目前，針對域名系統(tǒng)（DNS）的攻擊已經(jīng)成為企業(yè)組織數(shù)字化發(fā)展中的一個嚴(yán)重問題，每年都有數(shù)千個網(wǎng)站成為此類攻擊的受害者。據(jù)最近的研究數(shù)據(jù)顯示，2023年企業(yè)組織與DNS攻擊相關(guān)的損失同比增加了49%，這些損失不僅是在企業(yè)的財務(wù)方面，還包括對組織內(nèi)部系統(tǒng)和云上應(yīng)用造成的損害。

企業(yè)如果要保護(hù)網(wǎng)絡(luò)免受此類攻擊，前提就是要了解不同類型的DNS攻擊，并找到相對應(yīng)的緩解方法。在本文中，研究人員詳細(xì)介紹了當(dāng)前最危險的10種DNS攻擊類型以及原理，并給出了相應(yīng)的預(yù)防建議。

1DNS緩存投毒攻擊

DNS緩存投毒是指在用戶訪問合法網(wǎng)站時，誘使其訪問欺詐性網(wǎng)站。例如當(dāng)用戶需要訪問gmail.com查看電子郵件時，攻擊者通過破壞DNS，顯示了一個欺詐性網(wǎng)站而不是gmail.com頁面，以此來獲取對受害者電子郵件賬戶的訪問權(quán)限。

攻擊原理

 ●DNS緩存允許DNS解析器臨時存儲域名與IP地址的對應(yīng)關(guān)系。

 ●攻擊者利用DNS緩存投毒攻擊，向DNS解析器或目標(biāo)設(shè)備發(fā)送虛假的DNS響應(yīng)，假冒真實(shí)的DNS服務(wù)器。

 ●攻擊者試圖將虛假的DNS記錄放入目標(biāo)設(shè)備的DNS緩存中。

 ●DNS消息具有事務(wù)ID，用于將響應(yīng)與相關(guān)的請求進(jìn)行匹配。

防護(hù)建議

 ●及時更新和修補(bǔ)系統(tǒng)

 ●使用可信賴的DNS服務(wù)器

 ●實(shí)施DNSSEC（DNS安全擴(kuò)展）

 ●監(jiān)控DNS流量

 ●配置防火墻和入侵檢測/防御系統(tǒng)

 ●加密DNS流量

2分布式反射拒絕服務(wù)

分布式反射式拒絕服務(wù)（DRDoS）的攻擊手法是通過發(fā)送大量UDP確認(rèn)消息使目標(biāo)不可用。在某些情況下，攻擊者還可能會修改DNS、NTP等記錄。為了能夠?qū)?shí)際操作在偽造地址上的主機(jī)與更多的確認(rèn)消息關(guān)聯(lián)起來，攻擊者需要使用偽造的源IP地址。當(dāng)這些偽造的確認(rèn)消息開始出現(xiàn)時，目標(biāo)系統(tǒng)將變得難以訪問。當(dāng)這些攻擊以適當(dāng)?shù)囊?guī)模進(jìn)行控制時，集體反射的情況就會變得明顯，即多個終端廣播偽造的UDP請求，生成的確認(rèn)消息將指向單個目標(biāo)。

攻擊原理

 ●DDoS攻擊利用網(wǎng)絡(luò)協(xié)議的特點(diǎn)，使得一個小的請求能夠引發(fā)巨大的響應(yīng)。

 ●攻擊流量并不直接從攻擊者發(fā)送到受害者，而是發(fā)送請求到互聯(lián)網(wǎng)上的弱點(diǎn)服務(wù)器或設(shè)備，這些服務(wù)器或設(shè)備會以更多的流量作出響應(yīng)。

