【干货分享】DNS攻击及缓解措施大盘点

发布时间:2020-07-10 07:00:00

      DNS解析作为域名与网站间的链条,面对网络攻击时往往首当其冲。劫持、隧道、网络钓鱼、缓存中毒、DDoS攻击……DNS一直承受着各种攻击,随着黑客手段日趋复杂,DNS攻击似乎永无尽头。
         国际数据公司(IDC)受DNS安全供应商EfficientIP委托于最近发布了《2020年全球DNS威胁报告》报告称,过去一年中,全球79%的公司遭遇过DNS攻击。所有行业组织平均遭受9.5次DNS攻击。
         这些数据说明了DNS在网络安全防御中的重要性,DNS不仅仅是黑客攻击的目标,同时也可以成为黑客实施攻击的重要手段。


常见DNS攻击类型:

域名劫持

         针对DNS的攻击有很多种,其中最简单粗暴的一种就是域名劫持。
         域名劫持的攻击目的与方式十分直接,就是通过修改域名的NS记录,将域名原本指定的DNS服务器修改为黑客可以操控的DNS,然后便可以通过修改域名解析记录的方式,将域名指向恶意IP从而达到劫持的目的。域名劫持会使域名积累的流量被引导至恶意IP上,给域名持有者造成经济损失,甚至可能由于恶意IP的违法经营,为域名持有者带来不必要的法律风险。


         对抗域名劫持的最优方案是将解析锁定,以保证DNS服务器不被修改,甚至解析也无法随意变更。

DNS缓存投毒

         除直接攻击外,对于DNS的间接攻击也不得不防,其中一种攻击类型为DNS缓存投毒攻击。
         DNS缓存投毒的攻击模式也很容易理解,这种攻击中黑客不会直接去攻击域名的权威解析服务器,而是向攻击目标的本地递归解析服务器数据库中投入伪造的解析记录缓存。当用户发起访问请求时,第一时间来询问本地DNS,得到的回答是黑客之前投入的虚假记录,因而导致用户被引导向恶意的IP地址。


         防止缓存投毒攻击只需要刷新DNS服务器缓存即可,将解析记录的TTL值配置为相对较小的数值,缩短缓存存在时间,从而便可以避免持续被投毒攻击影响。

DDoS攻击

       最后一种攻击也是最广为人知的分布式拒绝服务攻击(DDoS,Distributed denial of service attack)。DDoS的影响非常广泛,以至于任意的网络运营商或网站管理员听到DDoS都谈虎色变。虽然通过增大带宽、增加服务器的方式可以提升可抵抗的DDoS流量上限,但其终究会对网路造成一定的负载压力。
DDoS攻击又分为多种类型:
         首先是广为人知的洪水攻击,通过设置傀儡机向目标IP发送大量数据流以充塞其带宽,致使其性能降低甚至宕机。
         其次为反射放大攻击,黑客通过伪造受害者IP向DNS发起询问请求,致使DNS不停给受害者IP返回结果数据包,也会造成受害者负载过量而瘫痪。
         还有利用协议造成的攻击如TCPSYN攻击,黑客利用伪造IP向服务器发送大量SYN包,然后对于服务器返回的SYN/ACK包不予应答,使服务器耗费资源等待SYNTime,重复该步骤致使服务器资源被耗尽。
         最后一种是畸形数据包攻击,即向受害者发送带有畸形数据的数据包,直接造成目标服务器系统崩溃。
         应对DDoS攻击除采用云服务器分担数据流扩展负载带宽外,配备大流量清洗系统从来访数据流中清洗掉恶意与无效访问流量则可以更好的从源头防护DDoS攻击。


ICANN的DNS安全检查清单如下:

  •     确保所有系统安全补丁均经过审查并已应用;

  •     检查日志文件,查找系统未授权访问,尤其是未授权管理员访问;

  •      审查对管理员(“root”)权限的内部控制;

  •      验证每条DNS记录的完整性及其修改历史;

  •      强制要求足够的密码复杂度,尤其是密码长度;

  •      确保密码不与其他用户共享;

  •      保证密码从不以明文存储或传输;

  •      实施定期密码修改策略;

  •      实施密码输错锁定策略;

  •      确保DNS域记录经DNSSEC签名,DNS解析服务器执行DNSSEC验证;

  •      确保电子邮件域名具备以发送方策略框架(SPF)和/或域名密钥识别邮件(DKIM)协议实现的域消息身份验证机制,并保证实施了自身电子邮件系统上其他域名提供的此类策略。


       面对DNS攻击,作为网络管理员应未雨绸缪,提前做好针对各种攻击类型的防护措施。但是再好的准备面对黑客纷繁复杂的进攻手段也无法保证坚不可摧,遭遇攻击后及时止损亡羊补牢也是必要时刻的有效手段。  






相关推荐:

DNS攻击类型及应对措施大盘点
上一篇:技术再升级!解读智能云解析3大核心能力 下一篇:DNS专家手把手教学| 定位域名解析不生效问题