Akamai釋出《網際網路現狀》報告，亞太惡意DNS攻擊劇增

近日，美國知名雲服務技術提供商Akamai釋出全新的《網際網路現狀》報告，該報告重點介紹了域名系統（DNS）攻擊對亞太地區企業和消費者造成的威脅。

由於網際網路的大多數應用都是透過 DNS 進行的，這種普遍性使 DNS 成為了攻擊基礎架構的一個重要環節。Akamai 在報告中介紹了企業和家庭使用者遭受DNS攻擊的威脅，將惡意 DNS 事務分為三大類：惡意軟體、網路釣魚以及命令和控制。

企業受到 DNS 攻擊的威脅日趨嚴重

根據 Akamai 的資料，全球有10%至16%的企業會在其網路中遇到命令和控制 (C2) 流量。C2 流量的存在表明可能有攻擊正在進行中，或已發生資料洩露，威脅包括竊取資訊的殭屍網路、初始訪問代理 (IAB)等。

在亞太地區，15% 的受影響裝置已連線到已知的 IAB C2 域，這些域首先進行初始入侵，然後向 Lockbit 等勒索軟體團夥和其他網路犯罪團夥出售訪問權，此外還發現 Revil 和 Lockbit 等勒索軟體變體。

網路連線儲存裝置也成為攻擊者的主要目標，這些裝置不太可能安裝修補程式，且存有大量高價值資料。根據Akamai 的資料顯示，2022 年，亞太地區近 60%的受影響裝置感染了 Qsnatch惡意軟體，這使得亞太地區的感染數量僅次於北美。

Akamai相關人員表示，隨著作為全球經濟和數字化轉型中心的亞太地區的發展步伐不斷加快，攻擊者將繼續探索各種攻擊手段，對企業經濟利益造成更大的安全威脅。

家庭使用者要對 DNS 攻擊保持高度警惕

雖然攻擊企業網路能夠帶來更大的回報，但攻擊家庭使用者更容易也更快速，因此攻擊者不僅限於攻擊計算機等傳統裝置，而且還試圖濫用手機和物聯網裝置。

根據 Akamai 的資料，2022 年下半年，亞太地區出現與家庭網路威脅有關的查詢數量最多，為北美地區的兩倍。亞太地區有超過 3.5 億次與 Pykspa 有關的查詢，它的後門功能允許攻擊者連線到遠端系統並執行任意命令，比如下載檔案、終止程式，並透過各種方式傳播，包括對映的驅動器和網路共享。

網路釣魚活動也在積極攻擊亞太地區的金融品牌，誘使毫無戒心的消費者成為網路釣魚受害者。Akamai 的研究發現，超過 40% 的網路釣魚活動以金融服務客戶為目標，導致近 70% 的受害者遭受與金融相關的網路釣魚詐騙和攻擊。

Akamai有關負責人表示，家庭使用者在其網路遭到入侵時可能失去所有資料，如果他們的裝置成為大規模殭屍網路的一部分，攻擊者可以調動殭屍裝置進行網路犯罪活動，如傳送垃圾郵件，對企業發動 DDoS 攻擊，這會產生更為隱蔽的嚴重後果。

亞太地區目前有超過 12 億人在使用移動網際網路服務，而且預計 2026 年物聯網支出將達到 4360 億美元。該地區對於移動裝置和智慧裝置的使用持續增加，可能預示著此類攻擊也會增加，這要求家庭使用者保持高度警惕，避免成為網路攻擊的受害者。

給企業和家庭使用者的建議

在分析了DNS態勢後，Akamai提供了以下指導建議：

（1）企業應首先實現對所有軟體和硬體資產的監測，並繪製出企業資料歷程中每一步的所有關鍵漏洞以及所需的控制措施，比如防範 DDoS、惡意軟體攻擊和採集以及橫向移動和滲透。

（2）保持所有系統和軟體的更新，實施反惡意軟體和多重身份驗證，並在任何時候都對使用者和裝置實施最低許可權訪問。對於較大的企業或要求更復雜的企業，應由專業供應商提供幫助，同時也要積極監控效能和異常事件。

（3）家庭使用者應採取積極措施，確保定期進行軟體更新，安裝反惡意軟體和對家庭 WIFI 網路使用 WPA2 AES 或 WPA3 加密，從而保護所有裝置。他們還應該對任何潛在的可疑網站、下載內容和透過電子郵件或簡訊傳送的訊息保持高度警惕。

中科三方應對DNS攻擊的技術手段

中科三方是中國科學院控股有限公司旗下域名註冊商，深耕域名相關領域二十餘年，始終致力於DNS安全新技術的探索與研發，構建起全方位立體化的DNS安全防護體系，為廣大政府機關和企業的域名及域名解析安全提供了有力支撐。由中科三方自主研發的全新二代雲解析系統，具備健康監測、彈性頻寬、DNSSEC、全域性流量管理等技術特點，能夠有效應對頻發的DNS攻擊威脅。

1.DNS健康監測

中科三方採用最新域名監測系統，可以透過Ping命令，TCP/UDP探測和HTTP(S)協議等多種手段對網路健康進行24小時輪詢監測，發現異常情況及時發起告警，以供網站運營者及時作出反應。

2.彈性頻寬

中科三方雲解析具備彈性頻寬的特點，當監測到伺服器遭受DDoS攻擊時，會立即擴大頻寬，保證頻寬容量不被消耗乾淨，確保正常使用者可以正常訪問。

3.流量清洗

中科三方雲解析透過對DNS攻擊進行檢測和分析，對已有快取的域名結果應答進行預構建，從而過濾掉DDoS攻擊流量。當遭遇相同地址攻擊或資料庫中出現惡意訪問地址，會交由快取系統進行應答，從而緩解解析伺服器的壓力。

4.DDoS防火牆

中科三方雲解析配備專業的DDoS防火牆，可有效抵禦DDoS，UDP Flood，ICMP，IGMP，SYN Flood，ARP攻擊，非TCP/IP協議層攻擊等其他多種的未知攻擊，透過整合的機制對這些攻擊進行處理和阻斷。

（圖文來源於網路，如涉及侵權請聯絡刪除）