【51CTO.com快譯】域名系統(DNS)是我們的信任根源，也是互聯網最重要的部分之一。它是一項關鍵任務服務，因為如果它發生故障，企業的網站隨之宕機。

DNS是含有名稱和數字的虛擬數據庫。它是對企業來說很關鍵的其他服務的基石。這包括電子郵件、網站訪問、IP語音(VoIP)和文件管理。

你希望鍵入域名后，確實進入到預期的目的地。只有在實際攻擊發生、成為新聞，DNS漏洞才備受關注。比如在2018年4月，為Myetherwallet管理域名的公共DNS服務器被劫持，客戶被重定向到網絡釣魚網站。許多用戶稱賬戶中金額變少，這才引起了公眾對DNS漏洞的極大關注。

DNS已存在很長時間導致了安全問題。按照設計，它是網絡上的一項開放服務，未得到適當的監控，傳統的安全解決方案也無法提供有效的保護。

[[240977]]

DNS緩存中毒是什么?

DNS服務器存在著漏洞，攻擊者可以鉆空子來接管服務器。DNS緩存中毒攻擊是黑客最常用的攻擊方法之一。

攻擊者控制DNS服務器后，可以篡改緩存信息，這就是DNS中毒。通過垃圾郵件或網絡釣魚電子郵件發送的URL中經常能找到DNS緩存中毒的代碼。這類電子郵件會試圖提醒用戶注意需要立即引起注意的事件，因而需要點擊所附的URL，進而感染計算機。橫幅廣告和圖片常用于將用戶重定向到這些受感染的網站。

然后你試圖訪問金融網站或任何其他網站時，攻擊者可以通過將你重定向到虛假網站，控制你訪問的網站。攻擊者可以將你引到某個網頁，該網頁啟動腳本，可以將惡意軟件、擊鍵記錄程序或蠕蟲下載到你的設備上。

DNS服務器訪問其他DNS服務器的緩存，這就是它傳播的方式，規模可能非常龐大。

DNS緩存中毒的風險

DNS中毒的主要風險是竊取數據。醫院、金融機構網站和在線零售商是常見的目標，很容易被欺騙，這意味著任何密碼、信用卡或其他個人信息都可能受到危及。此外，在你的設備上安裝擊鍵記錄程序的風險可能導致你訪問的其他網站暴露用戶名和密碼。

另一個重大風險是，如果互聯網安全提供商的網站被欺騙，那么用戶的計算機可能暴露在病毒或特洛伊木馬等另外的威脅面前，這是由于不會執行有效的安全更新。

據EfficientIP聲稱，DNS攻擊每年的平均成本是2236萬美元，其中23%的攻擊來自DNS緩存中毒。

防止DNS緩存中毒攻擊

企業可以采取多個措施來防止DNS緩存中毒攻擊。一個措施是，DNS服務器應該配置成盡量少依賴與其他DNS服務器的信任關系。采用這種配置方式將使攻擊者極難使用他們自己的DNS服務器來破壞目標服務器。

應該采取的另一個措施是應將DNS服務器設置成只有所需的服務才被允許運行。不需要的額外服務在DNS服務器上運行只會增加攻擊途徑。

安全人員還應確保使用的是最新版本的DNS。較新版本的BIND具有加密安全事務ID和端口隨機化等功能，有助于防止緩存中毒攻擊。

對最終用戶進行教育對于防止這種攻擊也很重要。最終用戶應接受培訓，學會識別可疑網站，如果在連接到網站之前收到SSL警告，不點擊“忽略”按鈕。他們還應接受相應的教育，學會識別通過社交媒體帳戶發來的網絡釣魚郵件或網絡釣魚活動。

為防止緩存中毒攻擊應采取的其他措施還有：只存儲與請求的域名有關的數據，并限制響應，只提供關于請求的域名的信息。

DNSSEC是解決方案

緩存中毒工具可用于幫助企業防止這種攻擊。最廣泛使用的緩存中毒預防工具是DNSSEC(域名系統安全擴展)。它由互聯網工程任務組開發，提供安全的DNS數據身份驗證。

部署后，計算機將能夠確認DNS響應是否合法，而目前無法確定響應是真還是假。它還能夠驗證域名根本不存在，這有助于防止中間人攻擊。

DNSSEC將驗證根域名，這有時稱為“簽署根”。最終用戶試圖訪問網站時，其計算機上的stub解析器從遞歸名稱服務器請求該網站的IP地址。服務器請求該記錄后，它還請求區域DNSEC密鑰。然后，密鑰將用于驗證IP地址記錄與權威服務器上的記錄相同。

接下來，遞歸名稱服務器將驗證地址記錄來自權威名稱服務器。然后，它將驗證該記錄是否已被篡改，并解析正確的域名來源。如果來源被人篡改，那么遞歸名稱服務器將不允許連接到該網站。

DNSSEC正變得越來越普遍。許多政府機構和金融機構都要求使用DNSSEC，因為發布未簽名區域無視DNS弱點，并使你的系統易遭到各種欺騙攻擊。企業考慮部署它以保護數據非常重要。

原文標題：How to protect your infrastructure from DNS cache poisoning，作者：Mark Dargin

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】