目前,針對域名系統(DNS)的攻擊已經成為企業組織數字化發展中的一個嚴重問題,每年都有數千個網站成為此類攻擊的受害者。據最近的研究數據顯示,2023年企業組織與DNS攻擊相關的損失同比增加了49%,這些損失不僅是在企業的財務方面,還包括對組織內部系統和云上應用造成的損害。
企業如果要保護網絡免受此類攻擊,前提就是要了解不同類型的DNS攻擊,并找到相對應的緩解方法。在本文中,研究人員詳細介紹了當前最危險的10種DNS攻擊類型以及原理,并給出了相應的預防建議。
1DNS緩存投毒攻擊
DNS緩存投毒是指在用戶訪問合法網站時,誘使其訪問欺詐性網站。例如當用戶需要訪問gmail.com查看電子郵件時,攻擊者通過破壞DNS,顯示了一個欺詐性網站而不是gmail.com頁面,以此來獲取對受害者電子郵件賬戶的訪問權限。
攻擊原理
●DNS緩存允許DNS解析器臨時存儲域名與IP地址的對應關系。
●攻擊者利用DNS緩存投毒攻擊,向DNS解析器或目標設備發送虛假的DNS響應,假冒真實的DNS服務器。
●攻擊者試圖將虛假的DNS記錄放入目標設備的DNS緩存中。
●DNS消息具有事務ID,用于將響應與相關的請求進行匹配。
防護建議
●及時更新和修補系統
●使用可信賴的DNS服務器
●實施DNSSEC(DNS安全擴展)
●監控DNS流量
●配置防火墻和入侵檢測/防御系統
●加密DNS流量
2分布式反射拒絕服務
分布式反射式拒絕服務(DRDoS)的攻擊手法是通過發送大量UDP確認消息使目標不可用。在某些情況下,攻擊者還可能會修改DNS、NTP等記錄。為了能夠將實際操作在偽造地址上的主機與更多的確認消息關聯起來,攻擊者需要使用偽造的源IP地址。當這些偽造的確認消息開始出現時,目標系統將變得難以訪問。當這些攻擊以適當的規模進行控制時,集體反射的情況就會變得明顯,即多個終端廣播偽造的UDP請求,生成的確認消息將指向單個目標。
攻擊原理
●DDoS攻擊利用網絡協議的特點,使得一個小的請求能夠引發巨大的響應。
●攻擊流量并不直接從攻擊者發送到受害者,而是發送請求到互聯網上的弱點服務器或設備,這些服務器或設備會以更多的流量作出響應。
●攻擊者會通過僵尸網絡(botnet)發起DDoS攻擊。
防護建議
●將服務器放置在不同的數據中心。
●確保數據中心位于不同的網絡上。
●確保數據中心具有多個可訪問路徑。
●確保數據中心或與數據中心相關聯的網絡沒有嚴重的安全漏洞或單點故障。
3DNS隧道攻擊
這種網絡攻擊利用 DNS 確認和查詢通道,從多個應用程序傳輸編碼數據。雖然它從未被廣泛使用,但研究人員發現這項技術現在開始被攻擊者關注,因為它能夠規避接口保護措施,而入侵者必需要對目標系統、域名和 DNS 權威服務器進行物理訪問才能進行 DNS 隧道攻擊。
攻擊原理
●域名系統中的隧道需要隱藏不屬于 DNS 查詢或答案的信息。
●DNS 隧道利用 DNS 協議,該協議主要用于域名解析,其目的不是預期的原因。
●使用 DNS 隧道,可以在常規 DNS 流量中建立秘密的通信路徑。
●通過DNS隧道,可以從受感染的網絡或系統中提取私密數據。
防護建議
●創建訪問規則。
●創建協議對象。
●創建應用程序規則。
4TCP SYN洪水攻擊
TCP SYN洪水攻擊是一種危險的拒絕服務(DDoS)攻擊,可以破壞使用傳輸控制協議(TCP)進行互聯網通信的任何服務。常見的基礎設施組件,如負載均衡器、防火墻、入侵防御系統(IPS)和利用服務器,都可能容易受到SYN波攻擊的影響,即使是設計用于管理數百萬個連接的高容量設備也可能因這種攻擊而癱瘓。
攻擊原理
●TCP過程有三個步驟:SYN、SYN-ACK 和 ACK。
●攻擊者向目標服務器發送大量 SYN(同步)數據包,同時表示他們想要建立新的連接。
●目標服務器為每個傳入的 SYN 數據包提供系統資源,如 RAM 和有關連接狀態的詳細信息。
●攻擊者經常偽造SYN數據包中的原始IP地址,以增加發現和阻止的難度。
●保留了太多半開放的鏈接,這給目標系統的內存、CPU 和連接狀態表造成過大的壓力。
防護建議
●提供對內聯和離線部署的適當支持,以確保網絡上不存在單一的崩潰點。
●能夠查看和檢查來自網絡各個部分的流量。
●不同的威脅情報來源,包括統計異常檢測、可自定義的入口警報和已知威脅的指紋,確保快速可靠的檢測。
●可擴展以處理各種規模的攻擊,從低端到高端,從高端到低端。
5DNS劫持攻擊
