如何讓IaaS服務免受DNS漏洞的威脅？

申請免費試用、咨詢電話：400-8352-114

本文是關于云安全技術應用指南系列中的第六篇，我們集中討論域名系統(tǒng)（DNS）的漏洞，以及它們是如何對基礎設施即服務（IaaS）產品產生負面影響的。

我們之前的文章主要涉及IaaS受到底層操作系統(tǒng)與服務的威脅和來自于遠程管理解決方案的威脅，而本文將闡述域名系統(tǒng)以及受損IP地址解析或錯誤數(shù)據反饋是如何對IaaS產品構成威脅的。

快速DNS入門

域名系統(tǒng)（DNS）將某一域名翻解析IP地址。為了訪問互聯(lián)網上的一臺服務器，您需要知道其IP地址，而對于人們來說他們相對更易于記住一個域名（例如www.techtarget.com），而不是記住一個IP地址（例如，192.168.134.235）。DNS就提供了這樣一個翻譯服務。它使用有層次的服務器和域名擁有者（即那些擁有DNS域名的人或組織），提供將這些域名與IP地址的“權威”影射。作為系統(tǒng)的一部分，還有一些幫助分擔域名解析請求的二級服務器和緩存服務器。

另外一個需要指出的事實是，主查詢響應請求完成后所使用的用戶數(shù)據報協(xié)議（UDP）在默認情況下是非安全、無國籍、不可靠的。

有哪些來自DNS的威脅會影響IaaS服務？

由于我們依賴于DNS來幫我們進行域名與IP地址之間的影射，那么我們在可能的情況下都必須注意和減輕任何阻止解析或錯誤數(shù)據反饋的情況。而后者可以稱得上是要解決的最大威脅。讓我們來看看這個例子：

您希望管理您的IaaS服務器，其DNS名稱是server.example.com。您打開您的遠程管理工具并啟動一個對話。您的客戶端向DNS服務器查詢“解析”域名server.example.com并返回IP地址。同時，攻擊者已設立了一個惡意的DNS服務器用于查找DNS查詢并響應其所控制系統(tǒng)的IP地址。然后您的客戶端連接到返回的IP地址（惡意服務器）。攻擊者就能夠嘗試攻擊您客戶端。

在這方面，主要有四種DNS威脅會影響IaaS服務：

緩存中毒：當一個DNS服務器沒有域名-IP影射信息時，它必須找到另外一個擁有這些信息的DNS服務器。當它接收到回答時，它通常將該信息存放于緩存中以便于之后再次使用（有超時和限制，但它們作用有限）。緩存中毒就是指服務器接收到包含錯誤信息的回答。惡意緩存中毒也稱為DNS欺騙。

不安全的動態(tài)更新：這是另外一個將惡意數(shù)據帶入DNS服務器的機制，然后再對該信息的任意查詢返回惡意數(shù)據。其效果類似于緩存中毒。

信息泄露：一個攻擊者執(zhí)行DNS區(qū)域傳輸以獲取DNS域名，計算機名和IP地址，以便于識別敏感的網絡資源。

服務堵塞：一個攻擊者采用遞歸查詢的方式攻擊DNS服務器，使它們無法對正常合法的查詢做出響應。如果沒有了域名-IP的解析服務，您將無法訪問您的IaaS資源。

如何應對

如果用戶控制了DNS服務器，可以采用手工操作減輕這些威脅，或是可能需要由供應商來處理。以下是我對于緩解威脅的若干建議：

只使用IP地址或一個本地主機文件： 如果您不使用DNS進行域名-IP的解析，那么以上所述的DNS問題就變得無關重要。雖然這似乎不切實際，但是如果您擁有的IaaS數(shù)量有限，且可以指定靜態(tài)IP，這是一個現(xiàn)實的解決方案。

隨機事務ID：確保DNS服務器具有一個適當?shù)碾S機事務ID（最新的DNS服務器就是這么做的）。每一個DNS查詢都被分配一個ID，其值的隨機性將使攻擊更難以執(zhí)行。

源端口隨機化：配置您的DNS服務器使用“查詢源端口隨機化”。攻擊者將需要知道事務ID以及事務發(fā)送的端口（即隨機源端口將不一定是53）。請注意，這可能會影響防火墻規(guī)則。

安全動態(tài)更新：配置您的DNS服務器和客戶端只接收安全動態(tài)更新。您也可以限制動態(tài)更新源的IP地址范圍。

限制區(qū)域傳輸：這將阻止攻擊者輕易地收集您的IaaS IP和主機名信息。

總結

DNS是一個基礎性的互聯(lián)網協(xié)議?；ヂ?lián)網及其上的所有服務在缺乏DNS的情況下都不能充分發(fā)揮作用。但是如同電力一樣，在不出現(xiàn)故障的情況下人們似乎并不覺得其存在。在使用IaaS時，時刻謹記保持這種服務的重要性及其周圍安全問題。