目前,針對(duì)域名系統(tǒng)(DNS)的攻擊已經(jīng)成為企業(yè)組織數(shù)字化發(fā)展中的一個(gè)嚴(yán)重問題,每年都有數(shù)千個(gè)網(wǎng)站成為此類攻擊的受害者。據(jù)最近的研究數(shù)據(jù)顯示,2023年企業(yè)組織與DNS攻擊相關(guān)的損失同比增加了49%,這些損失不僅是在企業(yè)的財(cái)務(wù)方面,還包括對(duì)組織內(nèi)部系統(tǒng)和云上應(yīng)用造成的損害。
企業(yè)如果要保護(hù)網(wǎng)絡(luò)免受此類攻擊,前提就是要了解不同類型的DNS攻擊,并找到相對(duì)應(yīng)的緩解方法。在本文中,研究人員詳細(xì)介紹了當(dāng)前最危險(xiǎn)的10種DNS攻擊類型以及原理,并給出了相應(yīng)的預(yù)防建議。
1DNS緩存投毒攻擊
DNS緩存投毒是指在用戶訪問合法網(wǎng)站時(shí),誘使其訪問欺詐性網(wǎng)站。例如當(dāng)用戶需要訪問gmAIl.com查看電子郵件時(shí),攻擊者通過破壞DNS,顯示了一個(gè)欺詐性網(wǎng)站而不是gmail.com頁面,以此來獲取對(duì)受害者電子郵件賬戶的訪問權(quán)限。
攻擊原理
●DNS緩存允許DNS解析器臨時(shí)存儲(chǔ)域名與IP地址的對(duì)應(yīng)關(guān)系。
●攻擊者利用DNS緩存投毒攻擊,向DNS解析器或目標(biāo)設(shè)備發(fā)送虛假的DNS響應(yīng),假冒真實(shí)的DNS服務(wù)器。
●攻擊者試圖將虛假的DNS記錄放入目標(biāo)設(shè)備的DNS緩存中。
●DNS消息具有事務(wù)ID,用于將響應(yīng)與相關(guān)的請(qǐng)求進(jìn)行匹配。
防護(hù)建議
●及時(shí)更新和修補(bǔ)系統(tǒng)
●使用可信賴的DNS服務(wù)器
●實(shí)施DNSSEC(DNS安全擴(kuò)展)
●監(jiān)控DNS流量
●配置防火墻和入侵檢測/防御系統(tǒng)
●加密DNS流量
2分布式反射拒絕服務(wù)
分布式反射式拒絕服務(wù)(DRDoS)的攻擊手法是通過發(fā)送大量UDP確認(rèn)消息使目標(biāo)不可用。在某些情況下,攻擊者還可能會(huì)修改DNS、NTP等記錄。為了能夠?qū)?shí)際操作在偽造地址上的主機(jī)與更多的確認(rèn)消息關(guān)聯(lián)起來,攻擊者需要使用偽造的源IP地址。當(dāng)這些偽造的確認(rèn)消息開始出現(xiàn)時(shí),目標(biāo)系統(tǒng)將變得難以訪問。當(dāng)這些攻擊以適當(dāng)?shù)囊?guī)模進(jìn)行控制時(shí),集體反射的情況就會(huì)變得明顯,即多個(gè)終端廣播偽造的UDP請(qǐng)求,生成的確認(rèn)消息將指向單個(gè)目標(biāo)。
攻擊原理
●DDoS攻擊利用網(wǎng)絡(luò)協(xié)議的特點(diǎn),使得一個(gè)小的請(qǐng)求能夠引發(fā)巨大的響應(yīng)。
●攻擊流量并不直接從攻擊者發(fā)送到受害者,而是發(fā)送請(qǐng)求到互聯(lián)網(wǎng)上的弱點(diǎn)服務(wù)器或設(shè)備,這些服務(wù)器或設(shè)備會(huì)以更多的流量作出響應(yīng)。
