《DNS攻擊防範科普系列1》—你的DNS伺服器真的安全麼？

DNS伺服器，即域名伺服器，它作為域名和IP地址之間的橋樑，在網際網路訪問中，起到至關重要的作用。每一個網際網路上的域名，背後都至少有一個對應的DNS。對於一個企業來說，如果你的DNS伺服器因為攻擊而無法使用，整個企業的網站、郵箱、辦公系統將全部癱瘓，這意味著對你造成的是成千上萬個使用者的不可訪問，將產生不可估量的影響。你的DNS伺服器是否受到過安全威脅，它現在真的安全麼？

       DNS面臨著各種各樣的網路安全威脅，它一直是網路基礎架構中較弱的一環。 我們先來看看DNS伺服器的威脅之一：DDoS攻擊。DDoS攻擊，即分散式拒絕服務攻擊，攻擊者透過控制大量的傀儡機，對目標主機發起洪水攻擊，造成伺服器癱瘓。 DDoS攻擊通常分為流量型攻擊和應用型攻擊。以bps為單位的流量型的攻擊，這類攻擊會瞬間堵塞網路頻寬；以qps為單位的應用層攻擊，主要是將伺服器的資源耗盡，攻擊將造成DNS伺服器反應緩慢直至再也無法響應正常的請求。DNS服務易受攻擊的原因，除了專門針對DNS伺服器發起的；還有就是利用DNS服務的特點，用“DNS放大攻擊”對其他受害主機發起攻擊。如下就是DNS放大攻擊的示意圖，DNS方法攻擊的危害極大。

       16年美國針對 DNS 供應商Dyn，爆發來史上最大規模的DDoS攻擊，這一攻擊造成了半個美國網路癱瘓的嚴重影響。這次嚴重的攻擊事件，就是DNS放大攻擊造成的。        接下來，我們再來看看DNS劫持對DNS伺服器會造成哪些威脅。DNS劫持是指攻擊者在劫持的網路範圍內攔截域名解析的請求，篡改了某個域名的解析結果。比如使用者本來想訪問，卻被指引到了另一個假冒的地址上，從而達到非法竊取使用者資訊或其他不正常的網路服務的目的。對使用者而言，DNS劫持是很難感知的，因此造成的影響極大。如2013年就爆發過一次大型的DNS釣魚攻擊事件，導致約800萬使用者感染。攻擊者通常會透過兩種方式實現DNS劫持，一種是直接攻擊域名註冊商或者域名站點獲取控制域名的賬戶口令，這樣可以修改域名對應的IP地址，另外一種方式是攻擊權威名稱伺服器，直接修改區域檔案內的資源記錄。如下圖，中國電信發現域名劫持時，給訪問使用者的提醒。

       DNS劫持主要是將NS紀錄指向到駭客可以控制的DNS伺服器，而DNS投毒卻是指一些有意或無意製造出來的域名伺服器資料包，利用控制DNS快取伺服器，將域名指引到了不正確的IP地址。一般DNS伺服器為了加快解析速度，通常都會把訪問過的域名伺服器資料暫存起來。待下次其他使用者需要解析域名時，如果發現快取中有該資料，就立刻調出來提供服務。如果DNS的快取受到了汙染，就會把訪問的域名指引到錯誤的伺服器上。簡單點說，DNS汙染是指把自己偽裝成DNS伺服器，在檢查到使用者訪問某些網站後，使域名解析到錯誤的IP地址。        DNS服務如此重要，當對DNS的解析配置操作時，也必須謹慎小心。這裡最後介紹的一種DNS常見威脅，就是人為誤操作造成的。大家都知道域名做好解析後並不能立即訪問到您的網站，因為解析生效需要時間。由於各地的dns伺服器重新整理時間不同，各地的大概時間範圍為0-24小時。最長的生效時間，達到24小時，如果不小心改錯了域名的解析配置，也將造成極大的影響。這就要求我們對域名的管理需要精細化，分配好使用者的許可權，存留好操作記錄等日誌資訊。在域名修改配置或進行遷移時，操作一定要謹慎。        以上簡單介紹了DNS伺服器可能遇到的常見威脅。作為網際網路最基礎、最核心的服務，DNS服務安全至關重要。打垮DNS服務能夠間接打垮一家公司的全部業務，或者打垮一個地區的網路服務。面對重重威脅，怎麼才能保障好我們的DNS伺服器呢？接下來的專題，我們會針對DNS伺服器常受到的攻擊一一突破，敬請期待。

原文連結

本文為雲棲社群原創內容，未經允許不得轉載。