鄭進興 樹德科技大學資管系 jscheng@mail.stu.edu.tw 92.10.23 DNS伺服器安全檢測與防護體系之建置 鄭進興 樹德科技大學資管系 jscheng@mail.stu.edu.tw 92.10.23

OUTLINE 研究背景與動機 文獻探討 DNS安全性探討 研究方法與架構 研究範圍與主要成果 網路現況分析 網路安全探討 網路安全檢測系統類別 DNS安全性探討 DNS伺服器漏洞探討 常見DNS漏洞攻擊 台灣區DNS狀態調查 DNS攻擊模式

OUTLINE DNS安全檢測系統 DNS網域安全檢測 台灣區DNS常見問題 主動性安全掃描 系統架構 使用者前端驗證（User Certificate Interface） NSE（Nessus Scan Engine） NASL（Nessus Attack Script Language） Scan Result DateBase 檢測分類 DNS網域安全檢測 台灣區常見錯誤 網域設定錯誤影響 檢測項目 檢測結果

OUTLINE 系統實作與展示 結論與建議 未來研究方向 完整DNS安全檢測方案 DNS安全檢測系統 DNS網域安全檢測 DNS資源網站 即時統計分析 結論與建議 系統掃描狀態 DNS版本分佈狀態 DNS漏洞分佈 結論 建議 未來研究方向

研究背景與動機

研究背景與動機 DNS為重要20大服務之一 DNS為網路服務第一線 第三層DNS檢測所遭遇問題 鞏固DNS系統有助於網際網路環境完整性

研究方法與架構 網路狀況、網路安全 現況分析 文獻探討 掃描稽核 工具探討 DNS伺服器 弱點分析 台灣區DNS主機 安全性分析 評估及設計 系統實作及 上線使用 結論及相關 研究建議

研究範圍與主要成果 範圍 成果 內部人員及防火牆設置下之環境 DNS外之網路服務項目 第三層DNS安全檢測機制與防護體系 DNS安全資源網站 蒐集掃描資訊

文獻探討

網路現況分析 http://www. find. org. tw/0105/howmany/index. asp http://www 網路現況分析 http://www.find.org.tw/0105/howmany/index.asp http://www.twnic.net/total/total_01.htm 2000年 2001年 成長率 對外頻寬 7.2 Gbps 14.8Gbps 105% 連網主機數量 343萬部 392萬部 14% 寬頻上網用戶數 114萬戶 210萬戶 85% TANET用戶數 291萬戶 344萬戶 18% 企業連網普及率 44.4 % 61.6 % 17.2%

網路安全探討 資料來源：CERT/CC（http://www.cert.org）2003.02

網路安全檢測系統類別 工具名稱 軟體架構 架設平台 軟體授權 檢測弱點數升級 開放原始碼 Nmap 獨立 Win/Unix 免費 無 是 Saint 線上/Win 商用軟體 不定 否 CyberCop ISS Win 天為單位 Nessus 分散式 Unix

DNS安全性探討

DNS安全性探討 SANS安全嚴重性 TOP20—排名第九 1999-2002 CVE漏洞通報佔了11項 DNS為相當重要系統

DNS伺服器漏洞探討 資料來源：DNS Security in Australia

常見DNS漏洞攻擊 DNS系統冒名欺騙攻擊(Spoofing) DNS系統阻斷服務攻擊(DoS) DNS系統漏洞攻擊 Buffer Overflow DNS Worm

台灣區DNS狀態調查 資料來源：TWCERT/CC（台灣電腦網路危機處理暨協調中心）2002.12

DNS攻擊模式 Buffer Overflow Crash Server Denial of Service Information Leak

DNS安全檢測系統

台灣區DNS常見問題 不良委任關係（Lame Server） 授權錯誤（Delegation Error） DNS容錯能力 轄區傳送（Zone Transfer） 版本偵測

