目前最常見的攻擊方式之一就是域名系統(DNS)攻擊。DNS被廣泛使用、高度信任但又很容易受攻擊。特別是現在一些高級持續性攻擊(APT)變得越來越流行，它們能夠深入滲透到網絡深處，并且能產生比前幾代惡意軟件更大的危害。一旦APT成功滲透一個網絡，它們就會使用DNS服務器連接回遠程命令與控制中心，然后下載一些破壞網絡運營或偷取數據的指令。

攻擊者曾經在一些著名事件中使用了APT攻擊，包括Michaels和Kmart等零售供應鏈，以及American Express和JPMorgan Chase等銀行與金融巨頭。它們將會繼續蔓延到許多的行業，包括教育、政府、醫療和電信等。

攻擊者之所以使用APT，是因為它們能夠攻克傳統保護模式;APT在設計上就支持在IT基礎架構之中傳播、變化和隱藏，能夠靜靜地潛伏而發起長時間攻擊。然而，如果理解了它們的工作方式，它們也是可以中止的。

 [[147088]]

初始感染：初始感染可以有以下三種方式：

1. 攻擊者發送惡意軟件電子郵件給一個組織內部的收件人。例如，Cryptolocker就是一種感染方式，它也稱為勒索軟件，其攻擊目標是Windows個人電腦，會在看似正常的電子郵件附件中偽裝。一旦收件人打開附件，Cryptolocker就會在本地磁盤上加密文件和映射網絡磁盤。如果你不乖乖地交贖金，惡意軟件就會刪除加密密鑰，從而使你無法訪問自己的數據。

2. 攻擊者會感染一個組織中用戶經常通過DNS訪問的網站。著名的端到端戰網Gameover Zeus就是一個例子，一旦進入網絡，它就能使用P2P通信去控制受感染的設備。

3. 攻擊者會通過一個直連物理連接感染網絡，如感染病毒的U盤。

下載真實的APT：一旦進入組織內部，幾乎在所有的攻擊案例中，惡意軟件執行的第一個重要操作就是使用DNS從一個遠程服務器上下載真實的APT。在成功實現惡意目標方面，真實的APT比初始感染要強大許多。

傳播和連回攻擊源：一旦下載和安裝之后，APT會禁用運行在已感染計算機上的反病毒軟件或類似軟件。不幸的是，這個操作并不難。然后，APT通常會收集一些基礎數據，然后使用DNS連接一個命令與控制服務器，接收下一步的指令。

數據盜取：攻擊者可能在一次成功的APT中發現數量達到TB級的數據。在一些案例中，APT會通過接收指令的相同命令與控制服務器接收數據。然而，通常這些中介服務器的帶寬和存儲容量不足以在有限的時間范圍內傳輸完數據。此外，傳統數據還需要更多的步驟，而步驟越多就越容易被人發現。因此，APT通常會直接連接另一個服務器，將它作為數據存儲服務器，將所有盜取的數據上傳到這個服務器中。最后這個階段一樣會使用DNS。

顯然，DNS是APT攻擊的一個理想目標。然而，這個問題也是可以解決的。如果能夠保證DNS服務器的安全，就能夠檢測和防止APT攻擊。DNS安全保護包括幾個重要的實踐方法：保持一時半會兒到最新威脅庫;使用DHCP身份識別收集受感染終端情報，從而可以方便地清除這些終端;使用可操作的報表和日志機制，幫助完成安全和修復工作的優先級劃分。

由于所有行業的公司都可能成為APT攻擊的目標，因此這種攻擊態勢在不斷提高。現實情況是，APT可能產生重大危害，一次就可能讓一個組織斷線幾個小時。只要DNS保護不力，網絡就有泄露數據的風險。關于APT，你了解的信息越多，實時收集到的惡意攻擊情報越多，就越容易保護組織和網絡不受到攻擊。