 ●攻擊者會通過僵尸網(wǎng)絡(luò)（botnet）發(fā)起DDoS攻擊。

防護(hù)建議

 ●將服務(wù)器放置在不同的數(shù)據(jù)中心。

 ●確保數(shù)據(jù)中心位于不同的網(wǎng)絡(luò)上。

 ●確保數(shù)據(jù)中心具有多個可訪問路徑。

 ●確保數(shù)據(jù)中心或與數(shù)據(jù)中心相關(guān)聯(lián)的網(wǎng)絡(luò)沒有嚴(yán)重的安全漏洞或單點(diǎn)故障。

3DNS隧道攻擊

這種網(wǎng)絡(luò)攻擊利用 DNS 確認(rèn)和查詢通道，從多個應(yīng)用程序傳輸編碼數(shù)據(jù)。雖然它從未被廣泛使用，但研究人員發(fā)現(xiàn)這項(xiàng)技術(shù)現(xiàn)在開始被攻擊者關(guān)注，因?yàn)樗軌蛞?guī)避接口保護(hù)措施，而入侵者必需要對目標(biāo)系統(tǒng)、域名和 DNS 權(quán)威服務(wù)器進(jìn)行物理訪問才能進(jìn)行 DNS 隧道攻擊。

攻擊原理

 ●域名系統(tǒng)中的隧道需要隱藏不屬于 DNS 查詢或答案的信息。

 ●DNS 隧道利用 DNS 協(xié)議，該協(xié)議主要用于域名解析，其目的不是預(yù)期的原因。

 ●使用 DNS 隧道，可以在常規(guī) DNS 流量中建立秘密的通信路徑。

 ●通過DNS隧道，可以從受感染的網(wǎng)絡(luò)或系統(tǒng)中提取私密數(shù)據(jù)。

防護(hù)建議

 ●創(chuàng)建訪問規(guī)則。

 ●創(chuàng)建協(xié)議對象。

 ●創(chuàng)建應(yīng)用程序規(guī)則。

4TCP SYN洪水攻擊

TCP SYN洪水攻擊是一種危險的拒絕服務(wù)（DDoS）攻擊，可以破壞使用傳輸控制協(xié)議（TCP）進(jìn)行互聯(lián)網(wǎng)通信的任何服務(wù)。常見的基礎(chǔ)設(shè)施組件，如負(fù)載均衡器、防火墻、入侵防御系統(tǒng)（IPS）和利用服務(wù)器，都可能容易受到SYN波攻擊的影響，即使是設(shè)計用于管理數(shù)百萬個連接的高容量設(shè)備也可能因這種攻擊而癱瘓。

攻擊原理

 ●TCP過程有三個步驟：SYN、SYN-ACK 和 ACK。

 ●攻擊者向目標(biāo)服務(wù)器發(fā)送大量 SYN（同步）數(shù)據(jù)包，同時表示他們想要建立新的連接。

 ●目標(biāo)服務(wù)器為每個傳入的 SYN 數(shù)據(jù)包提供系統(tǒng)資源，如 RAM 和有關(guān)連接狀態(tài)的詳細(xì)信息。

