信息化觀察網(wǎng)

本文來自安全牛。

域名系統(tǒng)（DNS）是一種結(jié)構(gòu)化的命名系統(tǒng)，是Internet基礎(chǔ)結(jié)構(gòu)的關(guān)鍵部分。目前，針對DNS的攻擊已經(jīng)成為網(wǎng)絡(luò)安全中的一個嚴重問題，每年都有數(shù)千個網(wǎng)站成為此類攻擊的受害者。為了保護網(wǎng)絡(luò)免受此類攻擊，重要的是要了解不同類型的DNS攻擊，并找到相對應的緩解方法。

01

拒絕服務（DoS）類攻擊

從DoS這個描述性就可以看出這類DNS網(wǎng)絡(luò)攻擊的特點，旨在通過耗盡機器或網(wǎng)絡(luò)的資源將其服務關(guān)閉，阻止用戶訪問機器或網(wǎng)絡(luò)。需要強調(diào)的是，這種攻擊的目的主要用于隱藏蹤跡或阻礙受害者恢復工作。

DoS攻擊通常被不法分子用來追蹤采用高級網(wǎng)絡(luò)保護的高價值目標，其主要類型包括：

DNS放大

DNS放大是DoS攻擊中用于利用域名系統(tǒng)并加大目標網(wǎng)站流量的一種技術(shù)。這種攻擊方法利用的主要技術(shù)包括DNS反射和地址偽造。不法分子實施這種攻擊的手法是，向域名系統(tǒng)服務器發(fā)送偽造的IP數(shù)據(jù)包，請求目標的域名，使用目標的IP地址代替自己的IP地址。

所有這些查詢都由DNS服務器用目標機器的IP地址來答復。然后，受害者的服務器向每個請求發(fā)送相同的答復。這導致龐大的數(shù)據(jù)流量從受害者網(wǎng)絡(luò)的端口80或25流入。

資源耗盡

資源耗盡DoS攻擊是指，攻擊者旨在通過耗盡設(shè)備的資源池（CPU、內(nèi)存、磁盤和網(wǎng)絡(luò)），在受害者的機器中觸發(fā)DoS類型的響應。內(nèi)存耗盡是另一種資源耗盡DoS攻擊，比如針對電子郵件代理，威脅分子只需將數(shù)十萬個附件上傳到草稿郵件，即可觸發(fā)內(nèi)存耗盡攻擊。

緩沖區(qū)溢出

緩沖區(qū)溢出攻擊（BOA）是一種漏洞或限制利用攻擊，旨在迫使系統(tǒng)將內(nèi)存寫入錯誤的緩沖區(qū)而不是預期的位置。當內(nèi)存寫入緩沖區(qū)而不是常規(guī)位置時，這會導致利用該內(nèi)存的應用程序崩潰。這個問題是用C語言編寫的應用程序所特有的。

緩沖區(qū)溢出攻擊也可用于DoS之外的目的。比如說，攻擊者可能會篡改或替換基址指針或指標指針中的值，以執(zhí)行惡意代碼。

ICMP洪水

這種DoS攻擊又叫ping洪水，它濫用常見的連接測試來導致目標系統(tǒng)崩潰、宕機、重啟或無法運行。工作原理是，一臺機器向另一臺機器發(fā)送ICMP回應請求。反過來，接收端發(fā)回答復。只要測量往返，即可確定連接強度。而攻擊者可以濫用ICMP回應答復機制使受害者的網(wǎng)絡(luò)不堪重負。不過攻擊者必須知道受害者的IP地址才能明確攻擊的重點。此外，攻擊者還要了解受害者路由器的相關(guān)信息。

SYN洪水

SYN洪水又叫“半開”攻擊，它濫用了TCP/IP三次握手機制。三次握手機制的工作原理是，攻擊者將通過重復發(fā)送SYN數(shù)據(jù)包，并忽略服務器端的SYN-ACK數(shù)據(jù)包，從而觸發(fā)服務器的拒絕用戶響應。