●攻擊者會(huì)通過僵尸網(wǎng)絡(luò)(bo.NET)發(fā)起DDoS攻擊。
防護(hù)建議
●將服務(wù)器放置在不同的數(shù)據(jù)中心。
●確保數(shù)據(jù)中心位于不同的網(wǎng)絡(luò)上。
●確保數(shù)據(jù)中心具有多個(gè)可訪問路徑。
●確保數(shù)據(jù)中心或與數(shù)據(jù)中心相關(guān)聯(lián)的網(wǎng)絡(luò)沒有嚴(yán)重的安全漏洞或單點(diǎn)故障。
3DNS隧道攻擊
這種網(wǎng)絡(luò)攻擊利用 DNS 確認(rèn)和查詢通道,從多個(gè)應(yīng)用程序傳輸編碼數(shù)據(jù)。雖然它從未被廣泛使用,但研究人員發(fā)現(xiàn)這項(xiàng)技術(shù)現(xiàn)在開始被攻擊者關(guān)注,因?yàn)樗軌蛞?guī)避接口保護(hù)措施,而入侵者必需要對(duì)目標(biāo)系統(tǒng)、域名和 DNS 權(quán)威服務(wù)器進(jìn)行物理訪問才能進(jìn)行 DNS 隧道攻擊。
攻擊原理
●域名系統(tǒng)中的隧道需要隱藏不屬于 DNS 查詢或答案的信息。
●DNS 隧道利用 DNS 協(xié)議,該協(xié)議主要用于域名解析,其目的不是預(yù)期的原因。
●使用 DNS 隧道,可以在常規(guī) DNS 流量中建立秘密的通信路徑。
●通過DNS隧道,可以從受感染的網(wǎng)絡(luò)或系統(tǒng)中提取私密數(shù)據(jù)。
防護(hù)建議
●創(chuàng)建訪問規(guī)則。
●創(chuàng)建協(xié)議對(duì)象。
●創(chuàng)建應(yīng)用程序規(guī)則。
4TCP SYN洪水攻擊
TCP SYN洪水攻擊是一種危險(xiǎn)的拒絕服務(wù)(DDoS)攻擊,可以破壞使用傳輸控制協(xié)議(TCP)進(jìn)行互聯(lián)網(wǎng)通信的任何服務(wù)。常見的基礎(chǔ)設(shè)施組件,如負(fù)載均衡器、防火墻、入侵防御系統(tǒng)(IPS)和利用服務(wù)器,都可能容易受到SYN波攻擊的影響,即使是設(shè)計(jì)用于管理數(shù)百萬個(gè)連接的高容量設(shè)備也可能因這種攻擊而癱瘓。
攻擊原理
●TCP過程有三個(gè)步驟:SYN、SYN-ACK 和 ACK。
●攻擊者向目標(biāo)服務(wù)器發(fā)送大量 SYN(同步)數(shù)據(jù)包,同時(shí)表示他們想要建立新的連接。
●目標(biāo)服務(wù)器為每個(gè)傳入的 SYN 數(shù)據(jù)包提供系統(tǒng)資源,如 RAM 和有關(guān)連接狀態(tài)的詳細(xì)信息。
●攻擊者經(jīng)常偽造SYN數(shù)據(jù)包中的原始IP地址,以增加發(fā)現(xiàn)和阻止的難度。
●保留了太多半開放的鏈接,這給目標(biāo)系統(tǒng)的內(nèi)存、CPU 和連接狀態(tài)表造成過大的壓力。
防護(hù)建議
●提供對(duì)內(nèi)聯(lián)和離線部署的適當(dāng)支持,以確保網(wǎng)絡(luò)上不存在單一的崩潰點(diǎn)。
●能夠查看和檢查來自網(wǎng)絡(luò)各個(gè)部分的流量。
●不同的威脅情報(bào)來源,包括統(tǒng)計(jì)異常檢測、可自定義的入口警報(bào)和已知威脅的指紋,確保快速可靠的檢測。
●可擴(kuò)展以處理各種規(guī)模的攻擊,從低端到高端,從高端到低端。
