什么是DNS攻击以及如何防止它们?

域名系统(DNS)攻击很普遍,每年都有数百个网站成为此类攻击的受害者。

为了保护网络免受此类攻击,重要的是要了解不同类型的DNS攻击以及最佳的缓解方法。

什么是DNS?

域名系统(DNS)是一种结构化的命名系统,Internet设备使用它来查找在线资源。也就是说,互联网上的每个网站都有一个唯一的互联网协议(IP)地址,但是对于人类来说,由于每个网站都是字母数字,因此很难通过其IP地址来调用它们。

对于DNS基础结构,有两个主要组成系统,它们是承载IP信息的权威服务器和参与IP信息搜索的递归服务器。

DNS攻击可以针对任一攻击。

DNS攻击的类型

攻击者通常使用多种技术来破坏DNS功能。以下是一些最常见方法的概述。

1. DNS洪水

DNS泛洪使用分布式拒绝服务(DDoS)攻击向量将域名系统服务器作为目标,并用于中断对某些域的访问。

攻击者使用DNS泛滥来充斥大量带有非法请求的DNS递归服务器,从而阻止它们充分处理合法查询。

它们通常从多个位置,设备和IP吸引流量,因此很难区分正常流量和“生成”流量。

该方案通常利用控制数千个IoT和被入侵计算机的僵尸网络,其源IP地址使用脚本进行了欺骗。

阅读更多:什么是僵尸网络?

缓解措施

防止域泛洪攻击的方法有很多,其中包括安装IP验证协议。机器学习异常检测和阻止系统是最好的选择。

如果问题特别严重且缺少此类拦截措施,则停用递归DNS服务器将通过防止更多中继来缓解此问题。

将请求限制为仅来自授权客户的请求是解决问题的另一种方法。在权威服务器上具有低响应速率限制(RRL)配置也可以。

2. DNS缓存中毒

DNS缓存中毒涉及恶意实体对DNS服务器的操纵,以将流量重定向到合法服务器之外。基本上,这是服务器到服务器的策略。

例如,攻击者可以更改Instagram DNS服务器上的信息,使其指向Twitter IP。在大多数情况下,重定向会将访问者引导到受黑客控制的站点,在该站点中执行网络钓鱼,XSS和其他漏洞攻击。

在某些情况下,可以通过针对Internet服务提供商来扩大攻击范围,尤其是当其中几个依赖特定服务器来检索DNS数据时。一旦主要服务器受到威胁,感染就会变得系统化,并可能影响连接到网络的客户路由器。

缓解措施

为了防止这些类型的攻击,应配置DNS服务器,以减少对外部网络服务器的依赖。这样可以防止攻击者DNS服务器与目标服务器进行通信。

在服务器上安装最新的BIND版本也有帮助。这是因为升级后的版本具有受密码保护的事务处理技术,并且具有可缓解攻击的端口随机化功能。

最后,可以通过将DNS响应限制为仅提供有关查询域的特定信息,而只是忽略“ ANY”请求来防止攻击。响应ANY请求会强制DNS解析器使用有关所请求域的更多信息。这包括MX记录,A记录等。附加信息会消耗更多的系统资源,并扩大攻击的规模。

3.分布式反射拒绝服务(DRDoS)攻击

分布式反射式拒绝服务(DRDoS)攻击试图通过发送大量用户数据报协议(UDP)请求来淹没DNS基础结构。

受损的端点通常用于执行此操作。 UDP数据包在IP之上工作,以向DNS解析器发出请求。该策略之所以受到青睐,是因为UDP通信协议没有传递确认要求,并且请求也可以重复。这使创建DNS拥塞变得容易。

在这种情况下,目标DNS解析器会尝试响应虚假请求,但被迫发出大量错误响应并最终变得不知所措。

缓解措施

分布式反射拒绝服务(DRDoS)攻击是DDoS攻击的一种形式,为了防止这种情况,应执行入口网络过滤的应用程序以防止欺骗。由于查询是通过DNS解析器进行的,因此将其配置为仅解析来自某些IP地址的请求将有助于缓解此问题。

这通常需要禁用开放递归,从而减少DNS攻击漏洞。开放式递归导致服务器接受来自任何IP地址的DNS请求,这为攻击者打开了基础架构。

设置响应速率限制(RRL)也可以防止DRDoS发生率。这可以通过设置速率限制上限来实现。这种机制使权威服务器无法处理过多的查询。

4. NXDOMAIN攻击

在NXDOMAIN DNS攻击中,目标服务器被无效的记录请求所淹没。在这种情况下,通常以DNS代理服务器(解析器)为目标。他们的任务是查询DNS权威服务器以搜索域信息。

无效请求使DNS代理服务器和权威服务器参与,并触发NXDOMAIN错误响应并导致网络延迟问题。大量的请求最终会导致DNS系统出现性能问题。

缓解措施

可以通过使服务器随着时间的推移保留有关有效请求的更多缓存信息来防止NXDOMAIN DNS攻击。此配置确保即使在攻击过程中,合法请求仍然可以通过而无需进行额外的缓存。这样,可以容易地提取所请求的信息。

该方案中使用的可疑域和服务器也可以被阻止,从而释放资源。

5.幻影域攻击

在执行虚拟域攻击时,攻击者首先配置一组域,以使它们一旦收到DNS查询便不会响应或响应速度很慢。在这种情况下,以递归服务器为目标。

他们针对大量重复请求来查询幻象域。长时间的响应暂停会导致未解决的请求积压,从而阻塞网络并占用宝贵的服务器资源。最终,该方案阻止了合法DNS请求的处理,并阻止了用户访问目标域。

缓解措施

为了减轻幻影域攻击,限制每台服务器上连续递归请求的数量将有所帮助。每个区域可以进一步限制它们。

在DNS服务器上启用对无响应服务器的请求的抑制,也可以防止系统不堪重负。此功能限制了无响应的服务器达到特定阈值后对其进行的连续尝试次数。

增加递归服务器的数量也可以。

避免DNS危险

每年,DNS攻击者都会想出一系列诡异的技巧来摧毁关键的在线基础架构,并且损失可能是巨大的。

对于严重依赖在线域的个人和企业,遵循最佳实践准则并安装最新的DNS阻止技术将在防止它们上走很长的路要走。