为什么DNS安全很重要?
几乎所有网络流量都需要标准DNS查询,这为DNS攻击(例如DNS劫持和中间人攻击创造了机会。这些攻击可以将网站的入站流量重定向到该网站的伪造副本,从而收集敏感的用户信息并使企业承担主要责任。防御DNS威胁的最著名方法之一就是采用DNSSEC协议。
什么是DNS SEC?
与许多Internet协议一样,DNS系统在设计时并未考虑安全性,并且存在一些设计限制。这些限制与技术进步相结合,使攻击者很容易出于恶意目的劫持DNS查找,例如将用户发送到可以分发恶意软件或收集个人信息的欺诈性网站。DNS安全扩展(DNSSEC)是为缓解此问题而创建的安全协议。DNSSEC通过对数据进行数字签名来保护其有效性,从而防止受到攻击。为了确保安全的查找,签名必须在DNS查找过程的每个级别进行。
此签名过程类似于用笔在法律文件上签名的人。该人使用别人无法创建的唯一签名进行签名,法院专家可以查看该签名并验证文件是否由该人签名。这些数字签名可确保数据不被篡改。
DNSSEC在DNS的所有层上实施分层的数字签名策略。例如,在“ google.com”查找的情况下,根DNS服务器将为COM名称服务器签名一个密钥,然后.COM名称服务器将为google.com 权威名称服务器签名一个密钥。
尽管始终首选提高安全性,但DNSSEC旨在向后兼容,以确保传统DNS查找仍然能够正确解析,尽管没有增加安全性。DNSSEC旨在与其他安全措施配合使用(例如SSL/TLS)作为整体Internet安全策略的一部分。
DNSSEC创建了一个父子信任关系,一直到根区域。不能在DNS的任何层上破坏此信任链,否则该请求将对中间人攻击开放。
为了关闭信任链,需要对根区域本身进行验证(证明没有篡改或欺诈),而这实际上是在人工干预下完成的。有趣的是,在所谓的“根区域签名仪式”上,来自世界各地的选定个人聚集在一起以公开且经过审核的方式签署了根DNSKEY RRset。
涉及DNS的常见攻击有哪些?
DNSSEC是一种功能强大的安全协议,但是不幸的是,它目前尚未得到普遍采用。由于DNS是大多数Internet请求不可或缺的一部分,因此缺乏采用以及其他潜在的漏洞使DNS成为恶意攻击的主要目标。攻击者发现了多种定向和利用DNS服务器的方法,以下是一些最常见的方法:
DNS欺骗/缓存中毒:这是将伪造的DNS数据引入DNS解析器的缓存中的攻击,导致解析器为域返回错误的IP地址。流量可能会被转移到恶意计算机或攻击者期望的其他任何地方,而不是去正确的网站。通常,这将是用于恶意目的(例如分发恶意软件或收集登录信息)的原始站点的副本。
DNS隧道:此攻击使用其他协议通过DNS查询和响应进行隧道。攻击者可以使用SSH,TCP或HTTP将恶意软件或被盗信息传递到DNS查询中,而大多数防火墙都无法检测到。
DNS劫持:在DNS劫持中,攻击者将查询重定向到其他域名服务器。这可以通过恶意软件或未经授权的DNS服务器修改来完成。尽管结果与DNS欺骗的结果相似,但这是完全不同的攻击,因为它的目标是名称服务器上网站的DNS记录,而不是解析程序的缓存。
NXDOMAIN攻击:这是一种DNS泛洪攻击,攻击者利用请求将DNS服务器淹没,以请求不存在的记录,以试图对合法流量造成拒绝服务。这可以使用复杂的攻击工具来完成,该工具可以为每个请求自动生成唯一的子域。NXDOMAIN攻击还可以将递归解析器作为目标,目的是用垃圾请求填充解析器的缓存。
虚拟域攻击:虚拟域攻击与DNS解析器上的NXDOMAIN攻击具有相似的结果。攻击者设置了一堆“虚拟”域服务器,它们要么响应很慢,要么根本不响应。然后,解析器受到对这些域的大量请求攻击,解析器被束缚在等待响应的状态,从而导致性能降低和服务拒绝。
随机子域攻击:在这种情况下,攻击者向一个合法站点的几个随机,不存在的子域发送DNS查询。目标是为域的权威名称服务器创建拒绝服务,从而使无法从名称服务器中查找网站。副作用是,服务于攻击者的ISP也可能会受到影响,因为其递归解析器的缓存将加载错误的请求。
域锁定攻击:不良行为者通过设置特殊的域和解析器来与其他合法解析器建立TCP连接,来组织这种形式的攻击。当目标解析器发送请求时,这些域将发回缓慢的随机数据包流,从而占用了解析器的资源。
基于僵尸网络的CPE攻击:这些攻击是使用CPE设备(客户前提设备,这是服务提供商提供的供客户使用的硬件,例如调制解调器,路由器,电缆箱等)。攻击者破坏了CPE并且这些设备成为僵尸网络的一部分,用于对一个站点或域执行随机子域攻击。
防御基于DNS的攻击的最佳方法是什么?
除了DNSSEC,DNS区域的运营商可以采取进一步措施来保护其服务器。过度配置基础架构是克服DDoS攻击的一种简单策略。简而言之,如果您的名称服务器可以处理比您预期多几倍的流量,那么基于卷的攻击就很难使您的服务器不堪重负。
Anycast路由是另一个可以破坏DDoS攻击的便捷工具。Anycast允许多台服务器共享一个IP地址,因此,即使关闭一台DNS服务器,仍然会有其他服务器启动并提供服务。保护DNS服务器安全的另一种流行策略是DNS防火墙。
什么是DNS防火墙?
DNS防火墙是一种可以为DNS服务器提供许多安全和性能服务的工具。DNS防火墙位于用户的递归解析器和他们尝试访问的网站或服务的权威名称服务器之间。防火墙可以提供限速服务以关闭试图淹没服务器的攻击者。如果服务器确实由于攻击或任何其他原因而导致停机,则DNS防火墙可以通过提供来自缓存的DNS响应来保持操作员的站点或服务正常运行。除了其安全功能外,DNS防火墙还可以提供性能解决方案,例如更快的DNS查找和降低DNS运营商的带宽成本。
DNS作为安全工具
另外,还可以让DNS 解析提供商为其最终用户(浏览Internet的人们)提供安全解决方案。某些DNS解析器提供的功能包括内容过滤(可阻止已知的分发恶意软件和垃圾邮件的站点)以及僵尸网络保护(可阻止与已知僵尸网络的通信)。这些安全的DNS解析器中有许多是免费使用的,用户可以通过更改其本地路由器中的单个设置来切换到这些递归DNS服务之一。