淺析IPv6下的+DNS系統(tǒng)

1、IPv6下的 DNS系統(tǒng)的分析摘 要 本文闡述了IPV6中DNS域名系統(tǒng)的體系結構，DNS對IPV6地址層次性和即插即用特性的支持，以及IPv4到IPv6過渡期DNS的升級和轉換，重點對IPv4和IPv6 環(huán)境下的DNS系統(tǒng)中可能存在的安全問題進行了分析和比對。關鍵詞 IPV6;DNS系統(tǒng);DNS安全1 引 言IPv6 是新一代的網(wǎng)絡協(xié)議，與IPv4協(xié)議相比它擁有巨大的地址空間；從地址結構和地址分配上支持地址聚合，從而大大減少路由表條目；具有方便的網(wǎng)絡即插即用功能；具有良好的移動性支持等等新特性。域名系統(tǒng)（Domain Name System，簡稱 DNS）的主要功能是通過域名和 IP 地址之

2、間的相互對應關系，來定位網(wǎng)絡資源，即根據(jù)域名查詢 IP 地址，反之亦然。它是 Internet 的基礎架構，眾多的網(wǎng)絡服務（如 Http，F(xiàn)tp， Email 等等）都是建立在 DNS 服務之上的。IPv6 協(xié)議是取代 IPv4 的下一代網(wǎng)絡協(xié)議，它具有許多新的特性與功能。域名系統(tǒng)（DNS）是 Internet的基礎架構，IPv6 的新特性也需要 DNS 的支持。因此，DNS 勢必要升級以滿足 IPv6 的需求。本文從 IPv6的地址空間、IPv6 地址自動配置和即插即用、IPv6 的移動性、IPv4 到 IPv6 的過渡以及安全性等幾方面對 IPv6 對 DNS的需求及其解決方法進行了分析和

3、研究。2 IPv6域名系統(tǒng)2. 1 IPv6域名系統(tǒng)的體系結構IPv6網(wǎng)絡中的DNS與IPv4的DNS在體系結構上是一致的，都采用樹型結構的域名空間。IPv4協(xié)議與IPv6協(xié)議的不同并不意味著需要單獨兩套IPv4 DNS體系和IPv6 DNS體系，相反的是，DNS的體系和域名空間必須是一致的，即IPv4和IPv6共同擁有統(tǒng)一的域名空間。在IPv4到IPv6的過渡階段，域名可以同時對應于多個IPv4和IPv6的地址。以后隨著IPv6網(wǎng)絡的普及，IPv6地址將逐漸取代IPv4地址。2.2 DNS對IPv6地址層次性的支持在RFC1886中定義了一種新的DNS資源記錄類型，AAAA(4A),它用于將

4、完全合格的域名解析為IPV6地址。4A記錄DNS記錄類型28。4A記錄相當于IPV4名稱解析中的主機地址(A)資源記錄。資源記錄類型以AAAA來命名是因為128位的IPV6地址的長度是32位的IPV4地址長度的4倍。在DNS數(shù)據(jù)庫文件中的AAAA資源記錄通常具有如下結構：Name IN AAAA Address這里的Name是完全合格的域名，Address是與名稱相關的IPV6地址。如下列：H IN AAAA FEC0:1:2AA:FF:FE3F:2A1CIPv6可聚合全局單播地址是在全局范圍內使用的地址，必須進行層次劃分及地址聚合。FP（001）：用于可聚

5、合全局單播地址的格式前綴（FP:Format Prefix）（3比特）；TLA ID：頂級聚合標識符（Top-Level Aggregation Identifier）；RES：為將來使用而保留；NLA ID：次級聚合標識符（Next-Level Aggregation Identifier）；SLA ID：站點級聚合標識符（Site-Level Aggregation Identifier）；INTERFACE ID：接口標識符。IPv6全局單播地址的分配方式如下：頂級地址聚合機構 TLA(即大的ISP或地址管理機構)獲得大塊地址，負責給次級地址聚合機構NLA(中小規(guī)模ISP)分配地址，NL

