Shield NS53 保护您的源站 DNS 基础架构免受 NXDOMAIN 攻击
DNS:接连遭受攻击的关键互联网基础架构
试想一下,如果只有输入“142.250.80.14”才能搜索到 Taylor Swift 的最新活动信息,或者输入“2600:1406:3a00:281::b63”才能了解如何保护和支持用户的在线体验,那将会是怎样的一种体验?值得庆幸的是,全球 域名系统 (DNS) 将人类容易记住的文字和名称(如 Google、Akamai 以及 Taylor Swift)都转化为计算机能够理解的 IP 地址 。这使得 DNS 成为了我们的数字化互动和体验的重要基础元素。 如果公司的 DNS 系统瘫痪,其在线业务也会瘫痪。
因此,网络犯罪分子可能会对其目标的 DNS 系统接续不断地发起分布式拒绝服务 (DDoS) 攻击,这种行为不足为奇。Akamai 的内部 DDoS 威胁情报表明,在 2023 年第四季度,64% 以上的 DDoS 攻击中都涉及到 DNS 组件(图 1)。
图 1:2023 年第四季度,64% 以上的 DDoS 攻击涉及到 DNS 组件(资料来源:Akamai DDoS 威胁情报)
其中一种攻击类型是 NXDOMAIN,即 DNS 资源耗尽攻击。图 2 显示了在 2024 年第一季度,一家优秀的全球性金融服务公司的 DNS 基础架构持续数天遭到 NXDOMAIN 流量攻击的情形。Akamai 立刻阻止了该 DNS 攻击,成功保护了这家 DNS 客户的基础架构免受任何影响。
图 2:一家优秀金融服务公司的 DNS 基础架构持续数天遭遇 NXDOMAIN 流量攻击活动
Akamai 对排名前 50 的金融服务客户在 2023 年 10 月到 2024 年 3 月期间的 DNS 查询趋势进行了分析。结果表明,Akamai 处理和阻止的 DNS 查询中,平均约有 40% 是非法的 NXDOMAIN 查询(图 3)。2023 年 12 月,NXDOMAIN 查询占比高达 60%。这表明,网络犯罪分子企图在假日期间让这些公司的 DNS 基础架构停摆。Akamai 凭借强大的 DNS 安全解决方案成功挫败了这些企图。
图 3:排名前 50 的金融服务客户的 DNS 查询中约有 40% 是非法的 NXDOMAIN 查询
对于企业和政府机构来说,为客户、最终用户和员工提供无缝数字体验是他们的主要目标,因此抵御持续不断且愈演愈烈的 DNS 攻击已成为一项当务之急。
典型的 DNS 资源耗尽攻击剖析
DNS 资源耗尽攻击还有其他几个常用的名称,包括 NXDOMAIN 攻击、 伪随机子域 (PRSD) 攻击、DNS 水刑攻击和 DNS 泛洪攻击等等。我们首先来看看 DNS 的一般工作原理,然后再概括了解网络犯罪分子如何构建此类攻击,从而更好地理解在技术领域和大众领域中出现的各种名称。
DNS 一天的活动
当某人在浏览器的统一资源定位器 (URL) 栏中输入一个网址(域名),如 www.akamai.com,或输入一个子域名,如 www.ir.akamai.com (投资者关系页面)时,系统就会在后台执行图 4 中的步骤。
客户端查询 |
→ ← |
DNS 递归解析器 (通常由 ISP 提供) |
→ ← |
DNS 顶级域 (TLD) 名称服务器 |
→ ← |
公司的权威域名称服务器 |
图 4:在 URL 栏中输入网址后,系统在后台执行的步骤。
DNS 递归解析器通常会通过缓存中的先前响应来响应用户查询。如果没有可用的缓存响应,请求就会被转发到源站权威域名称服务器。如果名称服务器无法响应特定 DNS 请求的 IP 地址,它会向解析器返回“NXDOMAIN”或“不存在域”响应。
在 DNS 资源耗尽攻击中,网络犯罪分子会向企业的 DNS 基础架构发送大量随机子域查询,通常每秒会有数百万次查询(图 5)。
其目的是让 DNS 基础架构堆栈的源站组件(全局服务器负载均衡器 (GSLB)、 防火墙、名称服务器等)在非法查询的压力下不堪重负,导致系统无法为用户的合法查询提供服务。这些 应用程序层(第 7 层)DNS DDoS 攻击 可以使用 TCP 和 UDP 数据包,通常不需要进行 欺骗 就能耗尽 DNS 服务器。
图 5:网络犯罪分子经常利用僵尸网络发起 DNS 资源耗尽攻击,每秒数百万次的非法查询使 DNS 基础架构不堪重负
网络犯罪分子在发动资源耗尽攻击时使用的部分关键策略
唯一查询
攻击者针对不存在或很少访问的域名精心设计 DNS 查询。每个查询都设计成看似唯一,这意味着 DNS 服务器或任何上游解析器从未见过该查询。
不重复
为避免遭到检测和抵御,攻击者会确保每个非法 DNS 请求都与之前的 DNS 请求不同。这可以防止上游解析器缓存请求及其响应,因为它们可能从未遇到过相同的查询。
避免 DNS 解析器缓存
通过不断更改查询,攻击者企图绕过上游解析器的缓存机制。DNS 缓存通过存储以前解析过的域名及其相应的 IP 地址,帮助更快地解析后续查询。但是,如果每次查询都是唯一的,缓存功能在抵御攻击方面的效率就会降低。
随机子域 DNS 查询示例
Akamai 网站的一个合法子域 ( www.ir.akamai.com ) 将用户定向到投资者关系页面。然而,www.randomsubdomain.akamai.com 之类的查询是非法查询。递归解析器对这种查询不会有任何缓存响应,它会将请求转发到 Akamai 的 DNS 名称服务器,以响应这个不存在的页面的 IP 地址。Akamai 的 DNS 服务器会理所当然地给出 NXDOMAIN 响应(图 6)。
