DNS成網路攻擊重點物件，如何構建立體化域名安全防護體系？

疫情肆虐的三年時間，讓我們重新認識了網路的重要性，線上授課、遠端辦公、視訊會議，網路正以肉眼可見的速度改變著我們日常工作生活節奏與方式。快速發展的網路技術，實現了資料在人、物和應用之間的高速移動，帶來非凡流暢的數字體驗。但在這種技術所帶來的的便捷性背後，同樣隱藏著極大的安全隱患，網路攻擊強度和危害同網路技術水平呈同步發展趨勢，對全球網路秩序造成的破壞與日俱增。

網路攻擊高漲，DNS成重點攻擊物件

根據國外知名網路安全公司Check Point Research(CPR)釋出的研究報告顯示，2021年全球企業遭受的網路攻擊同比高漲40%，因網路攻擊造成的損失估計達到了6萬億美元，而這一資料在2020年僅為1萬億美元。中國所在的亞太地區是網路攻擊的重災區。

而由於域名系統在網路互聯中的特殊作用，其越來越受到網路攻擊行為的關注，成為增長最為明顯，破壞力最強的攻擊方式之一。EfficientIP與IDC合作釋出的《2022年全球DNS威脅報告》指出，在過去一年中， 88%的組織遭受了與DNS相關的攻擊，平均每家公司有7次，其中包括DNS隧道、DDoS攻擊、DNS劫持和雲配置錯誤濫用等技術手段。

DNS—全球網路中的導航體系

域名系統（Domain Name System）是網際網路的一項核心基礎服務，它使用分層的分散式資料庫來處理網際網路上的域名與IP地址之間的對映，用於在對域名發起訪問時，將域名解析資訊返回客戶或應用程式，從而完成對網站伺服器的訪問流程。

從網際網路體系架構來看，我們可以將網際網路簡單分為物理設施層、基礎資源層和應用層三層結構。物理設施層是網路的硬體部分，是資訊傳播的高速公路；應用層是網路中的各種應用，猶如行駛在高速公路中的眾多車輛。

而基礎資源層則由域名系統和路由系統組成，二者組成網際網路的定址解析系統，是網路世界中的導航系統。如果域名系統遭遇攻擊或發生故障，導航系統失效，資訊高速公路上的各種車輛便無法正常執行，表現在現實場景中就是使用者無法透過域名訪問對應的站點，或者解析錯誤使用者被引導至錯誤的網站。

DNS當前存在的防護弱點

一方面，DNS協議在設計之初只注重其可用性，並未任何資訊驗證機制，導致其安全性極低，幾乎所有的技術防禦措施都允許DNS協議型別資料包文不受限制地傳輸，因此極易成為攻擊者利用和攻擊的物件，隨著時間的推移，DNS暴露的安全問題愈發明顯。

另一方面，人們多關注網路基礎層和網站應用層上的安全防護，而對於中間層的域名系統重視程度不夠。據資料顯示，全球約有68%的企業忽略對DNS系統的防護，沒有對DNS解析進行有效的監測和防禦，這就導致在DNS遭受攻擊時，不能及時發現並作出反應，即便有所反應，也沒有足夠的技術手段進行防禦。

DNS攻擊型別有哪些

1.DNS劫持

DNS劫持又稱域名劫持，是攻擊者利用缺陷對使用者的DNS進行篡改，將域名由正常IP指向受攻擊者控制的IP，從而使得訪客被劫持到一個與原目標網站高度相似的虛假網站，或者是站點不可達，以此達到非法竊取使用者資訊或者破壞正常網路服務的目的。

DNS劫持通常是攻擊者為了展示廣告獲取流量收入或透過網路釣魚獲取使用者的資料。網際網路服務提供商（ISP）也會透過DNS劫持，接管使用者的DNS請求，遮蔽對一些特定網站的訪問。

常見的DNS劫持手段主要包括以下幾種：

DNS欺騙

DNS欺騙又叫快取投毒，是攻擊者利用DNS快取機制，透過在DNS快取中投入虛假解析資訊，從而使得訪問者發起請求時，為其返回一個錯誤的IP地址。

DNS隧道

DNS隧道透過DNS解析器在攻擊者和目標之間建立隱藏連線，可繞過防火牆，用於實施資料洩露等攻擊。在大多數情況下，DNS隧道需要藉助能夠連線外網的受感染系統作為跳板，來訪問具有網路訪問許可權的內部DNS伺服器。

DNS重新繫結

DNS重新繫結，是利用瀏覽器快取的長期特性，將受害者瀏覽器對域名的請求，重新路由到託管有害內容的非法伺服器。

2.拒絕服務（DoS）類攻擊

Dos攻擊旨在透過耗盡機器或網路的資源將其服務關閉，阻止使用者訪問機器或網路。需要強調的是，這種攻擊的目的主要用於隱藏蹤跡或阻礙受害者恢復工作。

DoS攻擊主要型別包括：

DNS放大

DNS放大是一種非對稱的DDo攻擊，攻擊者利用域名系統伺服器中的漏洞，透過發起帶有虛假目標IP的較小的查詢請求，使得被欺騙目標成為更大DNS響應的接收者，從而達到持續消耗頻寬容量使網路飽和的攻擊效果，進而使得正常的解析請求無法正常進行。

