強(qiáng)(1)掃描子網(wǎng)難度的增加 IPv6的地址由32bit增加到128bit就能讓現(xiàn)在攻擊前常用的端口掃描難

15、以繼續(xù)，IPv6子網(wǎng)掃描所消耗時(shí)間比起IPv4子網(wǎng)掃描所耗費(fèi)的時(shí)間讓攻擊者難以接受，這將大大減少掃描整個(gè)子網(wǎng)情況的出現(xiàn)，或者使用變通的方法以縮小掃描范圍，如:考慮管理員手工配置時(shí)多使用prefix:1遞增的地址;考慮自動(dòng)配置使用MAC地址作為最后48bit，而其中前24位是生產(chǎn)廠商的編碼，因此掃描范圍可以減小到224個(gè)主機(jī):或者使用其它替代方法，而這些都將增大掃描的難度。(2)DNS安全擴(kuò)展協(xié)議的引入 安全域名系統(tǒng)(域名系統(tǒng)安全擴(kuò)展)DNSSEC是專門針對(duì)檢測(cè)仿冒性攻擊而設(shè)計(jì)的。DNSSEC目的是讓終端用戶的域名解析系統(tǒng)能夠獲知所解析的域名是否真正有效 ，從而避免用戶在仿 冒的網(wǎng)站上將自己的重

16、要信息泄露給攻擊者，保證用戶客戶端收到的DNS記錄的合法性。此外 ，DNS擴(kuò)展與原有的DNS系統(tǒng)是向下兼容的，因此在實(shí)現(xiàn)上具有可行性 。但由于整個(gè) Internet上的DNS系統(tǒng)已經(jīng)是一個(gè)非常龐大的分布式的域名記錄數(shù)據(jù)庫(kù) ，完全實(shí)現(xiàn)向DNSSEC的轉(zhuǎn)換 ，需要投入大量時(shí)間和工作量 。此外 ，DNSSEC只是提供了對(duì) DNS記錄真實(shí)性的驗(yàn)證 ，只在有限的程度上為用戶通信的安全提供了保證。要完全保證用戶信息的安全 ，還需要在應(yīng)用層面 、傳輸層面提供更加完整的解決方案。另一方面，DNSSEC在 DNS請(qǐng)求和響應(yīng)中添加了數(shù)字簽名 ，也增加了通信的流量和復(fù)雜度 ，可能會(huì)導(dǎo)致新的基于加密算法的拒絕服務(wù)攻擊

17、(3)反向查詢機(jī)制的健全 RFC 1886中描述了為進(jìn)行IPV6反向查詢而創(chuàng)建的IP6.INT域，它根據(jù)主機(jī)的IP地址，來(lái)確定主機(jī)的域名。為了給反向查詢創(chuàng)建命名空間，在完整表達(dá)的IPV6地址中，每個(gè)十六進(jìn)制數(shù)都變成了以反序排列的反向區(qū)域結(jié)構(gòu)中一個(gè)單獨(dú)的級(jí)別。通過(guò)對(duì)IPv6所提供的新的安全機(jī)制的介紹，我們可以看出，IPv6可以進(jìn)行身份認(rèn)證，并且可以保證數(shù)據(jù)包的完整性和機(jī)密性，所以在安全性方面，IPv6相對(duì)于IPv4有了質(zhì)的提高。3.3 過(guò)度機(jī)制引發(fā)的安全問(wèn)題IPv4和IPv6的DNS記錄格式等方面有所不同，尤其是IPv4-mapped IPv6地址的時(shí)，址有兩種不同的含義:用AF_ INET6表

18、示IPv4地址 (RFC3493);或用AF INET6表示IPv6通訊(RFC2765)。這種二義性導(dǎo)致可能的安全威脅，因?yàn)楹茈y分辨一個(gè)IPv4-mapped IPv6地址是一個(gè)真實(shí)的IPv4地址表示為IPv6格式還是收到的偽造的IPv6地址。如數(shù)據(jù)包中IPv6源地址是:ffff:，目標(biāo)主機(jī)會(huì)以為是來(lái)自自己()，但這也可能是收到的來(lái)自外部偽造的IPv6地址(:ffff:)。4 總結(jié) 隨著Internet技術(shù)的不斷發(fā)展，IPv6已經(jīng)離我們?cè)絹?lái)越近。DNS作為IPv4時(shí)代的網(wǎng)絡(luò)基礎(chǔ)服務(wù)，對(duì)Internet起著重要的作用。在即將到來(lái)的IPv6時(shí)

19、代，新的協(xié)議和功能要求DNS不再是僅僅提供傳統(tǒng)意義上的簡(jiǎn)單資源定位，而是一方面提供類似IPv4 DNS的基礎(chǔ)功能，另一方面結(jié)合IPv6的新特性，和其它協(xié)議有機(jī)的結(jié)合在一起，提供新的功能，使網(wǎng)絡(luò)的配置、維護(hù)、使用變的更加簡(jiǎn)單方便，讓用戶感覺(jué)到新技術(shù)帶來(lái)的新體驗(yàn)。參考文獻(xiàn) 1 Rolf Oppliger, Security at the Internet Layer, IEEE, September 19982李信滿.趙宏，IPv6的安全體系結(jié)構(gòu)，中興通訊技術(shù)，20023 Jari Arkko等，Securing IPv6 Neighbor and Router Discovery, WiSe02

20、, Sep 20024P.Savola, Security of IIvb Routing Header and Home Address Options, draft-savola-ipv6-rh-ha-security-02.txt5 P. Savola, Firewalling Considerations for IPvb, draft-savola-vbops-firewalling-02.txt(6 S. Deering and R. Hinden, Internet Protocol, Version 6(IPv6) Specification, RFC2460, Internet Engineering Task Force, Dec 20027 P. Savola and C. Patel, Security Considerations for 6to4, draft-ietf-v6ops-6to4-security-02.txt8 httpa/9王玲.錢華林，IPv6的安全機(jī)制及其對(duì)現(xiàn)有網(wǎng)絡(luò)安全體系的影響，微電子學(xué)與計(jì)算機(jī)2003年第1