 ●攻擊者經(jīng)常偽造SYN數(shù)據(jù)包中的原始IP地址，以增加發(fā)現(xiàn)和阻止的難度。

 ●保留了太多半開放的鏈接，這給目標(biāo)系統(tǒng)的內(nèi)存、CPU 和連接狀態(tài)表造成過大的壓力。

防護(hù)建議

 ●提供對內(nèi)聯(lián)和離線部署的適當(dāng)支持，以確保網(wǎng)絡(luò)上不存在單一的崩潰點(diǎn)。

 ●能夠查看和檢查來自網(wǎng)絡(luò)各個部分的流量。

 ●不同的威脅情報來源，包括統(tǒng)計異常檢測、可自定義的入口警報和已知威脅的指紋，確保快速可靠的檢測。

 ●可擴(kuò)展以處理各種規(guī)模的攻擊，從低端到高端，從高端到低端。

5DNS劫持攻擊

DNS 劫持攻擊在網(wǎng)絡(luò)犯罪領(lǐng)域也很常見。發(fā)生DNS劫持攻擊時，攻擊者會操縱域名查詢的解析服務(wù)，導(dǎo)致訪問被惡意定向至他們控制的非法服務(wù)器，這也被成為DNS投毒或DNS重定向攻擊。除了實(shí)施網(wǎng)絡(luò)釣魚活動的黑客外，這還可能由信譽(yù)良好的實(shí)體（比如ISP）完成，其這么做是為了收集信息，用于統(tǒng)計數(shù)據(jù)、展示廣告及其他用途。

攻擊原理

 ●攻擊者通過未經(jīng)許可進(jìn)入 DNS 服務(wù)器或管理界面來更改域的 DNS 記錄。

 ●DNS黑客可用于誘騙人們訪問看起來很像真實(shí)網(wǎng)站的虛假網(wǎng)站。

 ●攻擊者可以將人員發(fā)送到惡意網(wǎng)站或內(nèi)部漏洞利用工具包。

 ●在一些DNS劫持攻擊中，官方DNS服務(wù)器或互聯(lián)網(wǎng)服務(wù)提供商（ISP）的DNS解析器被黑客入侵。

防護(hù)建議

 ●檢查網(wǎng)絡(luò)上的解析器。

 ●嚴(yán)格限制對名稱服務(wù)器的訪問。

 ●采取措施防范緩存污染。

 ●即時修補(bǔ)已知漏洞。

 ●分隔權(quán)威名稱來自解析程序的服務(wù)器。

 ●限制區(qū)域的更改。

6幻域攻擊

幻域攻擊與普通子域名攻擊類似，在這種類型的攻擊中，由于一些“幻影”域名從不響應(yīng)DNS查詢，攻擊者會通過大量查詢耗盡DNS解析器的資源。這種攻擊的目的是使DNS解析器在放棄或提供不良響應(yīng)之前等待過長的時間，從而大量影響DNS的性能。

防護(hù)建議

 ●增加遞歸客戶端數(shù)量。

 ●使用參數(shù)的正確順序以獲得最佳結(jié)果。

 ●限制每個服務(wù)器的遞歸查詢和每個區(qū)域的遞歸查詢。 ●啟用對不響應(yīng)的服務(wù)器的抑制，并檢查每個區(qū)域的遞歸查詢。

7DNS 洪水攻擊

DNS洪水攻擊屬于分布式拒絕服務(wù)（DDoS）攻擊的一種，主要目標(biāo)是使服務(wù)器訪問過載，使其無法繼續(xù)為DNS請求提供服務(wù)。當(dāng)這種類型的攻擊來自單個 IP地址時很容易緩解。然而，當(dāng) DDoS 涉及數(shù)百或數(shù)千人時，情況可能會變得復(fù)雜。緩解方法有時可能很棘手，因?yàn)樵S多查詢會很快被識別為惡意錯誤，并且會發(fā)出許多有效的請求來混淆防御設(shè)備。

攻擊原理

 ●嘗試通過一次性發(fā)送大量DNS請求來破壞DNS服務(wù)器或系統(tǒng)；

 ●用戶數(shù)據(jù)報協(xié)議（UDP）和傳輸控制協(xié)議（TCP）都可以用于進(jìn)行DNS洪水攻擊；

 ●通過使用不安全的DNS解析器或合法DNS服務(wù)器來增加發(fā)送的數(shù)據(jù)量。

防護(hù)建議

 ●任何存儲在DNS中并成為分布式拒絕服務(wù)（DDoS）洪水攻擊目標(biāo)的域名信息都將無法訪問。

 ●定期更新舊信息，并跟蹤在許多DNS提供商中接收到最多查詢的域名。

8隨機(jī)子域攻擊

隨機(jī)子域名攻擊的構(gòu)造與簡單的拒絕服務(wù)攻擊（DoS）基本相同，因此通常被視為DoS攻擊。此類攻擊的目標(biāo)是創(chuàng)建一個拒絕服務(wù)（DoS）攻擊，以超負(fù)荷運(yùn)行負(fù)責(zé)處理主域名的官方DNS服務(wù)器，從而阻止DNS記錄的查詢。這些請求通常將來被感染的訪問用戶，他們并不知道自己在發(fā)送特定類型的查詢，使得這種攻擊很難被識別和阻止。

