书接上回,本篇继续讨论两种针对DNS的常见攻击类型:
欺骗攻击(NS篡改、域名劫持、缓存投毒)
资源耗尽攻击(DNS DDoS攻击和DNS放大、反射攻击)
二级域名NS记录篡改和域名劫持
风险三
NS篡改通常是攻击者通过各种攻击手段或社会工程学控制了域名管理密码和域名管理邮箱,然后将该域名的NS记录指向到攻击者可以控制的权威服务器,通过在该权威服务器上添加相应域名记录,从而使用户访问该域名时,进入攻击者所指向的内容。终端客户打开的网站可能被植入了广告,也可能是钓鱼网站,导致隐私数据泄露。对于域名发布者来说,域名劫持现象比较隐蔽,往往收到终端客户投诉才发现,此时已经造成客户流失,企业形象和业务收入受损。域名劫持不定期发生在运营商递归服务器,缺少能够快速发现问题的手段,即便定位问题原因,也很难主动干预,并且由于运营商递归缓存因素(NS缓存时间一般为24小时或48小时),劫持故障持续时间长,难以及时恢复。
防范建议
将域名资产托管在服务便捷、安全性高的域名注册管理机构和域名注册服务机构,并采用注册局安全锁,从注册局端锁定域名信息,任何NS信息的修改都需要进行人工验证,避免攻击者通过破解邮箱或攻破注册商平台的手段来篡改域名信息;
增强针对递归服务器被劫持故障的监测感知能力,在发现运营商Local服务器被NS篡改或域名劫持时第一时间启用应急机制并采取干预措施。
用户侧Local DNS缓存窥探和缓存投毒(或DNS欺骗)
风险四
DNS缓存窥探是一个确定某一资源记录是否存在于一个特定的DNS缓存中的过程。通过这个过程攻击者可以得到一些信息修改dns有风险吗,例如DNS服务器处理了哪些域名查询。攻击者通常利用缓存窥探寻找可攻击对象。在获取相关信息后,攻击者通过向DNS服务器注入非法域名及网络地址实现缓存中毒攻击,运营商对该类安全威胁的检测十分困难。利用该攻击轻则可以让终端用户无法打开网页,重则利用网络钓鱼和金融诈骗,使用户造成巨大损失。由于软件实现技术水平参差不齐,端口、报文ID随机算法落后的域名服务器更容易遭受缓存中毒攻击。
防范建议
Local DNS如何防范和避免缓存投毒取决于运营商自身对DNS服务的安全能力,作为企业很难干预。在该风险面前,我们建议采用分布式探测节点探测运营商DNS服务器本地缓存结果是否与权威一致,一旦发现异常能够及时给出告警提示;
发现异常告警后第一时间启用应急机制并由管理员采取干预措施。
分布式拒绝服务攻击
风险五
DDoS攻击手段是在传统的DoS攻击基础之上产生的更有效的攻击方式。其攻击手段往往是攻击者组织大量的傀儡机同时向域名服务器发送大量查询报文,这些报文看似完全符合规则,但往往需要DNS服务器花费大量时间进行查询,从而使DNS服务器资源耗尽并瘫痪。2019年10月23日亚马逊的DNS服务故障原因即为DDoS攻击。
防范建议
部署多台互联网域名服务器集群,并将服务器部署在不同的物理网络环境中;
按需购买云端解析服务,利用云端分布式架构及海量解析承载能力抵御攻击;
构建本地自建域名服务器+云端服务的异构模式,提供高抗DDoS能力和云端流量清洗能力,用来抵御DDoS攻击。
DNS放大、反射攻击
风险六
目前的DDoS攻击通常与“DNS放大攻击”和“DNS反射攻击”配合实施。在这两类攻击中,DNS服务器往往不是被攻击目标,而是充当了无辜的被利用的角色。攻击者冒充被攻击目标向互联网上的DNS服务器发送欺骗性的查询信息,发送的DNS查询请求数据包大小一般为 60 字节左右,DNS服务器收到请求后将向表面上提出查询的那台服务器(被攻击目标)发出大量回复,回复数据包大小通常为请求数据包的数倍。使用该方式可以使攻击流量放大数倍,最终耗尽被攻击目标带宽并导致攻击目标瘫痪。
防范建议
通过技术手段对DNS请求响应数据、类型、应答进行跟踪判断修改dns有风险吗,识别并规避反射、放大攻击;
为了保护互联网服务器性能及带宽不被无辜利用,需要对DNS服务做响应限制,仅响应互联网客户端权威查询请求,解析状态为NOERROR; 不对互联网客户端查询请求提供递归查询服务,此时返回用户端解析状态为REFUSED.
结语
互联网域名服务有其复杂性和特殊性,如何从服务体系不同层面综合运营管理,保证DNS服务安全高效运行,一直都是域名行业从业者需要不断思考的问题。以上技术分享基于ZDNS近年在大量金融行业DNS建设项目中的点滴积累,希望通过上述分享,给每一位关心DNS安全的朋友带来启发,共同创建安全稳定的网络环境。
———END———
限 时 特 惠:本站每日持续更新海量各大内部创业教程,一年会员只需128元,全站资源免费下载点击查看详情
站 长 微 信:jiumai99
×