6、A給站點級地址聚合機構SLA(子網(wǎng))和網(wǎng)絡用戶分配地址。IPv6地址的層次性在DNS中通過地址鏈技術可以得到很好的支持。下面從DNS正向地址解析和反向地址解析兩方面進行分析。a. 正向解析IPv4的地址正向解析的資源記錄是“A”記錄。IPv6地址的正向解析目前有兩種資源記錄，即，“AAAA”和“A6”記錄。其中， “AAAA”較早提出，它是對“A”記錄的簡單擴展，由于IP地址由32位擴展到128位，擴大了4倍，所以資源記錄由“A”擴大成4 個“A”?！癆AAA”用來表示域名和IPv6地址的對應關系，并不支持地址的層次性?！癆6”在RFC2874中提出，它是把一個IPv6地址與多個“A6”記錄建

7、立聯(lián)系，每個“A6”記錄都只包含了IPv6地址的一部分，結合后拼裝成一個完整的IPv6地址。“A6”記錄支持一些“AAAA”所不具備的新特性，如地址聚合，地址更改(Renumber)等。首先，“A6”記錄方式根據(jù)TLA、NLA和SLA的分配層次把128位的IPv6的地址分解成為若干級的地址前綴和地址后綴，構成了一個地址鏈。每個地址前綴和地址后綴都是地址鏈上的一環(huán)，一個完整的地址鏈就組成一個IPv6地址。這種思想符合IPv6地址的層次結構，從而支持地址聚合。其次，用戶在改變ISP時，要隨ISP改變而改變其擁有的IPv6地址。如果手工修改用戶子網(wǎng)中所有在DNS中注冊的地址，是一件非常繁瑣的事情。而

8、在用“A6”記錄表示的地址鏈中，只要改變地址前綴對應的ISP名字即可，可以大大減少DNS中資源記錄的修改。并且在地址分配層次中越靠近底層，所需要改動的越少。b. 反向解析IPv6反向解析的記錄和IPv4一樣，是“PTR”，但地址表示形式有兩種。一種是用 “.”分隔的半字節(jié)16進制數(shù)字格式(Nibble Format)，低位地址在前，高位地址在后，域后綴是“IP6.INT.”。另一種是二進制串(Bit-string)格式，以“”，域后綴是“IP6.ARPA.”。半字節(jié)16進制數(shù)字格式與“AAAA”對應，是對IPv4的簡單擴展。二進制串格式與“A6”記錄對應，地址也象“A6”一樣，可以分成多級地址

9、鏈表示，每一級的授權用“DNAME”記錄。和 “A6”一樣，二進制串格式也支持地址層次特性。 總之，以地址鏈形式表示的IPv6地址體現(xiàn)了地址的層次性，支持地址聚合和地址更改。但是，由于一次完整的地址解析分成多個步驟進行，需要按照地址的分配層次關系到不同的DNS服務器進行查詢。所有的查詢都成功才能得到完整的解析結果。這勢必會延長解析時間，出錯的機會也增加。因此，需要進一步改進DNS地址鏈功能，提高域名解析的速度才能為用戶提供理想的服務。2.3 IPv6中的即插即用與DNSIPv6協(xié)議支持地址自動配置，這是一種即插即用的機制，在沒有任何人工干預的情況下，IPv6網(wǎng)絡接口可以獲得鏈路局部地址、站點局

10、部地址和全局地址等，并且可以防止地址重復。IPv6支持無狀態(tài)地址自動配置和有狀態(tài)地址自動配置兩種方式。IPv6節(jié)點通過地址自動配置得到IPv6地址和網(wǎng)關地址。但是，地址自動配置中不包括DNS服務器的自動配置。如何自動發(fā)現(xiàn)提供解析服務的DNS服務器也是一個需要解決的問題。正在研究的DNS服務器的自動發(fā)現(xiàn)的解決方法可以分為無狀態(tài)和有狀態(tài)兩類。在無狀態(tài)的方式下，需要為子網(wǎng)內部的DNS服務器配置站點范圍內的任播地址。要進行自動配置的節(jié)點以該任播地址為目的地址發(fā)送服務器發(fā)現(xiàn)請求，詢問DNS服務器地址、域名和搜索路徑等DNS信息。這個請求到達距離最近的DNS服務器，服務器根據(jù)請求，回答DNS服務器單播地址

