《DNS攻擊防範科普系列1》—你的DNS伺服器真的安全麼?
DNS伺服器,即域名伺服器,它作為域名和IP地址之間的橋樑,在網際網路訪問中,起到至關重要的作用。每一個網際網路上的域名,背後都至少有一個對應的DNS。對於一個企業來說,如果你的DNS伺服器因為攻擊而無法使用,整個企業的網站、郵箱、辦公系統將全部癱瘓,這意味著對你造成的是成千上萬個使用者的不可訪問,將產生不可估量的影響。你的DNS伺服器是否受到過安全威脅,它現在真的安全麼?
DNS面臨著各種各樣的網路安全威脅,它一直是網路基礎架構中較弱的一環。 我們先來看看DNS伺服器的威脅之一:DDoS攻擊。DDoS攻擊,即分散式拒絕服務攻擊,攻擊者透過控制大量的傀儡機,對目標主機發起洪水攻擊,造成伺服器癱瘓。 DDoS攻擊通常分為流量型攻擊和應用型攻擊。以bps為單位的流量型的攻擊,這類攻擊會瞬間堵塞網路頻寬;以qps為單位的應用層攻擊,主要是將伺服器的資源耗盡,攻擊將造成DNS伺服器反應緩慢直至再也無法響應正常的請求。DNS服務易受攻擊的原因,除了專門針對DNS伺服器發起的;還有就是利用DNS服務的特點,用“DNS放大攻擊”對其他受害主機發起攻擊。如下就是DNS放大攻擊的示意圖,DNS方法攻擊的危害極大。
16年美國針對 DNS 供應商Dyn,爆發來史上最大規模的DDoS攻擊,這一攻擊造成了半個美國網路癱瘓的嚴重影響。這次嚴重的攻擊事件,就是DNS放大攻擊造成的。
接下來,我們再來看看DNS劫持對DNS伺服器會造成哪些威脅。DNS劫持是指攻擊者在劫持的網路範圍內攔截域名解析的請求,篡改了某個域名的解析結果。比如使用者本來想訪問,卻被指引到了另一個假冒的地址上,從而達到非法竊取使用者資訊或其他不正常的網路服務的目的。對使用者而言,DNS劫持是很難感知的,因此造成的影響極大。如2013年就爆發過一次大型的DNS釣魚攻擊事件,導致約800萬使用者感染。攻擊者通常會透過兩種方式實現DNS劫持,一種是直接攻擊域名註冊商或者域名站點獲取控制域名的賬戶口令,這樣可以修改域名對應的IP地址,另外一種方式是攻擊權威名稱伺服器,直接修改區域檔案內的資源記錄。如下圖,中國電信發現域名劫持時,給訪問使用者的提醒。
DNS劫持主要是將NS紀錄指向到駭客可以控制的DNS伺服器,而DNS投毒卻是指一些有意或無意製造出來的域名伺服器資料包,利用控制DNS快取伺服器,將域名指引到了不正確的IP地址。一般DNS伺服器為了加快解析速度,通常都會把訪問過的域名伺服器資料暫存起來。待下次其他使用者需要解析域名時,如果發現快取中有該資料,就立刻調出來提供服務。如果DNS的快取受到了汙染,就會把訪問的域名指引到錯誤的伺服器上。簡單點說,DNS汙染是指把自己偽裝成DNS伺服器,在檢查到使用者訪問某些網站後,使域名解析到錯誤的IP地址。
DNS服務如此重要,當對DNS的解析配置操作時,也必須謹慎小心。這裡最後介紹的一種DNS常見威脅,就是人為誤操作造成的。大家都知道域名做好解析後並不能立即訪問到您的網站,因為解析生效需要時間。由於各地的dns伺服器重新整理時間不同,各地的大概時間範圍為0-24小時。最長的生效時間,達到24小時,如果不小心改錯了域名的解析配置,也將造成極大的影響。這就要求我們對域名的管理需要精細化,分配好使用者的許可權,存留好操作記錄等日誌資訊。在域名修改配置或進行遷移時,操作一定要謹慎。
以上簡單介紹了DNS伺服器可能遇到的常見威脅。作為網際網路最基礎、最核心的服務,DNS服務安全至關重要。打垮DNS服務能夠間接打垮一家公司的全部業務,或者打垮一個地區的網路服務。面對重重威脅,怎麼才能保障好我們的DNS伺服器呢?接下來的專題,我們會針對DNS伺服器常受到的攻擊一一突破,敬請期待。
本文為雲棲社群原創內容,未經允許不得轉載。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69947441/viewspace-2660187/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 《DNS攻擊防範科普系列2》 -DNS伺服器怎麼防DDoS攻擊DNS伺服器
- 《DNS攻擊防範科普系列3》 -如何保障 DNS 操作安全DNS
- 防不勝防瞭解DNS快取中毒攻擊原理DNS快取
- SAD DNS--新型DNS快取中毒攻擊DNS快取
- 中科三方:淺談DNS攻擊型別和DNS安全防護措施DNS型別
- 【知識科普】高防伺服器防禦CC攻擊的原理伺服器
- 什麼是DDoS攻擊?如何防範DDoS攻擊?
- dns劫持,dns劫持是什麼,該怎麼去預防dns劫持DNS
- 3、攻擊防範
- web安全之XSS攻擊原理及防範Web
- DNS攻擊日益增多怎麼辦?ICANN有新招!DNS
- 網路安全中最常見的DNS攻擊型別介紹!DNS型別
- 雲解析的高防DNS是什麼意思?高防DNS有什麼用?DNS
- DDOS 攻擊的防範教程
- 詳解DNS重繫結攻擊DNS
- csrf攻擊與防範
- 零日攻擊是什麼?如何防範零日攻擊?
- DNS 快取中毒--Kaminsky 攻擊復現DNS快取
- 防止惡意攻擊,伺服器DDoS防禦軟體科普伺服器
- 防範社工攻擊,就該這麼做~
- CC攻擊的危害有哪些?如何防範CC攻擊?
- 利聯科技:無錫BGP伺服器受到的DNS汙染攻擊和其他型別攻擊的分析伺服器DNS型別
- 什麼是DNS解析?如何提升DNS解析安全?DNS
- SSL/TLS協議安全系列- SSL中間人攻擊防範方案概述TLS協議
- DDoS攻擊頻發,科普防禦DDoS攻擊的幾大有效方法
- CSRF攻擊與Django防範Django
- [專業術語]什麼是ARP攻擊?如何防範ARP攻擊?
- 什麼是資料中毒?如何防範攻擊者的AI和ML攻擊?AI
- Coleman Parkes:2018年機構防禦DNS攻擊平均損失71.5萬美元DNS
- CSRF攻擊是什麼?防範手段有哪些?
- 【網路安全入門】你知道防範XSS漏洞攻擊的原則有哪些嗎?
- 重要知識點:如何降低DNS攻擊的風險DNS
- 國科雲:從Galxe平臺被攻擊事件談DNS劫持的危害和預防事件DNS
- DNS伺服器是什麼?DNS伺服器的主要型別都有哪些?DNS伺服器型別
- DNS劫持是怎麼回事?DNS劫持如何預防?(國科雲)DNS
- SQL隱碼攻擊原理是什麼?如何防範SQL隱碼攻擊?SQL
- 如何防範社會工程攻擊?
- DNS解析常見問題:什麼是主DNS伺服器和輔助DNS伺服器?DNS伺服器