《DNS攻擊防範科普系列1》—你的DNS伺服器真的安全麼?

大濤學長發表於2019-10-16
DNS伺服器,即域名伺服器,它作為域名和IP地址之間的橋樑,在網際網路訪問中,起到至關重要的作用。每一個網際網路上的域名,背後都至少有一個對應的DNS。對於一個企業來說,如果你的DNS伺服器因為攻擊而無法使用,整個企業的網站、郵箱、辦公系統將全部癱瘓,這意味著對你造成的是成千上萬個使用者的不可訪問,將產生不可估量的影響。你的DNS伺服器是否受到過安全威脅,它現在真的安全麼?
《DNS攻擊防範科普系列1》—你的DNS伺服器真的安全麼?

       DNS面臨著各種各樣的網路安全威脅,它一直是網路基礎架構中較弱的一環。 我們先來看看DNS伺服器的威脅之一:DDoS攻擊。DDoS攻擊,即分散式拒絕服務攻擊,攻擊者透過控制大量的傀儡機,對目標主機發起洪水攻擊,造成伺服器癱瘓。 DDoS攻擊通常分為流量型攻擊和應用型攻擊。以bps為單位的流量型的攻擊,這類攻擊會瞬間堵塞網路頻寬;以qps為單位的應用層攻擊,主要是將伺服器的資源耗盡,攻擊將造成DNS伺服器反應緩慢直至再也無法響應正常的請求。DNS服務易受攻擊的原因,除了專門針對DNS伺服器發起的;還有就是利用DNS服務的特點,用“DNS放大攻擊”對其他受害主機發起攻擊。如下就是DNS放大攻擊的示意圖,DNS方法攻擊的危害極大。
《DNS攻擊防範科普系列1》—你的DNS伺服器真的安全麼?
       16年美國針對 DNS 供應商Dyn,爆發來史上最大規模的DDoS攻擊,這一攻擊造成了半個美國網路癱瘓的嚴重影響。這次嚴重的攻擊事件,就是DNS放大攻擊造成的。        接下來,我們再來看看DNS劫持對DNS伺服器會造成哪些威脅。DNS劫持是指攻擊者在劫持的網路範圍內攔截域名解析的請求,篡改了某個域名的解析結果。比如使用者本來想訪問,卻被指引到了另一個假冒的地址上,從而達到非法竊取使用者資訊或其他不正常的網路服務的目的。對使用者而言,DNS劫持是很難感知的,因此造成的影響極大。如2013年就爆發過一次大型的DNS釣魚攻擊事件,導致約800萬使用者感染。攻擊者通常會透過兩種方式實現DNS劫持,一種是直接攻擊域名註冊商或者域名站點獲取控制域名的賬戶口令,這樣可以修改域名對應的IP地址,另外一種方式是攻擊權威名稱伺服器,直接修改區域檔案內的資源記錄。如下圖,中國電信發現域名劫持時,給訪問使用者的提醒。
《DNS攻擊防範科普系列1》—你的DNS伺服器真的安全麼?
       DNS劫持主要是將NS紀錄指向到駭客可以控制的DNS伺服器,而DNS投毒卻是指一些有意或無意製造出來的域名伺服器資料包,利用控制DNS快取伺服器,將域名指引到了不正確的IP地址。一般DNS伺服器為了加快解析速度,通常都會把訪問過的域名伺服器資料暫存起來。待下次其他使用者需要解析域名時,如果發現快取中有該資料,就立刻調出來提供服務。如果DNS的快取受到了汙染,就會把訪問的域名指引到錯誤的伺服器上。簡單點說,DNS汙染是指把自己偽裝成DNS伺服器,在檢查到使用者訪問某些網站後,使域名解析到錯誤的IP地址。        DNS服務如此重要,當對DNS的解析配置操作時,也必須謹慎小心。這裡最後介紹的一種DNS常見威脅,就是人為誤操作造成的。大家都知道域名做好解析後並不能立即訪問到您的網站,因為解析生效需要時間。由於各地的dns伺服器重新整理時間不同,各地的大概時間範圍為0-24小時。最長的生效時間,達到24小時,如果不小心改錯了域名的解析配置,也將造成極大的影響。這就要求我們對域名的管理需要精細化,分配好使用者的許可權,存留好操作記錄等日誌資訊。在域名修改配置或進行遷移時,操作一定要謹慎。        以上簡單介紹了DNS伺服器可能遇到的常見威脅。作為網際網路最基礎、最核心的服務,DNS服務安全至關重要。打垮DNS服務能夠間接打垮一家公司的全部業務,或者打垮一個地區的網路服務。面對重重威脅,怎麼才能保障好我們的DNS伺服器呢?接下來的專題,我們會針對DNS伺服器常受到的攻擊一一突破,敬請期待。
本文為雲棲社群原創內容,未經允許不得轉載。


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69947441/viewspace-2660187/,如需轉載,請註明出處,否則將追究法律責任。

相關文章