新發現DNS安全漏洞影響巨大，政企如何做好DNS安全防護？

在不久前召開的美國黑帽安全大會上，雲安全公司Wiz的研究人員披露了一項影響託管DNS服務商的新問題。利用這個bug，攻擊者可以劫持平臺節點、攔截部分傳入的DNS流量並據此對映客戶的內部網路。
該問題影響到了亞馬遜、谷歌等 DNS託管服務的廣大企業客戶。該漏洞一旦被利用，可能會給企業甚至國家帶來巨大的安全風險，正如Wiz.io研究人員所描述：“這個新的DNS漏洞使國家級別的竊密活動像註冊域名一樣簡單！”

漏洞原理
很多企業為了減輕DNS伺服器的管理負擔，或者為了更好的安全保障，常常會選擇購買AWS Route53、Google Cloud Platform等託管服務。

但是，這些DNS服務供應商並沒有將自己的DNS伺服器列入黑名單，這樣導致的結果是攻擊者可以將DNS服務商的名稱伺服器新增到後端，並將其指向內部網路，從而藉此劫持DNS流量。

如此一來，Wiz團隊就能順利劫持被髮送至託管DNS服務商伺服器處的DNS流量。但從實際測試來看，Wiz團隊並沒有收到經由該伺服器的所有DNS流量，只是收到了大量動態DNS更新。動態DNS更新是指工作站在內部網路中的IP地址或其他詳細資訊發生變化時傳送到 DNS 伺服器的特殊 DNS 訊息。這些資料包括了每個系統內部和外部的IP地址以及計算機名稱。透過這些動態DNS更新資料已經足以繪製使用同一託管DNS伺服器的其他企業的內網結構圖。

漏洞影響

研究人員目前還尚未發現該DNS漏洞之前被利用的證據。但是該漏洞的影響非常大。研究人員在分析的6個主要的DNSaaS提供商中發現3個受到域名伺服器註冊的影響。此外，所有提供DNSaaS的雲服務提供商、域名註冊商、網站主機都可能受到該漏洞的影響。

在進行測試的14個小時當中，Wiz團隊成功從15000多個組織處收集到動態DNS更新，其中涉及130多家政府機構與不少財富五百強企業。這部分洩露資料包括各系統的內部與外部IP地址、計算機名稱，在某些極端情況下甚至涉及員工姓名。

這類資料有著廣泛的用途，包括確定高價值企業的內部結構、識別域控制器，然後以遠超傳統隨機傳送垃圾郵件等高針對性精準方式向目標發起攻擊。

漏洞補丁更新

研究人員表示發現三家DNS即服務提供商易受該漏洞影響，其中兩家是亞馬遜和谷歌，它們已推出更新，而第三家正在著手推出補丁。亞馬遜和谷歌的發言人指出已修復這個漏洞，目前已在後端阻止自己的域名註冊。另外，研究人員認為有十幾家DNS即服務提供商也很可能易受類似攻擊影響。微軟建議企業按照《和啟用Windows Server DNS 安全更新有關的指南》和《與網路安全最佳實踐相關的其它資訊》兩個指南（可在微軟官方文件中找到）阻止DNS動態更新暴露到網際網路上。

對DNS的防護

DNS從誕生至今已經有數十年曆史，是網際網路最重要的基礎服務之一，它承擔著將域名指向可由計算機識別的IP地址的重要作用，因此DNS的安全是保障網路安全暢通的核心和基礎。

但正因為DNS如此重要的作用，其一旦出現漏洞或遭受攻擊，必然會對網路的正常訪問和使用造成嚴重影響，給政府和企業帶來巨大的損失。

傳統的DNS一般只部署一個解析節點，防護能力和解析效能較弱，如果使用者訪問量過大或者遭受惡意的DDoS攻擊，很容易導致線路擁堵、伺服器的當機，造成嚴重影響。

中科三方智慧雲解析系統，在全球部署多個解析服務節點，具備智慧線路選擇、智慧區域劃分、負載均衡、當機切換等特點，可有效分攤大流量訪問和攻擊，確保解析線路暢通和穩定；同時中科三方雲解析系統採用高防DNS，可提供更高的防護流量，承受更大規模的DDoS攻擊和QPS查詢，免遭DNS漏洞和DNS攻擊的影響，有效保護使用者的域名及網路安全。

因此，對於政府部門、金融、科研、大型企業這樣的重要領域重要客戶而言，選擇防護及解析效能更為強大的雲解析服務，是應對DNS漏洞和攻擊，保障解析穩定、網路安全的有效選擇和途徑。

與此同時，我們也應該清晰地認識到DNS的建設是一個系統工程，DNS的安全防護涉及諸多維度。面對頻繁發生的DNS安全漏洞，政府和企業必須提高重視程度，及時檢測發現，及時填補漏洞，避免造成更大的損失。