疫情肆虐的三年时间,让我们重新认识了网络的重要性,线上授课、远程办公、视频会议,网络正以肉眼可见的速度改变着我们日常工作生活节奏与方式。快速发展的网络技术,实现了数据在人、物和应用之间的高速移动,带来非凡流畅的数字体验。但在这种技术所带来的的便捷性背后,同样隐藏着极大的安全隐患,网络攻击强度和危害同网络技术水平呈同步发展趋势,对全球网络秩序造成的破坏与日俱增。
网络攻击高涨,DNS成重点攻击对象
根据国外知名网络安全公司Check Point Research(CPR)发布的研究报告显示,2021年全球企业遭受的网络攻击同比高涨40%,因网络攻击造成的损失估计达到了6万亿美元,而这一数据在2020年仅为1万亿美元。中国所在的亚太地区是网络攻击的重灾区。
而由于域名系统在网络互联中的特殊作用,其越来越受到网络攻击行为的关注,成为增长{BANNED}最佳为明显,破坏力{BANNED}最佳强的攻击方式之一。EfficientIP与IDC合作发布的《2022年全球DNS威胁报告》指出,在过去一年中,88%的组织遭受了与DNS相关的攻击,平均每家公司有7次,其中包括DNS隧道、ddos攻击、DNS劫持和云配置错误滥用等技术手段。
DNS—全球网络中的导航体系
域名系统(Domain Name System)是互联网的一项核心基础服务,它使用分层的分布式数据库来处理互联网上的域名与IP地址之间的映射,用于在对域名发起访问时,将域名解析信息返回客户或应用程序,从而完成对网站服务器的访问流程。
从互联网体系架构来看,我们可以将互联网简单分为物理设施层、基础资源层和应用层三层结构。物理设施层是网络的硬件部分,是信息传播的高速公路;应用层是网络中的各种应用,犹如行驶在高速公路中的众多车辆。
而基础资源层则由域名系统和路由系统组成,二者组成互联网的寻址解析系统,是网络世界中的导航系统。如果域名系统遭遇攻击或发生故障,导航系统失效,信息高速公路上的各种车辆便无法正常运行,表现在现实场景中就是用户无法通过域名访问对应的站点,或者解析错误用户被引导至错误的网站。
DNS当前存在的防护弱点
一方面,DNS协议在设计之初只注重其可用性,并未任何信息验证机制,导致其安全性极低,几乎所有的技术防御措施都允许DNS协议类型数据报文不受限制地传输,因此极易成为攻击者利用和攻击的对象,随着时间的推移,DNS暴露的安全问题愈发明显。
另一方面,人们多关注网络基础层和网站应用层上的安全防护,而对于中间层的域名系统重视程度不够。据数据显示,全球约有68%的企业忽略对DNS系统的防护,没有对DNS解析进行有效的监测和防御,这就导致在DNS遭受攻击时,不能及时发现并作出反应,即便有所反应,也没有足够的技术手段进行防御。
DNS攻击类型有哪些
1.DNS劫持
DNS劫持又称域名劫持,是攻击者利用缺陷对用户的DNS进行篡改,将域名由正常IP指向受攻击者控制的IP,从而使得访客被劫持到一个与原目标网站高度相似的虚假网站,或者是站点不可达,以此达到非法窃取用户信息或者破坏正常网络服务的目的。
DNS劫持通常是攻击者为了展示广告获取流量收入或通过网络钓鱼获取用户的数据。互联网服务提供商(ISP)也会通过DNS劫持,接管用户的DNS请求,屏蔽对一些特定网站的访问。
常见的DNS劫持手段主要包括以下几种:
DNS欺骗
DNS欺骗又叫缓存投毒,是攻击者利用DNS缓存机制,通过在DNS缓存中投入虚假解析信息,从而使得访问者发起请求时,为其返回一个错误的IP地址。
DNS隧道
