恶意行为者利用 Internet 的 DNS 协议中的漏洞对域名系统 (DNS) 进行攻击非常普遍且代价高昂。

域名系统（Domain Name System）不断受到攻击，随着威胁变得更加复杂，这些攻击似乎没有尽头。DNS 与 Internet 的电话簿一样多，它是全球 Internet 基础设施的一部分，可将已知名称转换为计算机访问网站或发送电子邮件所需的数字。虽然 DNS 长期以来一直是旨在窃取各种公司和私人信息的攻击的目标，但过去一年出现的威胁表明情况正在恶化。

还要检查：

DNS 的工作是将用户可以在搜索字段中输入的术语（称为人类可读名称）转换为设备访问网站或发送电子邮件所需的适当数字字符串（IP 地址）。对这些不可替代的系统的攻击可能非常恶意。

2021 年 IDC 对北美、欧洲和亚太地区 1,100 多家组织的调查发现，其中 87% 的组织曾遭受过 DNS 攻击。所有地区每次攻击的平均成本约为 950,000 美元，北美组织的平均成本约为 100 万美元。

什么是 DNS，它是如何工作的

该报告还指出，所有行业的组织在过去一年中平均遭受 7.6 次攻击。

报告称，COVID-19 向异地工作的过渡以及公司对将资源转移到云端以提高可用性的反应已成为攻击者的新目标。

该研究还发现，通过 DNS 窃取的数据急剧增加——26% 的组织报告窃取了机密客户信息，高于 2020 年的 16%。

我们介绍了最常见的 DNS 攻击类型。

DNS Boost 触发 DDOS 攻击

DNS 放大攻击是分布式拒绝服务 (DDoS) 的一种常见形式，它使用开放和公开可用的 DNS 服务器来使目标系统的 DNS 响应流量过载。

根据领导美国努力提高该国物理和电子基础设施弹性的网络安全和基础设施局 (CISA) 的说法，攻击者向开放 DNS 服务器发送查找请求，以获取源地址设置为目的地址。

当 DNS 服务器向 DNS 记录发送响应时，它被发送到目的地。CISA 表示，攻击者通常会发送请求以获取尽可能多的区域信息，以最大限度地提高抛光效果。在 US-CERT 观察到的大多数此类攻击中，攻击者发送的设计查询都是“any”类型，它在单个查询中返回所有已知的 DNS 区域信息。

由于响应量远大于请求量，攻击者可以增加定向到目标系统的流量。根据 CISA 的说法，通过使用僵尸网络生成大量定制的 DNS 查询，攻击者可以毫不费力地产生巨大的网络流量。

该机构表示，由于响应是来自重要服务器的合法数据，因此很难防止此类攻击。US-CERT 观察到的这种攻击的最常见形式是 DNS 服务器，这些服务器被配置为能够对 Internet 上的任何客户端进行不受限制的递归故障排除。CISA 指出，攻击还可以针对不提供频繁故障排除的受信任名称服务器。

DNS 欺骗/缓存损坏

使用 DNS 欺骗，也称为缓存损坏，不良行为者利用 DNS 服务器中的弱点劫持它们。通过利用缓存损坏，攻击者将恶意数据注入 DNS 解析器缓存系统，试图将用户重定向到攻击者拥有的站点。然后，攻击者可以窃取个人数据或拦截其他信息。

当攻击者获得 DNS 服务器的控制权时，他们可以修改缓存中的信息（这就是 DNS 中毒）。DNS 缓存损坏代码通常出现在垃圾邮件或网络钓鱼电子邮件中发送的 URL 中。这些消息试图提醒用户需要立即注意的事件，这需要单击攻击者提供的 URL。

DNS 服务器可以访问其他 DNS 服务器的缓存，这就是攻击广泛传播的方式。破坏 DNS 的主要风险是数据盗窃。另一个大风险：如果您的 Internet 安全提供商的网站被篡改，您的计算机可能会受到病毒或木马等其他威胁，因为不会执行合法的安全更新。

DNS隧道

攻击 DNS 的另一种常见方式，也是最古老的方式之一，是 DNS 隧道。这些攻击使用 DNS 协议在客户端-服务器模型中传输恶意软件和其他数据。这些有效负载可以控制 DNS 服务器并允许攻击者管理服务器及其应用程序。