图 6:DNS 服务器对非法查询作出 NXDOMAIN 响应
NXDOMAIN 攻击会导致 DNS 服务器使用其资源查找不存在的子域,因此,这对网络安全领导者来说是一个巨大的挑战。此攻击手段会加大源站 DNS 基础架构的负载并消耗网络资源,还可能会导致服务质量下降,甚至让试图访问合法服务的合法用户遭遇停机。
保护您的 DNS 基础架构免受 NXDOMAIN 攻击
Akamai Edge DNS 提供了一个基于云的全面、专用的权威 DNS 解决方案,它利用 Akamai Connected Cloud 出色的规模、安全性和容量,将您的 DNS 区域分布到全球数千台服务器上。
客户会更新注册商的名称服务器记录,并使用 Akamai 提供的名称服务器记录,以将其区域权威性委托给 Edge DNS。而 Akamai Edge DNS 能够提供出色的攻击面和主动安全控制措施,即便遭遇大规模的 DNS 攻击,也能在不影响客户 DNS 性能、可靠性和可用性的情况下进行抵御。
在许多情况下,企业需要维护本地 DNS 基础架构,无法将其权威区域委托给外部云解决方案,以保护自己免受各种类型的 DNS 攻击。出现这种偏好的原因多种多样,可能包括合规问题、源站 GSLB 上的动态配置,以及企业只是单纯地希望在源站上管理权威区域。
通常情况下,这是一种基于以下事实的业务决策:公司可能已经在构建本地 DNS 基础架构方面进行了大量资本投资,因此“将区域委托给云服务”在财务上是不可行的,至少在短期内是这样。
在某些混合应用场景中,如果企业将其部分权威 DNS 区域委托给 Edge DNS,但又希望从本地源站为其余区域提供服务,那么,本地基础架构就很容易遭受 DNS 资源耗尽攻击。
那么,在这种情况下,企业如何保护自己免受 DNS 资源耗尽攻击呢? 使用 Akamai Shield NS53!
Akamai Shield NS53:为本地和混合 DNS 基础架构提供一站式保护
抵御 NXDOMAIN 攻击
Akamai Shield NS53 是一种双向 DNS 代理解决方案,可保护您的源站 DNS 基础架构的关键组件免遭资源耗尽攻击。使用 Akamai Control Center 直观的用户界面,您可以自行配置、管理并实时执行企业的特定动态安全策略。Akamai 可以在网络边缘拦截非法 DNS 查询和 DNS 攻击洪流 ,从而保证您的 DNS 的安全性、可靠性、可用性(图 7)。
图 7:Akamai Shield NS53 是一种双向 DNS 代理解决方案,可保护您的源站 DNS 基础架构的关键组件免遭 NXDOMAIN 攻击
优化 DNS 性能
Shield NS53 还能响应缓存中的合法查询,并仅在必要时将查询转发给源站名称服务器,从而帮助减轻本地 DNS 基础架构的负载。此外,该解决方案通过访问 Akamai 的全球 NAMES 任播网络(该网络由数千台服务器组成),从最近的入网点响应用户查询,从而减少延迟并改善用户体验。
优化总体拥有成本
理论上,您可以通过增加容量来保护 DNS 免受资源耗尽攻击。如果拥有更多的资源,就需要更大规模、更长时间的攻击才能耗尽这些资源。但是,很明显,这种方法在经济上既不可行,也不是可扩展的技术解决方案。
Shield NS53 可以帮助企业保护对现有 DNS 基础架构(包括名称服务器、GSLB 和防火墙)的财务投资,通过强化已部署的解决方案来抵御新兴资源耗尽攻击,从而降低总体拥有成本,尽可能地提高现有 DNS 基础架构的投资回报。
关于 Akamai 如何保护数字基础架构的备忘单
Akamai 提供全面的解决方案组合,保护您的数字基础架构免受各种 DDoS 攻击。您可以使用下表作为备忘单,了解如何根据您的具体需求量身定制安全解决方案。
攻击类型 |
建议的解决方案 |
|---|---|
DNS NXDOMAIN 攻击 |
Akamai Edge DNS、Akamai Global Traffic Management、Akamai Shield NS53 |
DNS 直接查询攻击 |
Edge DNS、Global Traffic Management、Shield NS53 |
DNS 反射和 DNS 放大 攻击 |
Akamai Prolexic、Akamai Network Cloud Firewall |
DNS 源 IP 欺骗和 DNS TTL 攻击 |
Edge DNS、Global Traffic Management |
第 3 层和第 4 层 DDoS 攻击(跨所有端口和协议) |
|
与 DNS 无关的应用程序层(第 7 层)DDoS 攻击(不在端口 53 上) |
Akamai App & API Protector |
表:如何根据具体需求定制安全解决方案
结论
毫不夸张地说,我们生活在一个高度数字互联的世界。我们日常生活的方方面面几乎都离不开数字互动。这些数字互动的基石之一就是实现这一切的 DNS 基础架构。因此,对于企业和机构来说,他们必须保护其 DNS 基础架构,以向客户、最终用户和员工提供无缝的数字化体验,这一点至关重要。
Akamai Shield NS53 是一套全新的解决方案,与 Akamai Edge DNS、 Akamai Prolexic和 Akamai App & API Protector 完美互补。它为企业和机构提供了一套全面的 DDoS 防护解决方案组合,让这些依赖可靠的数字基础架构来为应用程序和用户体验提供在线支持的企业和机构可以安心无忧。
了解更多
进一步了解 Akamai Shield NS53 如何满足您的 DNS 安全需求。