攻擊原理

 ●攻擊者可以通過隨機(jī)子域名攻擊在現(xiàn)有域名上創(chuàng)建大量子域；

 ●作為快速流轉(zhuǎn)方法的一部分，攻擊者會非常快速地更改與子域名相關(guān)聯(lián)的IP地址；

 ●攻擊者使用DGA（域名生成算法）創(chuàng)建大量看似隨機(jī)選擇的域名或子域；

 ●在隨機(jī)子域攻擊中，隨機(jī)創(chuàng)建的子域名可能托管惡意軟件或其他有害內(nèi)容。

防護(hù)建議

 ●了解與受害者相關(guān)的解析器和網(wǎng)絡(luò)資源產(chǎn)生大量流量的攻擊技術(shù)

 ●了解保護(hù)激發(fā)攻擊的DNS解析器的現(xiàn)代功能，如響應(yīng)速率限制

9僵尸網(wǎng)絡(luò)攻擊

僵尸網(wǎng)絡(luò)是一組受感染的 Internet 連接設(shè)備，可用于發(fā)起協(xié)調(diào)的拒絕服務(wù)攻擊，在此期間，受感染的設(shè)備可用于竊取信息、發(fā)送垃圾郵件，并授予攻擊者對受感染設(shè)備及其網(wǎng)絡(luò)連接的完全控制權(quán)。

攻擊原理

 ●當(dāng)許多計算機(jī)感染類似機(jī)器人或僵尸等軟件時，它們會形成僵尸網(wǎng)絡(luò)。

 ●僵尸網(wǎng)絡(luò)由攻擊者通常保持的中央命令和控制計算機(jī)運(yùn)行。

 ●攻擊者可以使用僵尸網(wǎng)絡(luò)同時控制許多被黑客入侵設(shè)備的操作，從不同的地方發(fā)起協(xié)同攻擊。

 ●分布式拒絕服務(wù) （DDoS） 攻擊通常利用僵尸網(wǎng)絡(luò)發(fā)動。

防護(hù)建議

 ●正確了解漏洞。

 ●保護(hù) IoT 設(shè)備。

 ●確定緩解措施是否真實(shí)可行。

 ●發(fā)現(xiàn)、分類和控制漏洞。

10域名（Domain）劫持

在這種攻擊中，攻擊者會修改域名注冊商和 DNS 服務(wù)器，以便將用戶的流量重新路由到其他地方。如果攻擊者獲得了DNS 數(shù)據(jù)的控制權(quán)，則域名劫持也可能發(fā)生在 DNS層面上。當(dāng)攻擊者控制用戶的域名時，他們可以使用它來發(fā)起攻擊，例如為 PayPal、Visa 或銀行系統(tǒng)等支付系統(tǒng)設(shè)置虛假頁面。

攻擊原理

●域名劫持是指某人非法奪取合法所有者的域名所有權(quán)。

●如果攻擊者控制了域名，他們可以更改其DNS設(shè)置。

●攻擊者可能添加新的子域名或更改現(xiàn)有的子域名，以使他們的惡意行為更加有效。

防護(hù)建議

●升級應(yīng)用程序基礎(chǔ)結(jié)構(gòu)中的 DNS。

●使用DNSSEC（DNS安全擴(kuò)展）。

●保護(hù)訪問權(quán)限。

●啟用客戶端鎖定功能。

參考鏈接：https://cybersecuritynews.com/dns-attacks/