DoS類DNS攻擊防護建議：

●使用合法的云托管服務；

●實施系統(tǒng)可用性監(jiān)控；

●及時鎖定注冊表；

●部署應用IDS/IPS工具；

●定期開展自動化靜態(tài)和動態(tài)分析；

●定期使用模糊測試技術(shù)；

●實施數(shù)據(jù)執(zhí)行預防措施；

●對網(wǎng)頁代碼進行安全性檢查；

●關(guān)注編譯器報警，并準確查找原因；

●添加預警機制，并對入站ICMP消息進行處理限制；

●使用邊界防火墻微調(diào)；

●一旦積壓隊列已滿，使用最舊的半開TCP/IP連接。

02

分布式拒絕服務（DDoS）類攻擊

與簡單的DoS攻擊相比，DDoS攻擊發(fā)生的頻率更高。因為僵尸機器和僵尸網(wǎng)絡(luò)在暗網(wǎng)上很容易獲得；與DoS相比，DDoS類攻擊得逞的概率更高。

以下是DDoS類DNS攻擊的主要技術(shù)方式：

UDP洪水

這種DDoS與SYN洪水攻擊非常相似，利用用戶數(shù)據(jù)報協(xié)議（UDP）和UDP數(shù)據(jù)包。攻擊者向用戶已打開端口發(fā)送大量的垃圾UDP數(shù)據(jù)包。主機以為這些是合法的UDP通信嘗試，試圖在該端口上偵聽，如果沒找到數(shù)據(jù)包，主機將別無選擇的回復ICMP無法抵達。這種情況會一直持續(xù)下去，直至主機的網(wǎng)絡(luò)資源被耗盡。

NTP放大

在網(wǎng)絡(luò)時間協(xié)議（NTP）攻擊中，威脅分子會向NTP服務器發(fā)送大量的UDP數(shù)據(jù)包，以達到DoS的目的。當NTP服務器的資源無法支撐解析所收到的查詢請求時，它就會崩潰。

HTTP洪水

這是一種非常有效的DDoS攻擊方式，利用了GET或POST響應機制。攻擊者向服務器發(fā)送盡可能多的合法GET或POST查詢，迫使服務器回答每一個查詢。這種資源密集型回復過程會耗盡服務器資源，從而導致服務中斷。

Fast Flux

Fast Flux攻擊目的主要用于掩蓋僵尸網(wǎng)絡(luò)，嚴格上來講它不是一種攻擊，而是僵尸網(wǎng)絡(luò)運營商用來逃避檢測的一種規(guī)避方法。借助Fast Flux，威脅分子可以在受感染的主機之間快速切換，從而使他們無法被檢測工具發(fā)覺。

反射式跨站點腳本（XSS）

在反射式跨站點腳本攻擊（XSS）模式中，威脅分子會濫用由接收請求的應用程序發(fā)出的HTPP響應。這么做的目的是，發(fā)現(xiàn)接收HTTP請求的應用程序是否在收到查詢時執(zhí)行任何類型的數(shù)據(jù)檢查。一些不安全的網(wǎng)站會原樣返回搜索詞。威脅分子可以利用這種不當?shù)臄?shù)據(jù)處理做法在URL中附加惡意參數(shù)，實施XSS攻擊。

DDoS類DNS攻擊防護建議：

●執(zhí)行深度數(shù)據(jù)包檢查；

●應用流量清理過濾器；

●抑制ICMP數(shù)據(jù)包的系統(tǒng)響應率；

●執(zhí)行定期流量分析；

●及時關(guān)注IP的安全聲譽；

●嚴格執(zhí)行JavaScript解析；

●驗證IP來源；

●禁用monlist；

●實施訪問控制；

●加強員工網(wǎng)絡(luò)安全意識教育，不點擊可疑鏈接和郵件；

●正確使用Web應用程序防火墻。

03

DNS劫持類攻擊

發(fā)生DNS劫持攻擊時，網(wǎng)絡(luò)攻擊者會操縱域名查詢的解析服務，導致訪問被惡意定向至他們控制的非法服務器，這也被成為DNS投毒或DNS重定向攻擊。

