DNS 作为一项保持互联网正常工作的基本技术,最近成了攻击者经常攻击的目标 。 2019 年 IDC 全球 DNS 威胁报告指出,全球 82% 的企业遭受过 DNS 攻击,63% 的企业因为 DNS 攻击导致业务中断,平均损失超过 100 万美金。此外,今年初,互联网名称与数字地址分配机构(ICANN)警告称互联网 DNS 基础设施的 “关键部分存在持续且重大的风险”,并呼吁采用更强大的安全措施。 在此期间,思科威胁研究团队 Talos 一直密切关注 DNS。Talos 发现很多攻击都是利用 DNS 劫持和操纵作为主要感染媒介,并且在发布相关研究结果后,引发了很多上述警告。
针对 DNS 的攻击非常令人担忧。但究竟 DNS 是什么?DNS 如何受到攻击?可以采取哪些措施防范这些攻击?
DNS 基础知识
DNS 工作原理
域查找标准流程较之以上描述要复杂一下,因为要涉及多个 DNS 服务器。系统访问的第一台服务器是 DNS 解析器,其与图书管理员非常相似。其中的流程通常如下所述: 1、解析器将向 DNS 根服务器询问网站所在位置,就像图书管理员通过查阅卡片目录了解某本书在图书馆中的位置一样。 2、根服务器将解析器发送至顶级域服务器 (TLD),也就是使用 .com、.net和 .org 等细分的 DNS 服务器。这就像数字化的杜威十进制图书分类法。 3、TLD 服务器将获知 DNS 名称服务器(即您要访问的域的官方 DNS 服务器)的位置,并将告知解析器该 IP 地址。名称服务器就如同书卡。 4、解析器告知计算机相应域的 IP 地址,然后计算机将转至该站点。这就如同印在书卡上的图书位置。
DNS 工作原理(详细信息)
DNS 攻击原理
DNS 攻击的问题在于,它不是直接对目标发起攻击,而是像通过攻击图书管理员来攻击图书借阅人一样实行间接攻击。这种攻击通常称为 “DNS 劫持” 或 “DNS 重定向”。
DNS 重定向
恶意行为者可通过多种方式入侵 DNS 记录,例如: ● 攻击者可能对 DNS 管理员实施网络钓鱼,诱使其泄露自己的凭证信息,从而利用该凭证登录 DNS 接口并更改站点 IP 地址。 ● 攻击者可能入侵管理和更新 DNS 记录的 DNS 托管接口,从而更改相应域的记录。 ● 攻击者可能入侵 DNS 请求链中的任何 DNS 服务器或基础设施,从而导致重定向。
重定向攻击十年回顾
虽然 DNS 系统中的各种缺陷和弱点早已为人所知,但第一批值得关注的 DNS 攻击开始于 2009 年。当时,攻击者设法将 twitter.com 的 DNS 记录短暂更改为指向伊朗网军的黑客组织网站。 接下来几年中,发生了众多与 DNS 相关的攻击: ● 2011 年,土耳其黑客设法将大约 186 个域重定向至指向 “您已遭黑客入侵” 类型页面。 ● 叙利亚电子军设法将《纽约时报》、Twitter 和赫芬顿邮报重定向至黑客网站,然后在 2013 年和 2014 年对 Facebook 发动了同样的攻击。(Facebook 攻击得以制止的部分原因在于实施了多因素身份验证。) ● 2015 年,越南和马来西亚的 Google 区域站点遭到 DNS 重定向劫持。 ● 加密货币公司 Blockchain 的 DNS 记录于 2016 年遭劫持。(幸运的是,OpenDNS 很快发现了记录变化并进行了恢复。) 在这 10 年时间里,此类攻击频发,有的成功了,有的成败了。然而,Talos 研究人员发现,在 2018 年末 DNS 攻击达到了全新水平。
攻击者还可以使用其他几种方式来利用 DNS 执行恶意活动。某些威胁(例如DNSpionage 和 DNSMessenger)使用 DNS 来与命令和控制 (C2) 系统进行通信。DNSMessenger 以及其他威胁还被发现通过 DNS 进行隧道传输以窃取数据。 最近值得关注的另一个领域是使用 DNS over HTTPS (DoH) 协议的威胁。此协议旨在提高 DNS 查询的安全性,以防止窃听和中间人攻击。但是,本月初,一种名为 Godlua 的恶意软件系列被发现使用该协议进行恶意通信。鉴于 DoH 能够屏蔽流量,因此可能会有更多此类威胁随之而来。