DNS（域名系统）域名系统是支持互联网运营的重要核心基础设施，因此DNS系统已成为互联网攻击的主要目标。 DNS安全性具有重要意义。一旦发生重大DNS攻击，将影响广泛互联网的正常运行，给社会带来巨大的经济损失。
随着中国推动IPv6规模部署行动计划的快速实施，中国三大电信运营商的固定和4G LTE网络已经大规模部署了IPv6协议。由于许多TOP ICP网站和APP支持IPv6协议，中国目前有超过50亿用户获得IPv6地址并开始使用IPv6网络服务。中国互联网正朝着IPv6时代全面发展。在此阶段，必须高度重视DNS安全问题。
IPv6安全性
1.递归DNS的运行机制
DNS系统可以分为：根DNS服务器，顶级域名DNS服务器（TLD），权威DNS服务器和递归DNS服务器。
用户访问Internet，第一步是向本地递归DNS申请域名解析。递归DNS查询缓存或递归到上层DNS，获取域名解析结果并返回给用户，然后用户浏览器可以访问目标网站和网页。从互联网DNS架构的角度来看，递归DNS是一个具有多个级别的综合系统。用户递归DNS查询到低级，低级到高级递归DNS查询，高级递归DNS查询到根DNS，顶级域DNS，权威DNS服务器，这样的一级递归查询。权威DNS解析域名的IP地址并将其返回到第一级，最后将其发送给用户主机。
递归DNS将在日志中记录用户的DNS查询记录，包括用户主机的源IP地址，目标网站，查询时间，返回DNS查询结果（目标网站的IP地址）等。 。
2. IPv6和IPv4环境中递归DNS操作机制的差异和风险
在IPv6网络环境中，DNS的运行机制与IPv4网络环境之间存在一些差异。
由于缺乏IPv4地址资源，IPv4网络通常在出口部署NAT设备。当Intranet主机申请来自递归DNS的域名解析请求时，递归DNS接收NAT设备的IP地址，无法获取用户主机的IP地址。IPv6协议提供大量的IP地址资源，所有用户主机/网络终端都配置了真实的IPv6地址。 IPv6主机（或联网终端）使用真实IPv6地址向递归DNS发起域名解析请求。递归DNS服务器将域名解析结果返回给用户主机，并在日志中记录用户的真实IPv6地址。
Internet IP地址扫描检测是黑客常见的攻击方法。由于IPv6协议设计有大量地址，因此原始IPv4地址段扫描的检测模式在IPv6网络中基本无效。因此，黑客需要获取用户的真实IPv6地址，并且需要找到具有大量用户真实IPv6地址记录的系统。然后获取用户IP地址数据。递归DNS服务器可以满足黑客的检测需求。无论是Intranet递归DNS系统还是公共递归DNS系统，大量用户的真实IPv6地址和域名解析记录都记录在DNS日志文件中。
3.在IPv6网络环境中窃取将成为递归DNS的重要攻击方法
对递归DNS系统的攻击主要包括三种方法：破坏，中毒和窃取。
IPv4时代对DNS的攻击主要是破坏性的，包括DDOS攻击等，以使DNS服务停止。此攻击将在发生后立即发现，并将在12-24小时内修复。
DNS缓存中毒是指递归DNS上层DNS应用查询。攻击者伪造上级DNS服务器将伪响应数据包发送到递归DNS服务器以完成响应，并使用假数据污染递归DNS缓存，以便递归DNS将错误的错误返回给用户主机。解析IP结果并将用户访问重定向到危险站点。
在IPv6时代，很难获得用户的真实IPv6地址，因此窃取将成为递归DNS攻击的重要方式。黑客入侵DNS后，它不会干扰DNS的正常运行。相反，它潜伏了很长时间，不断窃取DNS服务器的日志数据，并立即从日志数据中获取大规模用户的真实IPv6地址，并作为网络检测的目标。
如果黑客入侵并突破校园网络，政府网络，企业网络的递归DNS服务器以及公共DNS服务提供商的递归DNS系统，它可以获取DNS日志并捕获大量新鲜有效的用户IPv6地址，用于准确的IPv6地址扫描。探测。潜在窃取是沉默和长期的，风险远大于DDOS攻击破坏和DNS缓存中毒。
目前，许多校园网和企业网的DNS服务器安全保护较弱。随着用户网络的IPv6升级和DNS系统的IPv6升级，它可能成为黑客的关键目标。4.在IPv6网络上随机配置和使用公共DNS的风险
互联网上有很多文章推荐外国公共DNS。
包括：
GooglePublic DNS（IPv4：8.8.8.8； IPv6：2001: 4860: 4860:: 8888）；
IBMQuad9 DNS（IPv4：9.9.9.9； IPv6：2620: fe:: fe）；
CloudflareDNS（IPv4：1.1.1.1； IPv6：2606: 4700: 4700:: 1111）；
Cisco OpenDNS（IPv4：208.67.222.222； IPv6：2620: 0: ccc:: 2）；
HurricaneElectric公共DNS（IPv4：74.82.42.42； IPv6：2001: 470: 20:: 2）
由于国内网络对互连和国际出口拥堵的影响，一些网站的访问速度较慢。在一些引入全球公共DNS的网络技术文章的影响下，许多用户在自己的计算机上建立国内外公共DNS作为首选DNS，以实现网络加速。还有一些企业没有Intranet DNS服务器。网络管理技术人员经常将DNS设置为路由器上公共DNS的IP地址。内网用户直接使用公网DNS的域名解析服务。这种情况在IPv4网络环境中不是问题，因为主机在NAT设备之后配置内部网IP，并且没有公共IP地址。但是，在IPv6网络中，所有主机都将配置真实的IPv6公共IP地址，一旦IP地址公开，就可以准确扫描。
全球公共DNS系统（如Google，IBM和Cloudflare）为全球的Internet用户提供免费的DNS解析服务。它是一种公共利益和慈善事业，但从IPv6网络安全的角度来看，它也是一个全球主机IP地址收集器。如果用户主机DNS设置直接写入这些公共DNS的IP地址，或者小型企业出口路由器的DNS设置直接写入这些公共DNS的IP地址，那么当用户主机发起DNS解析请求时，这些公共DNS将直接获取用户主机。 （或Intranet主机）的真实IPv6地址。假设公共DNS系统的日志数据库直接与网络的IP地址扫描检测系统共享，这种情况简直是不可想象的。
5.在中国IPv6部署的早期阶段，关注IPv6网络安全。
两个办事处《推进IPv6规模部署行动计划》明确提出了“两个同时和三个同时”的原则：“同时发展和安全，同时促进网络安全系统的规划，建设和运营”。中国的IPv6规模部署刚刚进入开发阶段。超过5亿部手机已经实现了IPv6网络化，许多大学，政府和企业网络正在升级以支持IPv6协议。在这个阶段，IPv6网络安全的重要性处于最佳阶段，它不能等到事故发生。可以预见，在不久的将来，IPv6 DNS安全将成为IPv6网络安全中最重要的问题之一。它必须高度重视，并且应该提前进行网络安全保护。

• 上一篇: 蓝盟IT外包，元宇宙：四梁八柱是什么
  下一篇: 制定灾害防备计划时需要考虑的10个问题

• 分享到：