网易云音乐|五种常见的DNS攻击类型及应对方式

网易云音乐|五种常见的DNS攻击类型及应对方式

随着俄乌冲突中网络战的升级 , DNS安全成为业界关注的焦点 。无论是去年3月份NSA发布的保护性DNS(PDNS)推荐指南 , 还是俄罗斯主权互联网的核心——DNS服务在战争期间的大规模启用 , 都表明DNS安全威胁在不断升级 。
DNS记录着全球域名与IP地址的一一映射关系 , 是互联网中最基础的服务之一 。 由于其在互联网中的重要性以及DNS体系的先天局限性 , DNS很容易成为网络攻击的重要目标 。

根据IDC和Efficient IP最近的一项研究数据显示 , 在北美、欧洲和亚太地区的1100多家受访公司中 , 有87%的公司表示曾受到DNS攻击的影响 。
据分析师称 , DNS攻击造成的平均损失约为95万美元 。 研究人员还注意到通过DNS窃取数据的案件也急剧增加:26%的受访者曾以这种方式窃取敏感的客户数据——这一数字在2020年仅为16% 。
为避免DNS攻击导致的重大损失 , 我们总结了以下五种最常见的DNS攻击类型以及相应的对策 。
一、五种常见的DNS攻击类型1.DNS劫持
DNS劫持又称域名劫持 , 是攻击者利用缺陷对用户的DNS进行篡改 , 将域名由正常IP指向攻击者控制的IP , 从而导致访客被劫持到一个不可达或者假冒的网站 , 以此达到非法窃取用户信息或者破坏正常网络服务的目的 。
【网易云音乐|五种常见的DNS攻击类型及应对方式】DNS劫持可用于DNS域欺骗(攻击者通常目的是为了显示不需要的广告以产生收入)或用于网络钓鱼(为了让用户访问虚假网站并窃取用户的数据和凭据) 。 互联网服务提供商(ISP)也可能通过DNS劫持来接管用户的DNS请求 , 收集统计数据并在用户访问未知域名时返回广告或者屏蔽对特定网站的访问 。
2.DNS放大攻击
DNS放大攻击是一种流行的DDoS攻击形式 , 其中目标系统被来自公共DNS服务器的查询响应淹没 。 攻击者向公共DNS服务器发送DNS名称查询 , 使用受害者的地址作为源地址 , 导致公共DNS服务器的响应都被发送到目标系统 。
攻击者通常会查询尽可能多的域名信息 , 以最大限度地发挥放大效果 。 通过使用僵尸网络 , 攻击者也可以毫不费力地生成大量虚假DNS查询 。 此外 , 由于响应是来自有效服务器的合法数据 , 因此很难防止DNS放大攻击 。
3.DNS缓存投毒
DNS缓存投毒又称DNS欺骗 , 是一种通过查找并利用DNS系统中存在的漏洞 , 将流量从合法服务器引导至虚假服务器上的攻击方式 。
在实际的DNS解析过程中 , 用户请求某个网站 , 浏览器首先会查找本机中的DNS缓存 , 如果DNS缓存中记录了该网站和IP的映射关系 , 就会直接将结果返回给用户 , 用户对所得的IP地址发起访问 。 如果缓存中没有相关记录 , 才会委托递归服务器发起递归查询 。
这种查询机制 , 缩短了全球查询的时间 , 可以让用户获得更快的访问体验 , 但也存在一定的安全风险 。 如果攻击者通过控制用户的主机或者使用恶意软件攻击用户的DNS缓存 , 就可以对DNS缓存中的域名映射关系进行篡改 , 将域名解析结果指向一个虚假IP 。
4.DNS隧道
另一种流行且经验丰富的攻击模式是DNS隧道 。 这种攻击主要利用客户端-服务器模型注入恶意软件和其他数据 。 利用这些数据的有效负载 , 网络犯罪分子可以接管DNS服务器 , 然后可能访问其管理功能和驻留在其上的应用程序 。
DNS隧道通过DNS解析器在攻击者和目标之间创建隐藏连接 , 可绕过防火墙 , 用于实施数据泄露等攻击 。 在大多数情况下 , DNS隧道需要借助能够连接外网的受感染系统作为跳板 , 来访问具有网络访问权限的内部DNS服务器 。