隧道通过 DNS 解析器在攻击者和目标之间创建了一个隐秘的连接，可以绕过防火墙。网络犯罪分子可以使用隧道进行数据盗窃等恶意活动。

在许多情况下，DNS 隧道依赖于受感染系统的外部网络连接，它允许通过网络访问访问内部 DNS 服务器。

快速流绕过安全检查

Fast Flux 是一种 DNS 规避技术，攻击者使用僵尸网络通过使用不断变化的受感染主机的 IP 地址来隐藏其网络钓鱼和恶意软件活动，这些主机充当僵尸主服务器的反向代理。

术语“快速流”还指点对点网络、分布式命令和控制、网络负载平衡和代理转发的组合，用于使恶意软件网络免受检测。

Fast Flux 背后的主要思想是将大量 IP 地址与单个合法域名相关联，因为 IP 地址通常通过更改 DNS 资源记录来交换。经过认证的快速流域名服务器大多由网络犯罪分子托管。

DNS劫持/重定向

DNS 劫持（或 DNS 重定向）是破坏 DNS 查询解析方式的做法。网络犯罪分子通过使用恶意软件覆盖系统的 TCP/IP 配置以指向攻击者控制下的流氓 DNS 服务器，或通过修改受信任的 DNS 服务器的行为使其与 Internet 标准不兼容来实现这一目标。不良行为者将这些模组用于网络钓鱼等恶意目的。

DNS劫持主要有三个版本：

攻击者破坏域名注册商的账户并将 DNS 名称服务器修改为他们控制的服务器 更改域的 IP 地址记录以指向攻击者的地址

攻击者侵入企业路由器，更改DNS服务器，当用户登录企业网络时，自动发送到每台机器。

如何防止 DNS 攻击

组织可以采用多种做法来帮助降低 DNS 攻击的风险。

以下是一些建议的做法：

实施更强大的访问控制

公司需要确保他们采取措施更好地控制谁可以访问网络。一种方法是实施多因素或两因素身份验证作为访问您的在线帐户或系统的一种方式。这要求用户提供不止一种类型的信息，例如密码和 ID，以便访问。

公司应确保在所有日志或日志帐户上启用多因素身份验证，以便密码不易被猜测、安全存储且不会跨服务重复使用。

CISA 建议组织立即更新可能更改 DNS 记录的系统上所有帐户的密码，包括组织托管 DNS 服务器软件中的帐户、管理程序的系统、外部 DNS 运营商的管理面板和 DNS 注册商帐户。

使用不信任原则

对安全的不信任方法正在获得动力，部分原因是美国联邦政府增加了支持，以及孵化了许多公司的混合和远程商业模式。零信任可以在减少 DNS 威胁方面发挥重要作用。

研究公司 Garner 建议安全和风险领导者实施两个主要的网络不信任项目以降低风险。首先是零信任网络访问（ZTNA）系统的实现，该系统将访问机制抽象和集中，以便工程师和安全人员对其负责。

根据用户及其设备的身份以及时间和日期、地理位置、历史使用模式和设备运行状况等其他因素授予适当的访问权限。Gartner 表示，结果是一个更安全、更有弹性的环境，具有更高的灵活性和更好的监控。

另一个项目是基于身份的网络分段，Gartner 认为这是限制攻击者进入网络后导航能力的有效方法。

该公司表示，基于身份的碎片化通过允许组织将个人工作负载转移到“默认拒绝”模型而不是“隐式许可”来减少无根据的隐式信任。它使用动态规则评估工作负载和应用程序身份，作为决定是否允许网络访问的一部分。

查看和验证 DNS 记录

CISA 建议对于您的组织拥有和管理的所有域，您与域注册商一起查看所有公共域记录，以验证关联的名称服务器 (NS) 记录是否已授权给相应的 DNS 服务器。您必须查看所有受信任和辅助 DNS 服务器上的所有 DNS 记录，以验证它们的解析是否达到预期目的。

组织必须立即调查发现的任何不一致并将其视为潜在的安全事件。这些操作将有助于检测任何活动的 DNS 黑客攻击。

来源：网络世界