5DNS劫持攻擊
DNS 劫持攻擊在網(wǎng)絡(luò)犯罪領(lǐng)域也很常見。發(fā)生DNS劫持攻擊時(shí),攻擊者會(huì)操縱域名查詢的解析服務(wù),導(dǎo)致訪問被惡意定向至他們控制的非法服務(wù)器,這也被成為DNS投毒或DNS重定向攻擊。除了實(shí)施網(wǎng)絡(luò)釣魚活動(dòng)的黑客外,這還可能由信譽(yù)良好的實(shí)體(比如ISP)完成,其這么做是為了收集信息,用于統(tǒng)計(jì)數(shù)據(jù)、展示廣告及其他用途。
攻擊原理
●攻擊者通過未經(jīng)許可進(jìn)入 DNS 服務(wù)器或管理界面來更改域的 DNS 記錄。
●DNS黑客可用于誘騙人們?cè)L問看起來很像真實(shí)網(wǎng)站的虛假網(wǎng)站。
●攻擊者可以將人員發(fā)送到惡意網(wǎng)站或內(nèi)部漏洞利用工具包。
●在一些DNS劫持攻擊中,官方DNS服務(wù)器或互聯(lián)網(wǎng)服務(wù)提供商(ISP)的DNS解析器被黑客入侵。
防護(hù)建議
●檢查網(wǎng)絡(luò)上的解析器。
●嚴(yán)格限制對(duì)名稱服務(wù)器的訪問。
●采取措施防范緩存污染。
●即時(shí)修補(bǔ)已知漏洞。
●分隔權(quán)威名稱來自解析程序的服務(wù)器。
●限制區(qū)域的更改。
6幻域攻擊
幻域攻擊與普通子域名攻擊類似,在這種類型的攻擊中,由于一些“幻影”域名從不響應(yīng)DNS查詢,攻擊者會(huì)通過大量查詢耗盡DNS解析器的資源。這種攻擊的目的是使DNS解析器在放棄或提供不良響應(yīng)之前等待過長的時(shí)間,從而大量影響DNS的性能。
防護(hù)建議
●增加遞歸客戶端數(shù)量。
●使用參數(shù)的正確順序以獲得最佳結(jié)果。
●限制每個(gè)服務(wù)器的遞歸查詢和每個(gè)區(qū)域的遞歸查詢。 ●啟用對(duì)不響應(yīng)的服務(wù)器的抑制,并檢查每個(gè)區(qū)域的遞歸查詢。
7DNS 洪水攻擊
DNS洪水攻擊屬于分布式拒絕服務(wù)(DDoS)攻擊的一種,主要目標(biāo)是使服務(wù)器訪問過載,使其無法繼續(xù)為DNS請(qǐng)求提供服務(wù)。當(dāng)這種類型的攻擊來自單個(gè) IP地址時(shí)很容易緩解。然而,當(dāng) DDoS 涉及數(shù)百或數(shù)千人時(shí),情況可能會(huì)變得復(fù)雜。緩解方法有時(shí)可能很棘手,因?yàn)樵S多查詢會(huì)很快被識(shí)別為惡意錯(cuò)誤,并且會(huì)發(fā)出許多有效的請(qǐng)求來混淆防御設(shè)備。
攻擊原理
●嘗試通過一次性發(fā)送大量DNS請(qǐng)求來破壞DNS服務(wù)器或系統(tǒng);
●用戶數(shù)據(jù)報(bào)協(xié)議(UDP)和傳輸控制協(xié)議(TCP)都可以用于進(jìn)行DNS洪水攻擊;
●通過使用不安全的DNS解析器或合法DNS服務(wù)器來增加發(fā)送的數(shù)據(jù)量。
防護(hù)建議
●任何存儲(chǔ)在DNS中并成為分布式拒絕服務(wù)(DDoS)洪水攻擊目標(biāo)的域名信息都將無法訪問。
●定期更新舊信息,并跟蹤在許多DNS提供商中接收到最多查詢的域名。
8隨機(jī)子域攻擊
