Akamai 支持并保护网络生活。全球各大优秀公司纷纷选择 Akamai 来打造并提供安全的数字化体验,为数十亿人每天的生活、工作和娱乐提供助力。 Akamai Connected Cloud是一个大规模分布式边缘和 云平台,让应用程序和体验更靠近用户,帮助用户远离威胁。
DNS 攻击媒介是攻击者用来攻击域名系统 (DNS) 的一些手段。DNS 是一种将域名(例如 example.com)转换为字母数字 IP 地址的协议。DNS 的控制范围广泛,因此一旦发生中断,将同时影响到许多服务。DNS 攻击媒介可以针对 DNS 服务的可用性或稳定性发起攻击,或者利用 DNS 作为其整体攻击策略的一部分。常见的 DNS 攻击媒介包括隧道、缓存中毒、重新绑定、放大、泛洪攻击和 DNS 欺骗。许多攻击者利用 DNS 作为实施 DoS 和 DDoS 攻击的媒介。
什么是 DNS?
通过域名系统,用户可以更轻松地访问网站,而不必费心记住每个网站冗长复杂的 IP 地址。DNS 服务器将用户在浏览器中输入的便于记忆的网站名称与相应的 IP 地址(例如 2001:db8:3e8:2a3::b63)进行匹配,以确保正确地加载网站。
DNS 是如何工作的?
当用户在浏览器中输入域名(例如 example.com)时,DNS 解析器会搜索与该域名相对应的数字 IP 地址。这个过程可能涉及多个步骤:
- DNS 解析器首先会在本地缓存中查找相应的 IP 地址。
- 如果在本地缓存中没有找到相应的 IP 地址,DNS 解析器可能会向其他 DNS 服务器发出查询,以寻找正确的 IP 地址,或者查询存储了域名与 IP 地址之间标准映射关系的权威 DNS 服务器。
- 一旦找到相应的 IP 地址,解析器会将该地址传送给发出请求的浏览器,同时将该地址存储在本地缓存中,以便将来使用。
为什么 DNS 攻击媒介能够得逞?
DNS 攻击媒介之所以能够得逞,是因为域名系统在设计时并未充分考虑安全性。任何服务中断都可能产生广泛的影响。DNS 服务器的目标是确保准确和高效地响应查询,而不是对查询的意图进行审查。因此,DNS 的弱点使其成为网络攻击的诱人媒介。DNS 是互联网的核心组件之一,参与处理大多数的网络通信。此外,许多安全工具都接受未经过充分验证的 DNS,这就为各种攻击敞开了大门。
DNS 攻击媒介有哪四种类型?
- 容量耗尽型拒绝服务 (DoS) 攻击 会向 DNS 服务器发送来自一个或多个来源的大量请求,使得服务器负载过重,进而响应缓慢,甚至使 DNS 服务陷于瘫痪。
- 漏洞利用攻击 主要是利用 DNS 服务、DNS 协议或运行 DNS 服务器的操作系统中的弱点或缺陷。
- 隐身或缓慢滴注 DoS 攻击 则是发送特定的 DNS 请求导致服务降级或中断,因为这些请求会持续消耗资源,使得出站查询无法得到处理。
- 协议滥用攻击 以非预期的方式利用 DNS,使攻击者能够窃取数据或进行网络钓鱼活动。
常见的 DNS 攻击媒介有哪些?
- 零日攻击。攻击者利用 DNS 服务器软件或协议栈中以前未被发现的漏洞。由于这些安全漏洞之前未被察觉,安全团队只有“零日”的时间来准备补丁或采取防御措施。
- DNS 缓存中毒。这种攻击媒介也被称为“DNS 欺骗”,它通过将合法的 DNS 记录替换为可能是恶意网站的 IP 地址,从而破坏或使 DNS 缓存“中毒”。缓存中毒通常被用于诱骗用户泄露机密信息,例如登录凭据或帐户信息。
- 拒绝服务 (DoS)。这种类型的泛洪攻击利用一台计算机和一个互联网连接,通过发送大量流量来使 DNS 服务器过载,使其无法处理合法请求。
- 分布式拒绝服务 (DDoS)。 DDoS DNS 攻击是一种泛洪攻击,主要通过从多个源位置发送大量流量来使服务器过载,从而导致 DNS 服务器瘫痪。DDoS 攻击通常由僵尸网络发起,这些僵尸网络由感染恶意软件的计算机或爬虫程序组成,并受攻击者控制。
- DNS 放大攻击。 放大攻击是一种 DDoS 攻击,它依赖于对外公开的 DNS 服务器,通过发送大量的 DNS 响应流量来使目标系统过载。攻击者只需发送少量的查询,就能引发大量的响应,从而放大他们对目标的影响力。
- DNS 隧道。这种 DNS 攻击媒介利用 DNS 作为隐蔽的通信通道,以逃避防火墙的检测。网络犯罪分子可能会利用 DNS 隧道来窃取敏感数据或控制受到入侵的设备,从而对受保护的 IT 环境构成威胁。
- DNS 劫持。这些攻击通过将原本流向网站的流量重定向到新的目的地,使得攻击者可以在那里发起恶意活动,或创建与原始网站相似的虚假网站,从而收集敏感的个人信息。
- NXDOMAIN 攻击。这种泛洪攻击通过发送大量无效或不存在的记录请求,导致目标 DNS 服务器及其基础架构环境过载,最终使 DNS 服务器瘫痪。由于大量的恶意请求导致过载,DNS 服务器及其相关基础架构的响应将变得迟缓,并最终停止运行。
- 域名封锁。黑客通过建立基于 TCP 的连接,向 DNS 解析器发送垃圾或随机报文,使 DNS 解析器始终处于忙碌或“封锁”状态。这会导致合法的 DNS 服务器资源耗尽,无法响应合法的请求。
- DNS 泛洪攻击。这些攻击媒介利用 DNS 协议进行用户数据报协议 (UDP) 泛洪攻击。在 DNS 泛洪攻击中,攻击者从多个源 IP 地址以极高的速度发送看似有效但实则伪造的 DNS 请求报文。由于这些请求看似有效,目标 DNS 服务器会对每一个请求做出响应,最终导致服务器过载,耗尽其处理能力。
- 随机子域名攻击。这种类型的 DDoS 攻击也被称为“伪随机子域名攻击”,它通过发送数百或数千个看似真实但实则具有恶意的 DNS 请求来发起攻击。因为这些请求拥有有效的高级域名(例如 doesnotexist.example.com),并被认为是合法的,所以它们能够绕过防火墙和其他过滤器的大部分 DDoS 保护和自动抵御措施。
如何防范 DNS 攻击?
IT 和安全团队可以采用各种技术和网络安全最佳实践来防范 DNS 攻击媒介。
- 限制访问。通过将 DNS 解析器的使用限制在合法用户范围内,可以有效防止外部用户使缓存中毒。
- 记录和监视 DNS 查询。IT 团队可以通过记录和监视入站和出站查询来检测异常情况,并收集上下文信息,从而进行深入的取证分析。
- 复制数据。为了更轻松地替换一台服务器上损坏或丢失的数据,可以在另一台服务器上保存 DNS 数据的副本。
- 阻止冗余查询。这有助于防止欺骗。
- 确保 DNS 服务器及时更新。。企业如果选择自己运行 DNS 服务器,那么必须及时修补和更新服务器,以防止攻击者利用其中的漏洞和错误。
- 部署专门的 DNS 保护解决方案。对于那些需要保护数千个域名的公司而言,选择第三方 DNS 安全服务是增强 DNS 工作流的明智之举。