緩衝區溢位

緩衝區溢位攻擊旨在迫使系統將記憶體寫入錯誤的緩衝區而不是預期的位置。當記憶體寫入緩衝區而不是常規位置時，這會導致利用該記憶體的應用程式崩潰。

ICMP洪水

攻擊者試圖用 ICMP 回顯請求包使目標裝置不堪重負，當 ICMP ping 產生的大量回應請求超出了系統的最大限度，就會使得系統耗費所有資源來進行響應直至再也無法處理有效的網路資訊流。

SYN洪水

SYN洪水利用TCP協議缺陷，傳送大量偽造的TCP連線請求，導致被攻擊伺服器保持大量SYN_RECV狀態的“半連線”，並且會重試預設5次回應第二個握手包，塞滿TCP等待連線佇列，資源耗盡。

3.分散式拒絕服務攻擊

DDoS攻擊是DoS攻擊的升級版，與DoS攻擊由單臺主機發起攻擊相比較，分散式拒絕服務攻擊DDoS是藉助數百、甚至數千臺被入侵後安裝了攻擊程式的主機同時發起的集團行為，每一個代理機都會向目標主機傳送大量請求資料，從而快速消耗系統資源，導致系統崩潰。

DDOS攻擊型別主要包括：

UDP洪水

攻擊者向使用者傳送大量的垃圾UDP資料包，主機嘗試與這些UDP包進行通訊，如果沒有找到資料包，主機將別無選擇的回覆。這種情況會一直持續下去，直至主機的網路資源被耗盡。

NTP放大

攻擊者透過向NTP伺服器傳送大量的UDP資料包，以達到DoSS的目的。當NTP伺服器的資源無法支撐解析所收到的查詢請求時，系統就會崩潰。

HTTP洪水

攻擊者向伺服器傳送大量合法GET或POST查詢，迫使伺服器回答每一個查詢。這種資源密集型回覆過程會耗盡伺服器資源，從而導致服務中斷。

DNS攻擊常規應對方式

針對以上各種DNS攻擊手段，常規的應對措施主要包括：

（1）嚴格的訪問控制

採用更嚴格的網路訪問控制策略，使用雙因素或多因素身份驗證，以更好地控制哪些使用者可以訪問他們的網路。

（2）部署零信任方案

零信任能提供一個安全且有彈性的環境，具有更大的靈活性和更好的監控，同時還能夠緩解DNS威脅。

（3）DNS日常監控

及時檢查域名設定的DNS伺服器是否正確，檢查所有權威和輔助DNS伺服器上的解析記錄是否指向正確IP，發現異常及時作出反應。

中科三方立體化DNS防護體系

常規技術手段雖然能夠緩解DNS攻擊造成的危害，但無法真正杜絕層出不窮的DNS攻擊，並對已發生的攻擊產生有效應對，因此需要接入更專業的高防DNS，構建更全面、堅固的DNS安全防護體系。中科三方高防DNS具備以下幾個功能，可以形成對DNS攻擊更有效的防禦和應對。

1.DNS健康監測

中科三方採用最新域名監測系統，可以透過Ping命令，TCP/UDP探測和HTTP(S)協議等多種手段對網路健康進行24小時輪詢監測，發現異常情況及時發起告警，以供網站運營者及時作出反應。

2.彈性寬頻

中科三方雲解析具備彈性頻寬的特點，當監測到伺服器遭受DDoS攻擊時，會立即擴大頻寬，保證頻寬容量不被消耗乾淨，確保正常使用者可以正常訪問。

3.流量清洗

透過對DNS攻擊進行檢測和分析，對已有快取的域名結果應答進行預構建，從而過濾掉DDoS攻擊流量。當遭遇相同地址攻擊或資料庫中出現的惡意訪問地址，會交由快取系統進行應答，從而緩解節伺服器壓力。

4.DDoS防火牆

中科三方雲解析配備專業的DDoS防火牆，可有效抵禦DDoS，UDP Flood，ICMP，IGMP，SYN Flood，ARP攻擊，非TCP/IP協議層攻擊等其他多種的未知攻擊，透過整合的機制對這些攻擊進行處理和阻斷。

5.負載均衡

中科三方雲解析可以將同一個域名指向不同伺服器地址，當遭受大流量DDoS攻擊或高流量訪問時，可以實現智慧判斷，將使用者訪問或攻擊分攤到不同的伺服器中，來達到負載均衡的效果。

6.當機切換

中科三方雲解析可將解析指向多個伺服器地址，並提供全天候無縫當機監測，當發現其中目標伺服器當機時，第一時間將解析切換至備用伺服器，以維持網站業務的可用性。

無論網際網路應用形態如何變化，DNS作為網際網路體系結構中銜接基礎網路和上層應用的“導航系統”，其重要性始終不會改變，所以廣大政府和企業對於DNS的安全防護要提高重視。中科三方作為深耕域名領域二十餘年的域名服務商，致力於構建全方位立體化的域名安全防禦體系，助力政府和企業實現底層網路服務能力的建設和提升。