隨機(jī)子域名攻擊的構(gòu)造與簡單的拒絕服務(wù)攻擊(DoS)基本相同,因此通常被視為DoS攻擊。此類攻擊的目標(biāo)是創(chuàng)建一個(gè)拒絕服務(wù)(DoS)攻擊,以超負(fù)荷運(yùn)行負(fù)責(zé)處理主域名的官方DNS服務(wù)器,從而阻止DNS記錄的查詢。這些請(qǐng)求通常將來被感染的訪問用戶,他們并不知道自己在發(fā)送特定類型的查詢,使得這種攻擊很難被識(shí)別和阻止。
攻擊原理
●攻擊者可以通過隨機(jī)子域名攻擊在現(xiàn)有域名上創(chuàng)建大量子域;
●作為快速流轉(zhuǎn)方法的一部分,攻擊者會(huì)非常快速地更改與子域名相關(guān)聯(lián)的IP地址;
●攻擊者使用DGA(域名生成算法)創(chuàng)建大量看似隨機(jī)選擇的域名或子域;
●在隨機(jī)子域攻擊中,隨機(jī)創(chuàng)建的子域名可能托管惡意軟件或其他有害內(nèi)容。
防護(hù)建議
●了解與受害者相關(guān)的解析器和網(wǎng)絡(luò)資源產(chǎn)生大量流量的攻擊技術(shù)
●了解保護(hù)激發(fā)攻擊的DNS解析器的現(xiàn)代功能,如響應(yīng)速率限制
9僵尸網(wǎng)絡(luò)攻擊
僵尸網(wǎng)絡(luò)是一組受感染的 Internet 連接設(shè)備,可用于發(fā)起協(xié)調(diào)的拒絕服務(wù)攻擊,在此期間,受感染的設(shè)備可用于竊取信息、發(fā)送垃圾郵件,并授予攻擊者對(duì)受感染設(shè)備及其網(wǎng)絡(luò)連接的完全控制權(quán)。
攻擊原理
●當(dāng)許多計(jì)算機(jī)感染類似機(jī)器人或僵尸等軟件時(shí),它們會(huì)形成僵尸網(wǎng)絡(luò)。
●僵尸網(wǎng)絡(luò)由攻擊者通常保持的中央命令和控制計(jì)算機(jī)運(yùn)行。
●攻擊者可以使用僵尸網(wǎng)絡(luò)同時(shí)控制許多被黑客入侵設(shè)備的操作,從不同的地方發(fā)起協(xié)同攻擊。
●分布式拒絕服務(wù) (DDoS) 攻擊通常利用僵尸網(wǎng)絡(luò)發(fā)動(dòng)。
防護(hù)建議
●正確了解漏洞。
●保護(hù) IoT 設(shè)備。
●確定緩解措施是否真實(shí)可行。
●發(fā)現(xiàn)、分類和控制漏洞。
10域名(Domain)劫持
在這種攻擊中,攻擊者會(huì)修改域名注冊(cè)商和 DNS 服務(wù)器,以便將用戶的流量重新路由到其他地方。如果攻擊者獲得了DNS 數(shù)據(jù)的控制權(quán),則域名劫持也可能發(fā)生在 DNS層面上。當(dāng)攻擊者控制用戶的域名時(shí),他們可以使用它來發(fā)起攻擊,例如為 PayPal、Visa 或銀行系統(tǒng)等支付系統(tǒng)設(shè)置虛假頁面。
攻擊原理
●域名劫持是指某人非法奪取合法所有者的域名所有權(quán)。
●如果攻擊者控制了域名,他們可以更改其DNS設(shè)置。
●攻擊者可能添加新的子域名或更改現(xiàn)有的子域名,以使他們的惡意行為更加有效。
防護(hù)建議
●升級(jí)應(yīng)用程序基礎(chǔ)結(jié)構(gòu)中的 DNS。
●使用DNSSEC(DNS安全擴(kuò)展)。
●保護(hù)訪問權(quán)限。
●啟用客戶端鎖定功能。
參考鏈接:https://cybersecuritynews.com/dns-attacks/