11、、域名和搜索路徑等 DNS信息。節(jié)點根據(jù)服務器的應答配置本機DNS信息，以后的DNS請求就直接用單播地址發(fā)送給DNS服務器。另外，也可以不用站點范圍內的任播地址，而采用站點范圍內的多播地址或鏈路多播地址等。還可以一直用站點范圍內的任播地址作為DNS服務器的地址，所有的DNS解析請求都發(fā)送給這個任播地址。距離最近的DNS服務器負責解析這個請求，得到解析結果后把結果返回請求節(jié)點，而不像上述做法是把DNS 服務器單播地址、域名和搜索路徑等DNS信息告訴節(jié)點。從網(wǎng)絡擴展性，安全性，實用性等多方面綜合考慮，第一種采用站點范圍內的任播地址作為DNS服務器地址的方式相對較好。在有狀態(tài)的DNS服務器發(fā)現(xiàn)方式下

12、，是通過類似DHCP這樣的服務器把DNS服務器地址、域名和搜索路徑等DNS信息告訴節(jié)點。當然，這樣做需要額外的服務器。2.4 IPv6過渡階段與DNS在IPv4到IPv6的過渡過程中，作為Internet基礎架構的DNS服務也要支持這種網(wǎng)絡協(xié)議的升級和轉換。IPv4和IPv6的DNS記錄格式等方面有所不同，為了實現(xiàn)IPv4網(wǎng)絡和IPv6網(wǎng)絡之間的DNS查詢和響應，可以采用應用層網(wǎng)關DNS-ALG結合NATPT的方法，在 IPv4和IPv6網(wǎng)絡之間起到一個翻譯的作用。例如，IPv4的地址域名映射使用“A”記錄，而IPv6使用“AAAA”或“A6”記錄。那么， IPv4的節(jié)點發(fā)送到IPv6網(wǎng)絡的D

13、NS查詢請求是“A”記錄，DNS-ALG就把“A”改寫成“AAAA”，并發(fā)送給IPv6網(wǎng)絡中的DNS服務器。當服務器的回答到達DNS-ALG時，DNS-ALG修改回答，把“AAAA”改為“A”，把IPv6地址改成DNS-ALG地址池中的IPv4轉換地址，把這個IPv4轉換地址和IPv6地址之間的映射關系通知NATPT，并把這個IPv4轉換地址作為解析結果返回IPv4主機。IPv4主機就以這個IPv4轉換地址作為目的地址與實際的IPv6主機通過NATPT通信。(如圖1 所示)圖 13 IPv6域名系統(tǒng)下的安全分析3.1 IPv4DNS的安全性問題某些 DNS 服務器支持的反向查詢（iquery）

14、功能可使攻擊者獲得區(qū)域傳輸。所謂DNS服務器反向查詢，就是輸入IP地址，可以查出域名。攻擊者獲得區(qū)域傳輸后可以識別出注冊到您的 DNS 服務器的每臺計算機，并且可能被攻擊者用來更好的了解您的網(wǎng)絡。甚至當您在 DNS 服務器上禁用了區(qū)域傳輸時，iquery 功能仍舊可以允許區(qū)域傳輸發(fā)生。例如“網(wǎng)絡釣魚（Phishing）”攻擊、“DNS中毒（DNS poisoning）”攻擊等，這些攻擊會控制DNS服務器，將合法網(wǎng)站的IP地址篡改為假冒、惡意網(wǎng)站的IP地址等。3.2 IPv6 對DNS安全的增強(1)掃描子網(wǎng)難度的增加 IPv6的地址由32bit增加到128bit就能讓現(xiàn)在攻擊前常用的端口掃描難

15、以繼續(xù)，IPv6子網(wǎng)掃描所消耗時間比起IPv4子網(wǎng)掃描所耗費的時間讓攻擊者難以接受，這將大大減少掃描整個子網(wǎng)情況的出現(xiàn)，或者使用變通的方法以縮小掃描范圍，如:考慮管理員手工配置時多使用prefix:1遞增的地址;考慮自動配置使用MAC地址作為最后48bit，而其中前24位是生產廠商的編碼，因此掃描范圍可以減小到224個主機:或者使用其它替代方法，而這些都將增大掃描的難度。(2)DNS安全擴展協(xié)議的引入 安全域名系統(tǒng)(域名系統(tǒng)安全擴展)DNSSEC是專門針對檢測仿冒性攻擊而設計的。DNSSEC目的是讓終端用戶的域名解析系統(tǒng)能夠獲知所解析的域名是否真正有效 ，從而避免用戶在仿 冒的網(wǎng)站上將自己的重