主動式安全掃描 遭遇問題 設計考量 第三層DNS權責分散 數量繁多 自行設計檢測系統困難度高 降低管理權責問題 Web操作介面 使用者無須安裝額外系統

系統架構

使用者前端驗證（User Certificate Interface） 由TWNIC設計 驗證TWNIC用戶資料庫資訊 取得註冊主機網域、IP位置、郵件信箱 預防惡意人士藉由系統掃描他人主機

NSE（Nessus Scan Engine） 分散式架構 重編譯核心建構中文化檢測環境 Web設計理念 更換稽核程式可以增加檢測能力

NASL（Nessus Attack Script Language） 弱點編號 弱點名稱 影響平台 攻擊方式 相關建議 參照外部稽核 程式、額外資訊 漏洞分類 後門、CGI惡意程式、Dos等 稽核程式本體， 回傳檢測值 掃描成功判定 輸出報表 NASL 設計模型

Scan Result DateBase 紀錄使用者掃描狀態 內容 漏洞敘述 建議修正 相關資訊鏈結 提供線上即時分析、用戶狀態分析

檢測分類 檢測服務版本 攻擊服務檢測 轉送服務要求 轄區轉送檢測 DNS蠕蟲 DNS相關問題

DNS網域安全檢測

DNS網域安全檢測 台灣區常見錯誤 網域設定錯誤影響 不良委任關係（Lame Server） 授權錯誤（Delegation Error） 轄區傳送（Zone Transfer） 版本偵測 網域設定錯誤影響 網域效率降低（浪費多餘時間於查詢） 洩漏網域資訊 影響整體台灣區網域運作流暢

DNS網域安全檢測 檢測項目 檢測結果 Parent （用來檢測與上層DNS溝通正確性） NS（針對網域之NS主機驗證） SOA（驗證NS主機在資訊更新上的正確性） MX（郵件主機設定正確性） WWW（網頁主機檢測） 檢測結果 中文化輸出 相關修正建議

系統實作與展示

完整DNS安全檢測方案

DNS安全檢測實作方塊圖

DNS安全檢測網站

DNS安全檢測系統

即時統計分析

系統掃描狀態 上線時間 91.7～92.6 累積至今結果 累積用戶數：1399 (不包含重複掃描) 掃描主機數：1483 部

DNS版本分佈狀態 BIND 9系列 426 28.73% BIND 8系列 270 18.21% BIND 4系列 8 0.54% 數量(部) 佔有率（％） BIND 9系列 426 28.73% BIND 8系列 270 18.21% BIND 4系列 8 0.54% Windows DNS 677 45.65% 隱藏伺服器版本 102 6.88% 掃瞄主機（TOTAL） 1483 100%

DNS漏洞分佈 DNS 版本 數量(部) 佔有率（％） DNS TRf 漏洞 1252 84.42% DNS XRf 漏洞 7 0.47% ZONE TRANS 漏洞 28 1.89% bind 廣播風暴漏洞 31 2.09% BIND9_DoS 45 3.03% 未含漏洞 118 7.96% 掃瞄主機（TOTAL） 1483 100%

DNS網域安全檢測 DNS Domain Test

DNS網域安全檢測 (cont.)

DNS網域安全檢測 (cont.)

DNS網域安全檢測 (cont.)

DNS網域安全檢測 (cont.)

系統展示 DNS資源網站 DNS安全檢測系統 DNS網域安全檢測

結論及建議

結論 DNS版本由2001年以bind 8.2.3轉換為bind 9.X，漏洞存在數量有下降趨勢。 更換OS版本可以修正DNS弱點。 DNS允許遞迴查詢錯誤佔台灣區DNS設定錯誤之主要原因，建議進行改正，防止DNS洩漏網域資訊。 人為設定及系統安裝錯誤為最常見問題。

建議 本機安全性設定—注意漏洞通報及使用DNS安全稽核系統來檢測。 本機設定—修正本機設定檔，限制查詢範圍、可查詢主機及隱藏版本。 結合DNS安全資源網站及DNS安全稽核系統將可達到教育與檢測全方位解決方案。

未來研究方向 DNS安全檢測程式新增 DNS網域檢測功能新增及統計功能 IPV6 DNS安全性 DNS 安全簽章

問題與指教