【51CTO.com快譯】當公司通過互聯網訪問VoIP和電子郵件時，都依賴于DNS，所以您必須保證您的DNS服務器免受DNS欺騙攻擊，可以采取DNSSEC(Domain Name System Security Extensions，DNS安全擴展)方案來解決。

域名系統(DNS)是我們信任的根源，也是互聯網最重要的一個組成部分。它是一項關鍵服務，一旦它發生故障，企業的網絡必然受到影響。

DNS是名稱和數字的虛擬數據庫，它是企業其他關鍵服務的支柱，比如：電子郵件、互聯網站點訪問，互聯網協議語音(VoIP)和文件管理。

你希望當鍵入域名后，通過DNS能夠到達你想去的地方。然而，通常在發生攻擊之前，很多企業對DNS的漏洞沒有過多的關注。例如：在2018年4月，管理Myetherwallet域的公共DNS服務器被劫持，客戶被重定向到網絡釣魚站點。 許多用戶報告說他們的帳戶中有資金流失，這引起了公眾對DNS漏洞的關注。

事實上，DNS的安全問題已存在很長時間。根據設計，DNS是網絡上的開放式服務，之初沒有得到適當的監控，傳統的安全解決方案無法有效保護。

[[241020]]

什么是DNS緩存中毒?

DNS服務器存在漏洞，攻擊者可以利用這些漏洞來攻擊它們。 DNS緩存中毒攻擊就是黑客最常用的攻擊方法之一。

當攻擊者控制DNS服務器后，他們可以修改緩存信息，這是DNS中毒。通過垃圾郵件或網絡釣魚電子郵件發送的URL中，經常可以找到DNS緩存病毒的代碼。這些電子郵件會嘗試提醒用戶注意，聲稱這是一份重要郵件，是你需要立即引起注意的事件。此時，用戶只要單擊郵件中的URL，病毒就會感染用戶電腦。此外，一些橫幅廣告和圖片通常用于將用戶重定向到這些受感染的網站。

然后，當用戶通過請求鏈接重定向到虛假站點，訪問金融站點或者其他任何站點時，攻擊者就可以控制用戶的去向。攻擊者可將用戶發送到啟動腳本的頁面，該腳本將會把惡意軟件、密鑰記錄器或者蠕蟲下載到用戶的設備。

此外，通過DNS服務器訪問其他DNS服務器的緩存，這就是它傳播的方式，并且可能是非常大規模的。

DNS緩存中毒有何風險？

DNS緩存中毒的主要風險是竊取數據。 DNS緩存中毒攻擊的最喜歡的目標是醫院，金融機構網站和在線零售商。這些目標容易被欺騙，這意味著任何密碼，信用卡或其他個人信息都可能受到損害。此外，在用戶設備上安裝密鑰記錄器的風險，可能會導致用戶訪問其他站點時暴露其用戶名和密碼。

另一個重大風險是，如果互聯網安全提供商的網站被欺騙，那么用戶的計算機可能會受到其他威脅(如：病毒或特洛伊木馬)的影響，因為一旦被攻擊用戶則不會執行合法的安全更新。

據EfficientIP稱，DNS攻擊的年平均成本為223.6萬美元，其中23%的攻擊來自DNS緩存中毒。

如何防止DNS緩存中毒攻擊？

那么，企業究竟該如何防止DNS緩存中毒攻擊?筆者認為要從以下幾點出發：

第一，DNS服務器應該配置為盡可能少地依賴與其他DNS服務器的信任關系。以這種方式配置將使攻擊者更難以使用他們自己的DNS服務器來破壞目標服務器。

第二，企業應該設置DNS服務器，只允許所需的服務運行。因為在DNS服務器上運行不需要的其他服務，只會增加攻擊向量大小。

第三，安全人員還應確保使用最新版本的DNS。較新版本的BIND具有加密安全事務ID和端口隨機化等功能，可以幫助防止緩存中毒攻擊。

第四，用戶的安全教育對于防止這些攻擊也非常重要。最終用戶應接受有關識別可疑網站的培訓，如果他們在連接到網站之前收到SSL警告，則不會單擊“忽略”按鈕。 他們還應始終接受有關通過社交媒體帳戶識別網絡釣魚電子郵件或網絡釣魚的教育。

除此以外，為防止緩存中毒攻擊，還應采取的其他措施，比如：僅存儲與請求的域相關的數據，并限制您的響應僅提供有關請求的域的信息。

解決方案——DNSSEC

緩存中毒工具可用于幫助組織防止這些攻擊。 最廣泛使用的緩存中毒預防工具是DNSSEC(域名系統安全擴展)。 它由Internet工程任務組開發，提供安全的DNS數據身份驗證。

部署后，計算機將能夠確認DNS響應是否合法，而目前無法確定真實或虛假的響應。 它還能夠驗證域名根本不存在，這有助于防止中間人攻擊。

DNSSEC將驗證根域或稱為“簽署根”。當最終用戶嘗試訪問站點時，其計算機上的存根解析程序，將從遞歸名稱服務器請求站點的IP地址。在服務器請求記錄之后，它還將請求區域DNSEC密鑰。然后，密鑰將用于驗證IP地址記錄是否與權威服務器上的記錄相同。接下來，遞歸名稱服務器將驗證地址記錄是否來自權威名稱服務器。然后，它將驗證是否已修改并解析正確的域源。如果對源進行了修改，則遞歸名稱服務器將不允許對站點進行連接。

DNSSEC正變得越來越普遍。許多政府機構和金融機構都在提出DNSSEC要求，因為發布未簽名區域會忽略DNS弱點，并使企業的系統對各種欺騙攻擊開放。企業需考慮部署DNSSEC，從而保護數據。

原文地址：https://www.networkworld.com/article/3298160/internet/how-to-protect-your-infrastructure-from-dns-cache-poisoning.html

作者：Mark Dargin

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】