應(yīng)用層是OSI模式的最高層。應(yīng)用層直接與應(yīng)用和應(yīng)用進(jìn)程相關(guān)。在網(wǎng)絡(luò)安全中，應(yīng)用扮演著至關(guān)重要的角色。它們的設(shè)計可能是完全不安全的、相對安全的或者非常安全的。

很多應(yīng)用程序已經(jīng)存在相當(dāng)長的時間了，如文件傳輸協(xié)議(FTP)、Telnet、簡單文件傳輸協(xié)議(SMTP)和域名解析系統(tǒng)(DNS)，因此它們目前所面對的威脅在它們的原先設(shè)計中是可能完全沒有預(yù)想到的。2007年2月6日發(fā)生了13個核心DNS服務(wù)器中的2個受到攻擊的事件，因此本章將集中探討 DNS。

DNS是如何工作的?

讓我們先回顧一下DNS的一些基本概念。Internet中沒有任何一個地方能夠保存DNS數(shù)據(jù)庫的所有信息。在最頂層，有13個DNS服務(wù)器保存這些信息;它們大多數(shù)都是在美國的物理安全設(shè)備。DNS是一個分布式數(shù)據(jù)庫，它保存了主機(jī)名與IP地址的映射信息。DNS也提供了該數(shù)據(jù)庫的信息查詢方法。 DNS可以依據(jù)特定的操作使用UDP或TCP。在查找或響應(yīng)小于521字節(jié)的情況，UDP是典型的查詢方式。TCP則可以用于更大的查找和zone轉(zhuǎn)換。

當(dāng)你檢查郵件或瀏覽網(wǎng)絡(luò)時，你往往需要依靠DNS來將主機(jī)名轉(zhuǎn)化成IP地址。因此，當(dāng)你打開你的瀏覽器瀏覽SearchNetworking.com時，DNS會將完整的網(wǎng)絡(luò)名稱(FQDN)轉(zhuǎn)化成正確的IP地址。

DNS過程是從向本地主機(jī)的解析器發(fā)送服務(wù)請求開始的。解析器一般都會先檢查保存最近請求的響應(yīng)的本地緩存。另外，它也會檢查主機(jī)的文件，該文件包含了主機(jī)名與IP地址的映射。如果請求信息在這些位置上都沒有找到，那么解析器就會向主機(jī)TCP/IP網(wǎng)絡(luò)接口所配置的DNS服務(wù)器發(fā)送一個請求。為了提高 DNS性能和降低DNS所帶來的網(wǎng)絡(luò)流量，域名服務(wù)器將緩存一段時間的請求回復(fù)。至于響應(yīng)信息被緩存多久是由響應(yīng)中所指定的存活時間(TTL)所決定。

DNS暴露當(dāng)DNS服務(wù)器響應(yīng)一個請求時，應(yīng)答消息包含了一個事務(wù)ID和用戶查詢結(jié)果。如果DNS記錄沒有找到或已經(jīng)損壞，你可能就無法到達(dá)你想訪問的網(wǎng)站，或者你可能被連接到一個攻擊者的Web服務(wù)器上。這是很有可能發(fā)生的，因為有幾種方式可以攻擊協(xié)議，包括：

◆區(qū)域轉(zhuǎn)換漏洞

◆DNS緩存污染

◆DNS緩存窺探

◆中間人攻擊

Zone轉(zhuǎn)換是用于將主服務(wù)器的域數(shù)據(jù)庫復(fù)制到次服務(wù)器。如果黑客可以在域中執(zhí)行主服務(wù)器或次服務(wù)器的轉(zhuǎn)換，那么他就可以查看域中的所有DNS記錄。這樣就暴露了敏感的信息，如內(nèi)部尋址方案。此外，黑客還可能可以決定Web服務(wù)器、郵件或文件傳輸?shù)仁褂媚膫€IP地址。

DNS 緩存污染是我們討論的第二個技術(shù)。DNS客戶端和服務(wù)器都會將響應(yīng)緩存一段時間，以提高性能和減少網(wǎng)絡(luò)流量。如果黑客能夠?qū)NS請求發(fā)送欺騙響應(yīng)，那么他們也就可以用一個不正確的記錄來污染DNS。通過污染DNS客戶端和服務(wù)器的緩存，黑客就可以將流量重定向到一個惡意主機(jī)，從而導(dǎo)致更大的危害。先前在根DNS服務(wù)器上的攻擊就采用了這種技術(shù)，以及拒絕服務(wù)攻擊。

DNS緩存窺探是一個確定特定資源記錄是否在緩存中的過程。DNS緩存窺探可以幫助黑客確定攻擊目標(biāo)訪問了哪些站點(diǎn)、他們的客戶和用戶是誰，以及其它可能有用的信息。它甚至還可能通過查詢軟件升級地址的資源記錄來發(fā)現(xiàn)攻擊目標(biāo)正使用什么軟件。

最后，中間人(MITM)攻擊是發(fā)生在攻擊者截斷和修改DNS信息的時候。在這種情況下，攻擊者可以從截獲的流量中獲得源端口和事務(wù)ID。MITM攻擊可以將一個受害的合法地址重定向為一個惡意的網(wǎng)站。如果DNS請求是發(fā)向銀行、財政和電子商務(wù)網(wǎng)站的，這對于試圖竊取個人信息的黑客而言是非常有用的。不需要使用欺騙郵件，如常見的網(wǎng)站釣魚郵件，黑客可以直接攻擊指向合法站點(diǎn)的DNS記錄。

保護(hù)DNS這些攻擊都是真實的威脅，但是也是可以防范的。通過強(qiáng)制使用隨機(jī)事務(wù)ID和源端口，就可以增加DNS緩存污染的難度。在不知道這些域的正確值時，黑客將無法用欺騙答復(fù)來達(dá)到污染服務(wù)器緩存的目的。在幾年前，Zone轉(zhuǎn)移區(qū)域轉(zhuǎn)換的確是一個棘手的問題，因為Windows2000服務(wù)器在默認(rèn)的情況下允許任何人獲得這個信息。這個默認(rèn)設(shè)置在Windows Server 2003上已經(jīng)不復(fù)存在。如果ISP的出口過濾足夠好，那么即使最近出現(xiàn)的針對根DNS服務(wù)器的攻擊也是可以防范的。關(guān)于這個問題的解決方案已經(jīng)記錄在 RFC 3704中。

雖然上面探討的安全對策在實現(xiàn)更安全的DNS上開了好頭，但是我們?nèi)圆荒軆H滿足于此。在DNS相關(guān)問題的處理失敗仍然讓我們置于易受攻擊的境地，它將影響著我們的所有需要穿越Internet的應(yīng)用，包括業(yè)務(wù)敏感應(yīng)用、Web流量、電子郵件和VoIP通信等。