【TechTarget中国原创】问:开放递归式DNS服务器本身就不安全吗?它们的漏洞比封闭递归式服务器是更加危险、还是更安全一点?
答:“认为开放递归式DNS域名服务器天生就不安全”这一看法可能并不正确,因为实际上递归的出发点是未来让因特网运行得更好。递归通过一个分布层次结构来执行查找数千万的域名的艰巨任务,从而不再需要一个庞大的目录或者多个不可思议的巨大目录。递归让查找速度更快,因为有许多请求可以通过本地或者相关的本地DNS表来响应。
然而令人遗憾的是,恶意用户滥用了这项服务,使之成为众多威胁的一部分。有几种拒绝服务攻击就是利用了DNS的递归来扩大它们的攻击效果,有时还与其他有用的因特网功能(比如RFC 2671, DNS扩展机制—EDNS)滥用结合在一起。这些有用的扩展功能需要域名服务器对请求返回更多的响应,这会让攻击带来更多的UDP响应量。
然而,就像开放转发(Open Relay)一样,一开始是个好主意,但是当它们被垃圾邮件发件人滥用之后就开始变得麻烦起来,开放递归式DNS服务器现在也面临着这样的问题。US-CERT现在建议“只要可能,企业就应该保护他们DNS服务器的安全,确保它们不允许使用递归,或者至少只访问可信的域并禁止发送额外的委派信息”。该US-CERT文件提供了详细的DNS安全配置指南。
换句话说,要关闭递归功能或者关闭递归函数(很多DNS服务器软件上默认是开启的)。跟非递归式服务器或者封闭递归式DNS服务器相比,开放递归式DNS服务器把一个企业——往大了说是整个因特网——置于一个更加危险的境地。大型托管公司(比如GoDaddy.com网络公司)也有同样的感觉。它的官方网站就警告那些运行专用服务器的厂家说:“我们不允许在专门的或者虚拟的专用服务器上运行递归DNS,除非它只在本地运行,而且IP地址也在特定的范围内。”
但是,也有人持不同意见,特别是David Ulevitch(OpenDNS公司首席执行官,这家公司提供开放递归DNS服务)。它不同意由乔治亚理工学院(Georgia Tech)以及Google研究人员得出的结论:互联网上大约有1700万台开放递归DNS服务器,其中68,000台即大约0.4%的服务器对DNS请求进行了错误的响应,导致用户被重新定向到恶意网站。虽然没有争论数字正确与否,但是Ulevitch指出,研究人员只能测试开放递归DNS域名服务器,但是对于封闭的服务器有没有恶意行动却无能为力。
最关键是必须优先保证企业DNS的安全,以便保证公司的利益,并增强防御未来有可能发生的拒绝服务攻击的承受能力,这对网络整体的发展也是有好处的。这将是一个艰巨的任务。据估计,今天在互联网上有超过1100万台的DNS服务器,其中至少有一半允许递归查询,而且有超过30%的服务器允许地区传输或者域地区之间的同步。在这个世界上不是所有的DNS服务器都不安全,但是就算是有90%是安全的,仍然会有超过100万台的服务器不安全,这个数字令人担忧。