域名系统(DNS)攻击很普遍,每年都有数百个网站成为此类攻击的受害者。为了保护网络免受此类攻击,重要的是要了解不同类型的 DNS 攻击以及最佳的缓解方法。
DNS 攻击是一种网络攻击,攻击者利用该攻击利用域名系统中的漏洞。这是网络安全中的一个严重问题,因为 DNS 系统是 Internet 基础结构的关键部分,同时它具有许多安全漏洞。
可以通过多种不同方式来攻击 DNS。DNS 反射攻击,DoS,DDoS 和 DNS 中毒只是 DNS 容易受到的某些攻击类型。在本文中,我们将讨论 DNS 攻击以及如何应对它们。
什么是 DNS?
域名系统(DNS)是一种结构化的命名系统,Internet 设备使用它来查找在线资源。话虽如此,互联网上的每个网站都有一个唯一的互联网协议(IP)地址,但是对于人类来说,由于每个网站都是字母数字,因此很难通过其 IP 地址来调用它们。
在 DNS 基础结构方面,有两个主要组件组成系统,它们是承载 IP 信息的权威服务器和参与 IP 信息搜索的递归服务器。
在深入探讨攻击如何发生之前,让我们先了解一下DNS或域名系统的工作原理。
为简单起见,请将 DNS 视为一本庞大的电话簿,它指的是分配了域名的 IP 地址。您的浏览器不“了解”域名 – 要检索网站,它需要托管该网站的服务器的 IP 地址。因此,当您输入域名时,此 DNS 电话簿会找到要连接的 IP。
DNS 攻击的类型
1、DNS Floods
DNS Floods 使用分布式拒绝服务(DDoS)攻击向量将域名系统服务器作为目标,并用于中断对某些域的访问。
攻击者使用 DNS Floods 来充斥大量带有非法请求的 DNS 递归服务器,从而阻止它们充分处理合法查询。它们通常从多个位置,设备和 IP 吸引流量,因此很难区分正常流量和“生成的”流量。
该方案通常利用控制数以千计的 IoT 和被入侵计算机的僵尸网络来实现,其源 IP 地址使用脚本进行了欺骗。
解决方案
防止域 Floods 攻击的方法有很多,其中包括安装 IP 验证协议。机器学习异常检测和阻止系统是最好的选择。如果问题特别严重且缺少此类拦截措施,则停用递归 DNS 服务器将通过防止更多中继来缓解此问题。
将请求限制为仅来自授权客户的请求是解决问题的另一种方法。在权威服务器上具有低响应速率限制(RRL)配置也可以。
2、DNS 缓存中毒
DNS 缓存中毒涉及恶意实体对 DNS 服务器的操纵,以将流量重定向到合法服务器之外。基本上,这是服务器到服务器的策略。
例如,攻击者可以更改 Instagram DNS 服务器上的信息,使其指向其它 IP。在大多数情况下,重定向会将访问者引导到受黑客控制的站点,在该站点中执行网络钓鱼,XSS 和其他漏洞攻击。
在某些情况下,可以通过针对 Internet 服务提供商来扩大攻击范围,尤其是当其中几个依赖特定服务器来检索 DNS 数据时。一旦主服务器受到威胁,感染就会变得系统化,并可能影响连接到网络的客户路由器。
缓存中毒是一种伪造 DNS 的方法,当特定的 DNS 缓存被伪造的 DNS 条目代替时,该伪造的 DNS 条目提供了相同名称服务器的另一个 IP 目标而不是实际的名称服务器。也就是说,您的个人电话簿的候选列表已损坏,因此,您不必打电话给父母,而是给其他人打电话,因为坏人替换了您个人电话簿中的 IP。
解决方案
为了防止这些类型的攻击,应配置 DNS 服务器,以减少对外部网络服务器的依赖。这样可以防止攻击者 DNS 服务器与目标服务器进行通信。
