隨著俄烏衝突中網路戰的升級，DNS安全成為業界關注的焦點。 無論是去年3月份NSA釋出的保護性DNS（PDNS）推薦指南，還是俄羅斯主權網際網路的核心——DNS服務在戰爭期間的大規模啟用，都表明DNS安全威脅在不斷升級。

DNS記錄著全球域名與IP地址的一一對映關係，是網際網路中最基礎的服務之一。由於其在網際網路中的重要性以及DNS體系的先天侷限性，DNS很容易成為網路攻擊的重要目標。

根據IDC和Efficient IP最近的一項研究資料顯示，在北美、歐洲和亞太地區的1100多家受訪公司中，有87%的公司表示曾受到DNS攻擊的影響。

據分析師稱，DNS攻擊造成的平均損失約為95萬美元。研究人員還注意到透過DNS竊取資料的案件也急劇增加：26%的受訪者曾以這種方式竊取敏感的客戶資料——這一數字在2020年僅為16%。

為避免DNS攻擊導致的重大損失，我們總結了以下五種最常見的DNS攻擊型別以及相應的對策。

一、五種常見的DNS攻擊型別

1.DNS劫持

DNS劫持又稱域名劫持，是攻擊者利用缺陷對使用者的DNS進行篡改，將域名由正常IP指向攻擊者控制的IP，從而導致訪客被劫持到一個不可達或者假冒的網站，以此達到非法竊取使用者資訊或者破壞正常網路服務的目的。

DNS劫持可用於DNS域欺騙（攻擊者通常目的是為了顯示不需要的廣告以產生收入）或用於網路釣魚（為了讓使用者訪問虛假網站並竊取使用者的資料和憑據）。網際網路服務提供商（ISP）也可能透過DNS劫持來接管使用者的DNS請求，收集統計資料並在使用者訪問未知域名時返回廣告或者遮蔽對特定網站的訪問。

2.DNS放大攻擊

DNS放大攻擊是一種流行的DDoS攻擊形式，其中目標系統被來自公共DNS伺服器的查詢響應淹沒。攻擊者向公共DNS伺服器傳送DNS名稱查詢，使用受害者的地址作為源地址，導致公共DNS伺服器的響應都被髮送到目標系統。

攻擊者通常會查詢儘可能多的域名資訊，以最大限度地發揮放大效果。透過使用殭屍網路，攻擊者也可以毫不費力地生成大量虛假DNS查詢。此外，由於響應是來自有效伺服器的合法資料，因此很難防止DNS放大攻擊。

3.DNS快取投毒

DNS快取投毒又稱DNS欺騙，是一種透過查詢並利用DNS系統中存在的漏洞，將流量從合法伺服器引導至虛假伺服器上的攻擊方式。

在實際的DNS解析過程中，使用者請求某個網站，瀏覽器首先會查詢本機中的DNS快取，如果DNS快取中記錄了該網站和IP的對映關係，就會直接將結果返回給使用者，使用者對所得的IP地址發起訪問。如果快取中沒有相關記錄，才會委託遞迴伺服器發起遞迴查詢。

這種查詢機制，縮短了全球查詢的時間，可以讓使用者獲得更快的訪問體驗，但也存在一定的安全風險。如果攻擊者透過控制使用者的主機或者使用惡意軟體攻擊使用者的DNS快取，就可以對DNS快取中的域名對映關係進行篡改，將域名解析結果指向一個虛假IP。

4.DNS隧道

另一種流行且經驗豐富的攻擊模式是DNS隧道。這種攻擊主要利用客戶端-伺服器模型注入惡意軟體和其他資料。利用這些資料的有效負載，網路犯罪分子可以接管DNS伺服器，然後可能訪問其管理功能和駐留在其上的應用程式。

DNS隧道透過DNS解析器在攻擊者和目標之間建立隱藏連線，可繞過防火牆，用於實施資料洩露等攻擊。在大多數情況下，DNS隧道需要藉助能夠連線外網的受感染系統作為跳板，來訪問具有網路訪問許可權的內部DNS伺服器。

5.殭屍網路反向代理（Fast Flux）

Fast Flux是一種DNS規避技術，攻擊者使用殭屍網路隱藏其網路釣魚和惡意軟體活動，逃避安全掃描。攻擊者會使用受感染主機的動態IP地址充當後端殭屍網路主機的反向代理。Fast Flux也可透過組合使用點對點網路、分散式命令和控制、基於Web的負載平衡和代理重定向等方法，使惡意軟體網路更難被檢測到。

二DNS攻擊應對方式

1.採用更嚴格的訪問控制

企業應採用更嚴格的網路訪問控制策略，使用雙因素或多因素身份驗證，以更好地控制哪些使用者可以訪問他們的網路。

CISA建議公司定期更改所有可用於更改DNS記錄的帳戶的密碼，包括公司管理的DNS伺服器軟體上的帳戶、管理該軟體的系統、DNS運營商的管理皮膚和DNS註冊商帳戶，DNS管理平臺儘量避免採用與其他平臺相同和類似的賬號密碼，以防止駭客採用遍歷手段獲取DNS解析和管理許可權。

2.部署零信任方案

零信任方法越來越受歡迎，部分原因在於許多組織已經採用了混合和遠端工作模式。零信任還可以幫助緩解DNS威脅。

Gartner建議安全和風險領導者實施兩個與網路相關的關鍵零信任專案以降低風險：一個是零信任網路訪問(ZTNA)，它根據使用者及其裝置的身份、時間和日期、地理位置、歷史使用模式和裝置執行狀況等其他因素授予訪問許可權。根據Gartner的說法，零信任能提供一個安全且有彈性的環境，具有更大的靈活性和更好的監控。第二個是基於身份的網路分段，這也是一種久經考驗的方法，可以限制攻擊者在網路中橫向移動的能力。

3.檢查/驗證DNS記錄

建議企業及時檢查擁有和管理的所有域名，確保名稱伺服器引用正確的DNS伺服器，這一點至關重要；檢查所有權威和輔助DNS伺服器上的所有DNS記錄，發現任何差異和異常，將其視為潛在的安全事件，及時查詢原因並解決。

4.接入高防服務

在做好以上常規網路安全措施基礎之上，廣大企業還需要接入更專業的DNS高防服務。中科三方雲解析支援高防DNS，可有效應對DDoS攻擊、DNS query查詢等常見的網路攻擊，實時監測域名安全狀況，避免因DNS劫持、DNS汙染對網站域名帶來的影響。

中科三方雲盾可實時攔截OWASP、CVE、CNVD、0day/1day等各種漏洞，支援智慧備源，針對源伺服器內容被篡改、破壞、甚至當機的情況，代替源伺服器向訪客提供業務系統備份資料，全方位阻斷各種網路攻擊，保護企業網路安全。

…

隨著技術的發展，DNS攻擊數量快速增加，攻擊手段愈發多樣，對廣大政企的威脅日益凸顯，因此網站管理者和運營者一定要提高警惕，選擇正規專業的域名解析服務商，定期檢查域名解析情況，發現問題及時與服務商聯絡，才能有效應對各種DNS攻擊型別，保障廣大政企網站業務的正常開展。