DNS劫持攻擊在網(wǎng)絡(luò)犯罪領(lǐng)域也很常見。DNS劫持活動還可能破壞或改變合規(guī)DNS服務器的工作。除了實施網(wǎng)絡(luò)釣魚活動的黑客外，這還可能由信譽良好的實體（比如ISP）完成，其這么做是為了收集信息，用于統(tǒng)計數(shù)據(jù)、展示廣告及其他用途。此外，DNS服務提供商也可能使用流量劫持作為一種審查手段，防止訪問特定頁面。

DNS劫持類攻擊主要的技術(shù)手段：

DNS欺騙

DNS欺騙又叫DNS緩存中毒，是網(wǎng)絡(luò)犯罪分子用來誘騙用戶連接到他們建立的虛假網(wǎng)站而不是合法網(wǎng)站的一種方法。有人通過域名系統(tǒng)請求訪問網(wǎng)站，而DNS服務器回應不準確的IP地址時，這被認為是DNS欺騙攻擊。然而，不僅僅是網(wǎng)站容易受到這種攻擊。黑客還可以使用這種方法，訪問電子郵件賬戶及其他私密數(shù)據(jù)。

DNA隧道

網(wǎng)絡(luò)流量可以使用DNS隧道的方式繞過網(wǎng)絡(luò)過濾器和防火墻等機制，以建立另外的數(shù)據(jù)傳輸通道。啟用DNS隧道后，用戶的連接將通過遠程服務器路由傳輸互聯(lián)網(wǎng)流量。不幸的是，黑客經(jīng)常將此用于惡意目的。被惡意使用時，DNS隧道是一種攻擊策略，數(shù)據(jù)通過DNS查詢來傳遞。除了通過平常會阻止這類流量的網(wǎng)絡(luò)秘密發(fā)送數(shù)據(jù)外，這還可用于欺騙內(nèi)容、避免過濾或防火墻檢測。

DNS重新綁定

DNS重新綁定是一種網(wǎng)絡(luò)攻擊方法，利用瀏覽器緩存的長期特性，欺騙受害者的瀏覽器在輸入域名時聯(lián)系惡意站點。攻擊者可以使用任何聯(lián)網(wǎng)設(shè)備（包括智能手機）來實施攻擊，不需要任何類型的身份驗證。受害者必須禁用瀏覽歷史記錄或打開瀏覽器隱身窗口，才能禁用緩存。利用該漏洞，攻擊者可以將受害者瀏覽器對域名的請求，重新路由到托管有害內(nèi)容的非法服務器。

DNS拼寫仿冒

DNS拼寫仿冒是一種受DNS劫持啟發(fā)的社會工程攻擊技術(shù)，它使用域名中的錯別字和拼寫錯誤。常見的DNS拼寫仿冒攻擊始于攻擊者注冊一個域名，這個域名和目標的網(wǎng)站域名非常相似。攻擊者隨后搭建一個虛假網(wǎng)站，網(wǎng)站內(nèi)容旨在說服用戶提供敏感信息，包括登錄密碼、信用卡資料及其他個人信息。

DNS劫持類攻擊防護建議：

●關(guān)閉不需要的DNS解析器；

●在合法的DNS解析器處部署防火墻；

●將名稱服務器與DNS解析器分開；

●開展及時有效的漏洞管理和修復工作；

●對DNS注冊商實施客戶端鎖定；

●確保使用支持DNSSEC的DNS服務商；

●始終啟用DNSSEC配置功能；

●為使用加密的VPN連接；

●實施路由器密碼安全政策。