Akamai is the cybersecurity and cloud computing company that powers and protects business online. Our market-leading security solutions, superior threat intelligence, and global operations team provide defense in depth to safeguard enterprise data and applications everywhere. Akamai’s full-stack cloud computing solutions deliver performance and affordability on the world’s most distributed platform. Global enterprises trust Akamai to provide the industry-leading reliability, scale, and expertise they need to grow their business with confidence.
DNS 攻击媒介是攻击者用来攻击域名系统 (DNS) 的一些手段。DNS 是一种将域名(例如 example.com)转换为字母数字 IP 地址的协议。DNS 的控制范围广泛,因此一旦发生中断,将同时影响到许多服务。DNS 攻击媒介可以针对 DNS 服务的可用性或稳定性发起攻击,或者利用 DNS 作为其整体攻击策略的一部分。常见的 DNS 攻击媒介包括隧道、缓存中毒、重新绑定、放大、泛洪攻击和 DNS 欺骗。许多攻击者利用 DNS 作为实施 DoS 和 DDoS 攻击的媒介。
什么是 DNS?
通过域名系统,用户可以更轻松地访问网站,而不必费心记住每个网站冗长复杂的 IP 地址。DNS 服务器将用户在浏览器中输入的便于记忆的网站名称与相应的 IP 地址(例如 2001:db8:3e8:2a3::b63)进行匹配,以确保正确地加载网站。
DNS 是如何工作的?
当用户在浏览器中输入域名(例如 example.com)时,DNS 解析器会搜索与该域名相对应的数字 IP 地址。这个过程可能涉及多个步骤:
- DNS 解析器首先会在本地缓存中查找相应的 IP 地址。
- 如果在本地缓存中没有找到相应的 IP 地址,DNS 解析器可能会向其他 DNS 服务器发出查询,以寻找正确的 IP 地址,或者查询存储了域名与 IP 地址之间标准映射关系的权威 DNS 服务器。
- 一旦找到相应的 IP 地址,解析器会将该地址传送给发出请求的浏览器,同时将该地址存储在本地缓存中,以便将来使用。
为什么 DNS 攻击媒介能够得逞?
DNS 攻击媒介之所以能够得逞,是因为域名系统在设计时并未充分考虑安全性。任何服务中断都可能产生广泛的影响。DNS 服务器的目标是确保准确和高效地响应查询,而不是对查询的意图进行审查。因此,DNS 的弱点使其成为网络攻击的诱人媒介。DNS 是互联网的核心组件之一,参与处理大多数的网络通信。此外,许多安全工具都接受未经过充分验证的 DNS,这就为各种攻击敞开了大门。
DNS 攻击媒介有哪四种类型?
- 容量耗尽型拒绝服务 (DoS) 攻击 会向 DNS 服务器发送来自一个或多个来源的大量请求,使得服务器负载过重,进而响应缓慢,甚至使 DNS 服务陷于瘫痪。
- 漏洞利用攻击 主要是利用 DNS 服务、DNS 协议或运行 DNS 服务器的操作系统中的弱点或缺陷。
- 隐身或缓慢滴注 DoS 攻击 则是发送特定的 DNS 请求导致服务降级或中断,因为这些请求会持续消耗资源,使得出站查询无法得到处理。
- 协议滥用攻击 以非预期的方式利用 DNS,使攻击者能够窃取数据或进行网络钓鱼活动。
常见的 DNS 攻击媒介有哪些?