DNS 劫持攻擊在網絡犯罪領域也很常見。發生DNS劫持攻擊時,攻擊者會操縱域名查詢的解析服務,導致訪問被惡意定向至他們控制的非法服務器,這也被成為DNS投毒或DNS重定向攻擊。除了實施網絡釣魚活動的黑客外,這還可能由信譽良好的實體(比如ISP)完成,其這么做是為了收集信息,用于統計數據、展示廣告及其他用途。
攻擊原理
●攻擊者通過未經許可進入 DNS 服務器或管理界面來更改域的 DNS 記錄。
●DNS黑客可用于誘騙人們訪問看起來很像真實網站的虛假網站。
●攻擊者可以將人員發送到惡意網站或內部漏洞利用工具包。
●在一些DNS劫持攻擊中,官方DNS服務器或互聯網服務提供商(ISP)的DNS解析器被黑客入侵。
防護建議
●檢查網絡上的解析器。
●嚴格限制對名稱服務器的訪問。
●采取措施防范緩存污染。
●即時修補已知漏洞。
●分隔權威名稱來自解析程序的服務器。
●限制區域的更改。
6幻域攻擊
幻域攻擊與普通子域名攻擊類似,在這種類型的攻擊中,由于一些“幻影”域名從不響應DNS查詢,攻擊者會通過大量查詢耗盡DNS解析器的資源。這種攻擊的目的是使DNS解析器在放棄或提供不良響應之前等待過長的時間,從而大量影響DNS的性能。
防護建議
●增加遞歸客戶端數量。
●使用參數的正確順序以獲得最佳結果。
●限制每個服務器的遞歸查詢和每個區域的遞歸查詢。●啟用對不響應的服務器的抑制,并檢查每個區域的遞歸查詢。
7DNS 洪水攻擊
DNS洪水攻擊屬于分布式拒絕服務(DDoS)攻擊的一種,主要目標是使服務器訪問過載,使其無法繼續為DNS請求提供服務。當這種類型的攻擊來自單個 IP地址時很容易緩解。然而,當 DDoS 涉及數百或數千人時,情況可能會變得復雜。緩解方法有時可能很棘手,因為許多查詢會很快被識別為惡意錯誤,并且會發出許多有效的請求來混淆防御設備。
攻擊原理
●嘗試通過一次性發送大量DNS請求來破壞DNS服務器或系統;
●用戶數據報協議(UDP)和傳輸控制協議(TCP)都可以用于進行DNS洪水攻擊;
●通過使用不安全的DNS解析器或合法DNS服務器來增加發送的數據量。
防護建議
●任何存儲在DNS中并成為分布式拒絕服務(DDoS)洪水攻擊目標的域名信息都將無法訪問。
●定期更新舊信息,并跟蹤在許多DNS提供商中接收到最多查詢的域名。
8隨機子域攻擊
隨機子域名攻擊的構造與簡單的拒絕服務攻擊(DoS)基本相同,因此通常被視為DoS攻擊。此類攻擊的目標是創建一個拒絕服務(DoS)攻擊,以超負荷運行負責處理主域名的官方DNS服務器,從而阻止DNS記錄的查詢。這些請求通常將來被感染的訪問用戶,他們并不知道自己在發送特定類型的查詢,使得這種攻擊很難被識別和阻止。
攻擊原理
●攻擊者可以通過隨機子域名攻擊在現有域名上創建大量子域;
●作為快速流轉方法的一部分,攻擊者會非常快速地更改與子域名相關聯的IP地址;
●攻擊者使用DGA(域名生成算法)創建大量看似隨機選擇的域名或子域;
●在隨機子域攻擊中,隨機創建的子域名可能托管惡意軟件或其他有害內容。
防護建議
●了解與受害者相關的解析器和網絡資源產生大量流量的攻擊技術
●了解保護激發攻擊的DNS解析器的現代功能,如響應速率限制
9僵尸網絡攻擊
僵尸網絡是一組受感染的 Internet 連接設備,可用于發起協調的拒絕服務攻擊,在此期間,受感染的設備可用于竊取信息、發送垃圾郵件,并授予攻擊者對受感染設備及其網絡連接的完全控制權。
攻擊原理
●當許多計算機感染類似機器人或僵尸等軟件時,它們會形成僵尸網絡。
●僵尸網絡由攻擊者通常保持的中央命令和控制計算機運行。
●攻擊者可以使用僵尸網絡同時控制許多被黑客入侵設備的操作,從不同的地方發起協同攻擊。
●分布式拒絕服務 (DDoS) 攻擊通常利用僵尸網絡發動。
防護建議
●正確了解漏洞。
●保護 IoT 設備。
●確定緩解措施是否真實可行。
●發現、分類和控制漏洞。
10域名(Domain)劫持
在這種攻擊中,攻擊者會修改域名注冊商和 DNS 服務器,以便將用戶的流量重新路由到其他地方。如果攻擊者獲得了DNS 數據的控制權,則域名劫持也可能發生在 DNS層面上。當攻擊者控制用戶的域名時,他們可以使用它來發起攻擊,例如為 PayPal、Visa 或銀行系統等支付系統設置虛假頁面。
攻擊原理
●域名劫持是指某人非法奪取合法所有者的域名所有權。
●如果攻擊者控制了域名,他們可以更改其DNS設置。
●攻擊者可能添加新的子域名或更改現有的子域名,以使他們的惡意行為更加有效。
防護建議
●升級應用程序基礎結構中的 DNS。
●使用DNSSEC(DNS安全擴展)。
●保護訪問權限。
●啟用客戶端鎖定功能。
參考鏈接:https://cybersecuritynews.com/dns-attacks/