在服务器上安装最新的 BIND 版本也有帮助。这是因为升级后的版本具有受密码保护的事务处理技术,并且具有可缓解攻击的端口随机化功能。
您还可以通过限制 DNS 响应以仅提供有关所查询域的特定信息,而只是忽略“任何”请求来防止攻击。响应任何请求会强制 DNS 解析器使用有关所请求域的更多信息。这包括 MX 记录,A 记录等。附加信息会消耗更多的系统资源,并扩大攻击的规模。
3、分布式反射拒绝服务(DRDoS)攻击
分布式反射式拒绝服务(DRDoS)攻击试图通过发送大量用户数据报协议(UDP)请求来淹没 DNS 基础结构。
受损的端点通常用于执行此操作。UDP 数据包在 IP 之上工作以向 DNS 解析器发出请求。该策略之所以受到青睐,是因为 UDP 通信协议没有传递确认要求,并且请求也可以重复。这使创建 DNS 拥塞变得容易。
在这种情况下,目标 DNS 解析器会尝试响应虚假请求,但被迫发出大量错误响应并最终变得不知所措。
解决方案
分布式反射拒绝服务(DRDoS)攻击是 DDoS 攻击的一种形式,为了防止这种情况,应执行入口网络过滤的应用程序以防止欺骗。由于查询是通过 DNS 解析器进行的,因此将其配置为仅解析来自某些 IP 地址的请求将有助于缓解此问题。
这通常需要禁用开放递归,从而减少 DNS 攻击漏洞。开放式递归导致服务器接受来自任何IP地址的 DNS 请求,这为攻击者打开了基础架构。
设置响应速率限制(RRL)也可以防止 DRDoS 发生。这可以通过设置速率限制上限来实现。这种机制使权威服务器无法处理过多的查询。
4、NXDOMAIN 攻击
在 NXDOMAIN DNS 攻击中,目标服务器被无效的记录请求所淹没。在这种情况下,通常以 DNS 代理服务器(解析器)为目标。他们的任务是查询 DNS 权威服务器以搜索域信息。
无效请求使 DNS 代理服务器和权威服务器参与,并触发 NXDOMAIN 错误响应并导致网络延迟问题。大量的请求最终会导致 DNS 系统出现性能问题。
解决方案
可以通过使服务器随着时间的推移保留有关有效请求的更多缓存信息来防止 NXDOMAIN DNS 攻击。此配置确保即使在攻击过程中,合法请求仍然可以通过而无需进行额外的缓存。这样,可以容易地提取所请求的信息。
该方案中使用的可疑域和服务器也可以被阻止,从而释放资源。
5、幻影域名攻击
在执行虚拟域攻击时,攻击者首先配置一组域,以使它们在收到 DNS 查询后便不会响应或响应速度很慢。在这种情况下,以递归服务器为目标。
长时间的响应暂停会导致未解决的请求积压,从而阻塞网络并占用宝贵的服务器资源。最终,该方案阻止了合法 DNS 请求的处理,并阻止了用户访问目标域。
解决方案
为了减轻幻影域名攻击,限制每台服务器上连续递归请求的数量将有所帮助。每个区域可以进一步限制它们。
在 DNS 服务器上启用对无响应服务器的请求的抑制,也可以防止系统不堪重负。此功能限制了无响应的服务器达到特定阈值后对其进行的连续尝试次数。增加递归服务器的数量也可以。
避免 DNS 危险
每年,DNS 攻击者都会想出一系列诡异的技巧来摧毁关键的在线基础架构,并且损失可能是巨大的。对于严重依赖在线域的个人和企业,遵循最佳实践准则并安装最新的 DNS 阻止技术将在很大程度上防止它们出现问题。
结婚不一定是为了幸福,但离婚一定是。
其它相关资源:
Windows 10 系统激活的几种方式你可以了解一下
重装 Windows 系统之前你需要做些什么?
赶紧上车,德国阿香婆 Ashampoo 系列正版软件免费领取活动来啦!!!