- 零日攻击。攻击者利用 DNS 服务器软件或协议栈中以前未被发现的漏洞。由于这些安全漏洞之前未被察觉,安全团队只有“零日”的时间来准备补丁或采取防御措施。
- DNS 缓存中毒。这种攻击媒介也被称为“DNS 欺骗”,它通过将合法的 DNS 记录替换为可能是恶意网站的 IP 地址,从而破坏或使 DNS 缓存“中毒”。缓存中毒通常被用于诱骗用户泄露机密信息,例如登录凭据或帐户信息。
- 拒绝服务 (DoS)。这种类型的泛洪攻击利用一台计算机和一个互联网连接,通过发送大量流量来使 DNS 服务器过载,使其无法处理合法请求。
- 分布式拒绝服务 (DDoS)。 DDoS DNS 攻击是一种泛洪攻击,主要通过从多个源位置发送大量流量来使服务器过载,从而导致 DNS 服务器瘫痪。DDoS 攻击通常由僵尸网络发起,这些僵尸网络由感染恶意软件的计算机或爬虫程序组成,并受攻击者控制。
- DNS 放大攻击。 放大攻击是一种 DDoS 攻击,它依赖于对外公开的 DNS 服务器,通过发送大量的 DNS 响应流量来使目标系统过载。攻击者只需发送少量的查询,就能引发大量的响应,从而放大他们对目标的影响力。
- DNS 隧道。这种 DNS 攻击媒介利用 DNS 作为隐蔽的通信通道,以逃避防火墙的检测。网络犯罪分子可能会利用 DNS 隧道来窃取敏感数据或控制受到入侵的设备,从而对受保护的 IT 环境构成威胁。
- DNS 劫持。这些攻击通过将原本流向网站的流量重定向到新的目的地,使得攻击者可以在那里发起恶意活动,或创建与原始网站相似的虚假网站,从而收集敏感的个人信息。
- NXDOMAIN 攻击。这种泛洪攻击通过发送大量无效或不存在的记录请求,导致目标 DNS 服务器及其基础架构环境过载,最终使 DNS 服务器瘫痪。由于大量的恶意请求导致过载,DNS 服务器及其相关基础架构的响应将变得迟缓,并最终停止运行。
- 域名封锁。黑客通过建立基于 TCP 的连接,向 DNS 解析器发送垃圾或随机报文,使 DNS 解析器始终处于忙碌或“封锁”状态。这会导致合法的 DNS 服务器资源耗尽,无法响应合法的请求。
- DNS 泛洪攻击。这些攻击媒介利用 DNS 协议进行用户数据报协议 (UDP) 泛洪攻击。在 DNS 泛洪攻击中,攻击者从多个源 IP 地址以极高的速度发送看似有效但实则伪造的 DNS 请求报文。由于这些请求看似有效,目标 DNS 服务器会对每一个请求做出响应,最终导致服务器过载,耗尽其处理能力。
- 随机子域名攻击。这种类型的 DDoS 攻击也被称为“伪随机子域名攻击”,它通过发送数百或数千个看似真实但实则具有恶意的 DNS 请求来发起攻击。因为这些请求拥有有效的高级域名(例如 doesnotexist.example.com),并被认为是合法的,所以它们能够绕过防火墙和其他过滤器的大部分 DDoS 保护和自动抵御措施。
如何防范 DNS 攻击?
IT 和安全团队可以采用各种技术和网络安全最佳实践来防范 DNS 攻击媒介。
- 限制访问。通过将 DNS 解析器的使用限制在合法用户范围内,可以有效防止外部用户使缓存中毒。
- 记录和监视 DNS 查询。IT 团队可以通过记录和监视入站和出站查询来检测异常情况,并收集上下文信息,从而进行深入的取证分析。
- 复制数据。为了更轻松地替换一台服务器上损坏或丢失的数据,可以在另一台服务器上保存 DNS 数据的副本。
- 阻止冗余查询。这有助于防止欺骗。
- 确保 DNS 服务器及时更新。。企业如果选择自己运行 DNS 服务器,那么必须及时修补和更新服务器,以防止攻击者利用其中的漏洞和错误。
- 部署专门的 DNS 保护解决方案。对于那些需要保护数千个域名的公司而言,选择第三方 DNS 安全服务是增强 DNS 工作流的明智之举。