IPv6安全思考（一）：IPv6网络中递归DNS的风险分析

DNS(Domain Name System )域名体系是支撑互联网运行的重要焦点基本办法，因此DNS体系也成为互联网进攻的最首要方针。DNS安详意义重大，一旦产生重大DNS进攻变乱，将也许会影响大范畴互联网的正常运行，并给社会带来庞大经济丧失。

跟着中国推进IPv6局限陈设动作打算快速实验，中国三大电信运营商的牢靠和4G LTE收集已经大范畴陈设IPv6协议，跟着一批TOP ICP网站和APP支持IPv6协议，今朝中国已经有高出5亿用户得到IPv6地点，开始行使IPv6收集处事。中国互联网正在向IPv6期间全面演进。在这个阶段，必必要高度重视DNS安详题目。

1. 递归DNS的运行机制

DNS体系可以分为：根DNS处事器、顶级域名DNS处事器(TLD)、势力巨子DNS处事器、递归DNS处事器等几类。

用户会见互联网，第一步必要向当地递归DNS申请域名理会。递归DNS查询缓存或向上一级DNS举办递归，得到域名理会功效并返回给用户，然后用户赏识器就可以会见方针网站和网页。从互联网DNS系统架构来看，递归DNS是一个综合系统，包括多个层级。用户向初级递归DNS查询，初级向高级递归DNS查询，高级递归DNS向根DNS、顶级域名DNS、势力巨子DNS处事器查询，这样一级一级递归查询。势力巨子DNS理会出来域名的IP地点再一级一级返回，最后发给用户主机。

递归DNS在日记内里将会记任命户的DNS查询记录，包罗用户主机的源IP地点、方针网站、查询时刻、返回DNS查询功效(方针网站的IP地点)等等。

2. IPv6 与IPv4情形下递归DNS运行机制的差别及风险

IPv6收集情形下，DNS的运行机制与IPv4收集情形下存在一些差别。

因为IPv4地点资源缺乏，以是IPv4收集凡是会在出口陈设NAT装备，内网主机向递归DNS申请域名理会申请时，递归DNS收到的是NAT装备IP地点，无法得到用户主机的IP地点。

IPv6协议提供了海量IP地点资源，全部用户主机/联网终端都设置真实IPv6地点。IPv6主机(或联网终端)行使真实IPv6地点向递归DNS提倡域名理会申请，递归DNS处事器向用户主机返回域名理会功效，并在日记中记任命户的真实IPv6地点。

互联网IP地点扫描探测是黑客常用的进攻本领。因为IPv6协议计划有海量地点，原有IPv4地点段扫描的探测方法在IPv6收集上根基失效，以是黑客必要得到用户的真实IPv6地点，就必要找到一个拥有大量用户真实IPv6地点记录的体系，入侵破解之后获取用户IP地点数据。而递归DNS处事器恰好可以或许满意黑客的探测需求，无论是内网递归DNS体系，照旧民众递归DNS体系，在DNS日记文件内里都记录了海量用户的真实IPv6地点与域名理会记录。

3. IPv6收集情形中窃取将成为递归DNS重要进攻方法

对递归DNS体系的进攻，首要包罗粉碎、投毒、窃取三种方法。

• IPv4期间对DNS的进攻以粉碎为主，包罗DDOS进攻等，目标是造成DNS处事遏制。这种进攻产生后很快就会被发明，并在12-24小时内修复。
• DNS缓存投毒是指递归DNS向上级DNS申请查询，进攻者仿冒上级DNS处事器向递归DNS 处事器发送伪造应答包争先完成应答，用卖弄数据污染递归DNS 缓存，从而使递归DNS向用户主机返回错误的理会IP功效，将用户会见重定向到伤害网站。
• 进入IPv6期间，因为获取用户真实IPv6地点变得坚苦，因此窃取将成为递归DNS进攻的重要方法。黑客入侵DNS后，不滋扰DNS正常运行，而是恒久暗藏起来，一连窃取DNS处事器的日记数据，从日记数据中即时获取海量用户的真实IPv6地点，并作为收集探测的方针。

假如黑客入侵并攻破校园网、政务网，企业网的递归DNS处事器，以及民众DNS处事商的递归DNS体系，就可以获取DNS日记并抓取大量奇怪有用的用户IPv6地点，以举办精准IPv6地点扫描探测。暗藏窃取是静默无声而且恒久的，其带来的风险峻远宏大于DDOS进攻粉碎和DNS缓存投毒。

今朝许多园区网、企业网的DNS处事器安详防护单薄，跟着用户收集IPv6进级和DNS体系IPv6进级，将也许成为黑客重点进攻方针。

4. IPv6收集随意设置和行使民众DNS的风险

今朝网上有许多文章保举海外的民众DNS，

包罗：

• GooglePublic DNS (IPv4：8.8.8.8;IPv6：2001:4860:4860::8888);
• IBMQuad9 DNS (IPv4：9.9.9.9;IPv6：2620:fe::fe);
• CloudflareDNS (IPv4：1.1.1.1;IPv6：2606:4700:4700::1111);
• CiscoOpenDNS (IPv4：208.67.222.222;IPv6：2620:0:ccc::2);
• HurricaneElectric Public DNS (IPv4：74.82.42.42;IPv6：2001:470:20::2 )

因为海内收集受互联互通、国际出口拥堵等环境的影响，一些网站会见速率较慢。在一些先容环球民众DNS的收集技能文章影响下，许多用户在本身的电脑上配置海内、海外民众DNS作为首选DNS，以求实现收集加快。尚有一些企业没有内网DNS处事器，网管技强职员每每在路由器大将DNS配置为民众DNS的IP地点，内网用户直接行使民众DNS的域名理会处事。这种环境在IPv4收集情形下的题目不大，由于主机都在NAT装备之后设置内网IP，没有publicIP地点。可是在IPv6收集中，全部主机都将设置真实IPv6 Public IP地点，一旦IP地点袒露，即可被精准扫描。

Google、IBM、Cloudflare等环球民众DNS体系为环球互联网用户提供免费的DNS理会处事，正面看是一种公益和慈善，但从IPv6收集安详的角度看，着实也是一个环球主机IP地点网络器。假如用户主机DNS配置直接写入这些民众DNS的IP地点，可能小企业出口路由器的DNS配置直接写入这些民众DNS的IP地点，那么用户主机提倡DNS理会哀求时，这些民众DNS将直接得到用户主机(或企业内网主机)的真实IPv6地点。假设某个民众DNS体系的日记数据库与网军的IP地点扫描探测体系直联共享，那么环境的确不堪假想。

5. 在中国IPv6局限陈设初期就要重视IPv6收集安详

两办《推进IPv6局限陈设动作打算》文件中明晰提出了“两并举三同步”原则：“成长与安详并举，同步推进收集安详体系筹划、建树、运行”。

中国IPv6局限陈设方才进入成持久，已经有高出5亿部手机实现了IPv6联网，一批高校、当局、企业的收集正在进级支持IPv6协议。在今朝阶段，重视IPv6收集安详题目处于最佳阶段，而不能比及产生事情之后再亡羊补牢。可以预见，在不远的未来，IPv6 DNS安详将成为IPv6收集安详的最重点题目之一，必必要予以高度重视，提前做好收集安详防护。

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!