16、要信息泄露給攻擊者，保證用戶客戶端收到的DNS記錄的合法性。此外 ，DNS擴展與原有的DNS系統(tǒng)是向下兼容的，因此在實現(xiàn)上具有可行性 。但由于整個 Internet上的DNS系統(tǒng)已經(jīng)是一個非常龐大的分布式的域名記錄數(shù)據(jù)庫 ，完全實現(xiàn)向DNSSEC的轉換 ，需要投入大量時間和工作量 。此外 ，DNSSEC只是提供了對 DNS記錄真實性的驗證 ，只在有限的程度上為用戶通信的安全提供了保證。要完全保證用戶信息的安全 ，還需要在應用層面 、傳輸層面提供更加完整的解決方案。另一方面，DNSSEC在 DNS請求和響應中添加了數(shù)字簽名 ，也增加了通信的流量和復雜度 ，可能會導致新的基于加密算法的拒絕服務攻擊

17、(3)反向查詢機制的健全 RFC 1886中描述了為進行IPV6反向查詢而創(chuàng)建的IP6.INT域，它根據(jù)主機的IP地址，來確定主機的域名。為了給反向查詢創(chuàng)建命名空間，在完整表達的IPV6地址中，每個十六進制數(shù)都變成了以反序排列的反向區(qū)域結構中一個單獨的級別。通過對IPv6所提供的新的安全機制的介紹，我們可以看出，IPv6可以進行身份認證，并且可以保證數(shù)據(jù)包的完整性和機密性，所以在安全性方面，IPv6相對于IPv4有了質的提高。3.3 過度機制引發(fā)的安全問題IPv4和IPv6的DNS記錄格式等方面有所不同，尤其是IPv4-mapped IPv6地址的時，址有兩種不同的含義:用AF_ INET6表

18、示IPv4地址 (RFC3493);或用AF INET6表示IPv6通訊(RFC2765)。這種二義性導致可能的安全威脅，因為很難分辨一個IPv4-mapped IPv6地址是一個真實的IPv4地址表示為IPv6格式還是收到的偽造的IPv6地址。如數(shù)據(jù)包中IPv6源地址是:ffff:，目標主機會以為是來自自己()，但這也可能是收到的來自外部偽造的IPv6地址(:ffff:)。4 總結 隨著Internet技術的不斷發(fā)展，IPv6已經(jīng)離我們越來越近。DNS作為IPv4時代的網(wǎng)絡基礎服務，對Internet起著重要的作用。在即將到來的IPv6時

19、代，新的協(xié)議和功能要求DNS不再是僅僅提供傳統(tǒng)意義上的簡單資源定位，而是一方面提供類似IPv4 DNS的基礎功能，另一方面結合IPv6的新特性，和其它協(xié)議有機的結合在一起，提供新的功能，使網(wǎng)絡的配置、維護、使用變的更加簡單方便，讓用戶感覺到新技術帶來的新體驗。參考文獻 1 Rolf Oppliger, Security at the Internet Layer, IEEE, September 19982李信滿.趙宏，IPv6的安全體系結構，中興通訊技術，20023 Jari Arkko等，Securing IPv6 Neighbor and Router Discovery, WiSe02

20、, Sep 20024P.Savola, Security of IIvb Routing Header and Home Address Options, draft-savola-ipv6-rh-ha-security-02.txt5 P. Savola, Firewalling Considerations for IPvb, draft-savola-vbops-firewalling-02.txt(6 S. Deering and R. Hinden, Internet Protocol, Version 6(IPv6) Specification, RFC2460, Internet Engineering Task Force, Dec 20027 P. Savola and C. Patel, Security Considerations for 6to4, draft-ietf-v6ops-6to4-security-02.txt8 httpa/9王玲.錢華林，IPv6的安全機制及其對現(xiàn)有網(wǎng)絡安全體系的影響，微電子學與計算機2003年第1