五种最流行的DNS攻击及防御对策
随着俄罗斯乌克兰战争的网络战升级,DNS安全再次成为业界关注的焦点。无论是去年3月份NSA发布的保护性DNS(PDNS)推荐指南,还是俄罗斯主权互联网的核心——DNS服务在战争期间的大规模启用,都表明DNS安全威胁,无论是对于关键基础设施还是企业网络,都在不断升级。
IDC和Efficient IP最近的一项研究调查了北美、欧洲和亚太地区的1100多家公司。结果发现:87%的受访者曾受到DNS攻击的影响。据分析师称,DNS攻击造成的平均损失约为95万美元。研究人员还注意到通过DNS窃取数据的案件也急剧增加:26%的受访者曾以这种方式窃取敏感的客户数据——这一数字在2020年仅为16%。
为避免DNS攻击导致的重大损失,以下我们总结了五种最常见的DNS攻击类型以及相应的对策。
01、DNS放大攻击
DNS放大攻击是一种流行的DDoS攻击形式,其中目标系统被来自公共DNS服务器的查询响应淹没。工作原理:攻击者向公共DNS服务器发送DNS名称查询,使用受害者的地址作为源地址,导致公共DNS服务器的响应都被发送到目标系统。
攻击者通常会查询尽可能多的域名信息,以最大限度地发挥放大效果。通过使用僵尸网络,攻击者也可以毫不费力地生成大量虚假DNS查询。此外,由于响应是来自有效服务器的合法数据,因此很难防止DNS放大攻击。
02、DNS/缓存中毒
在这种类型的攻击中,攻击者利用DNS服务器中的漏洞来接管它们。在缓存中毒期间,攻击者将恶意数据注入DNS解析器的缓存系统,以将用户重定向到他们选择的网站。个人或其他数据通常在那里被盗。
如果网络犯罪分子控制了DNS服务器,他们就可以操纵缓存的信息(DNS中毒)。DNS缓存中毒代码经常出现在通过垃圾邮件或网络钓鱼电子邮件发送的URL中。DNS服务器可以访问其他DNS服务器的缓存,因此这种类型的攻击可能会显著传播。DNS中毒的主要风险是数据盗窃。
03、DNS隧道
另一种流行且经验丰富的攻击模式是DNS隧道。这些攻击利用DNS协议使用客户端-服务器模型注入恶意软件和其他数据。使用这些数据有效负载,网络犯罪分子可以接管DNS服务器,然后可能访问其管理功能和驻留在其上的应用程序。
DNS隧道通过DNS解析器在攻击者和目标之间创建隐藏连接,可绕过防火墙,用于实施数据泄露等攻击。在大多数情况下,DNS隧道需要借助能够连接外网的受感染系统作为跳板,来访问具有网络访问权限的内部DNS服务器。
04、僵尸网络反向代理
Fast Flux是一种DNS规避技术,攻击者使用僵尸网络隐藏其网络钓鱼和恶意软件活动,逃避安全扫描。攻击者会使用受感染主机的动态IP地址充当后端僵尸网络主机的反向代理。Fast Flux也可通过组合使用点对点网络、分布式命令和控制、基于Web的负载平衡和代理重定向等方法,使恶意软件网络更难被检测到。
05、DNS劫持/重定向
DNS劫持(或DNS重定向)意即绕过DNS查询的名称解析。网络犯罪分子通过恶意软件修改系统的TCP/IP配置,指向他们控制的DNS服务器来实施DNS劫持攻击。或者,操纵可信赖的DNS服务器以运行网络钓鱼活动。
DNS攻击的防御对策
组织可以采取许多措施来降低DNS攻击的风险。
01、采用更严格的访问控制
企业需要更好地控制谁可以访问他们的网络。一种方法是使用多因素或双因素身份验证。确保在所有相关帐户上激活MFA并遵守适当的密码卫生规则非常重要。
CISA建议公司及时更改所有可用于更改DNS记录的帐户的密码,包括公司管理的DNS服务器软件上的帐户、管理该软件的系统、DNS运营商的管理面板和DNS注册商帐户。
02、部署零信任方案
零信任方法越来越受欢迎,部分原因在于许多组织已经采用了混合和远程工作模式。零信任还可以帮助缓解DNS威胁。
Gartner建议安全和风险领导者实施两个与网络相关的关键零信任项目以降低风险:一个是零信任网络访问(ZTNA),它根据用户及其设备的身份、时间和日期、地理位置、历史使用模式和设备运行状况等其他因素授予访问权限。根据Gartner的说法,零信任能提供一个安全且有弹性的环境,具有更大的灵活性和更好的监控。第二个是基于身份的网络分段,这也是一种久经考验的方法,可以限制攻击者在网络中横向移动的能力。
03、检查/验证DNS记录
建议企业检查拥有和管理的所有域名:确保名称服务器引用正确的DNS服务器,这一点至关重要。应该检查所有权威和辅助DNS服务器上的所有DNS记录。应立即调查发现的任何差异和异常,并将其视为潜在的安全事件。