DNS隧道通过DNS解析器在攻击者和目标之间创建隐藏连接,可绕过防火墙,用于实施数据泄露等攻击。在大多数情况下,DNS隧道需要借助能够连接外网的受感染系统作为跳板,来访问具有网络访问权限的内部DNS服务器。
DNS重新绑定
DNS重新绑定,是利用浏览器缓存的长期特性,将受害者浏览器对域名的请求,重新路由到托管有害内容的非法服务器。
2.拒绝服务(DoS)类攻击
Dos攻击旨在通过耗尽机器或网络的资源将其服务关闭,阻止用户访问机器或网络。需要强调的是,这种攻击的目的主要用于隐藏踪迹或阻碍受害者恢复工作。
DoS攻击主要类型包括:
DNS放大
DNS放大是一种非对称的DDo攻击,攻击者利用域名系统服务器中的漏洞,通过发起带有虚假目标IP的较小的查询请求,使得被欺骗目标成为更大DNS响应的接收者,从而达到持续消耗带宽容量使网络饱和的攻击效果,进而使得正常的解析请求无法正常进行。
缓冲区溢出
缓冲区溢出攻击旨在迫使系统将内存写入错误的缓冲区而不是预期的位置。当内存写入缓冲区而不是常规位置时,这会导致利用该内存的应用程序崩溃。
ICMP洪水
攻击者试图用 ICMP 回显请求包使目标设备不堪重负,当 ICMP ping 产生的大量回应请求超出了系统的{BANNED}最佳大限度,就会使得系统耗费所有资源来进行响应直至再也无法处理有效的网络信息流。
SYN洪水
SYN洪水利用TCP协议缺陷,发送大量伪造的TCP连接请求,导致被攻击服务器保持大量SYN_RECV状态的“半连接”,并且会重试默认5次回应第二个握手包,塞满TCP等待连接队列,资源耗尽。
3.分布式拒绝服务攻击
ddos攻击是DoS攻击的升级版,与DoS攻击由单台主机发起攻击相比较,分布式拒绝服务攻击DDoS是借助数百、甚至数千台被入侵后安装了攻击进程的主机同时发起的集团行为,每一个代理机都会向目标主机发送大量请求数据,从而快速消耗系统资源,导致系统崩溃。
DDOS攻击类型主要包括:
UDP洪水
攻击者向用户发送大量的垃圾UDP数据包,主机尝试与这些UDP包进行通信,如果没有找到数据包,主机将别无选择的回复。这种情况会一直持续下去,直至主机的网络资源被耗尽。
NTP放大
攻击者通过向NTP服务器发送大量的UDP数据包,以达到DoSS的目的。当NTP服务器的资源无法支撑解析所收到的查询请求时,系统就会崩溃。
HTTP洪水
攻击者向服务器发送大量合法GET或POST查询,迫使服务器回答每一个查询。这种资源密集型回复过程会耗尽服务器资源,从而导致服务中断。
DNS攻击常规应对方式
针对以上各种DNS攻击手段,常规的应对措施主要包括:
(1)严格的访问控制
采用更严格的网络访问控制策略,使用双因素或多因素身份验证,以更好地控制哪些用户可以访问他们的网络。
(2)部署零信任方案
零信任能提供一个安全且有弹性的环境,具有更大的灵活性和更好的监控,同时还能够缓解DNS威胁。
(3)DNS日常监控
及时检查域名设置的DNS服务器是否正确,检查所有权威和辅助DNS服务器上的解析记录是否指向正确IP,发现异常及时作出反应。
中科三方立体化DNS防护体系
常规技术手段虽然能够缓解DNS攻击造成的危害,但无法真正杜绝层出不穷的DNS攻击,并对已发生的攻击产生有效应对,因此需要接入更专业的高防DNS,构建更全面、坚固的DNS安全防护体系。中科三方高防DNS具备以下几个功能,可以形成对DNS攻击更有效的防御和应对。
1.DNS健康监测
中科三方采用{BANNED}最佳新域名监测系统,可以通过Ping命令,TCP/UDP探测和HTTP(S)协议等多种手段对网络健康进行24小时轮询监测,发现异常情况及时发起告警,以供网站运营者及时作出反应。
2.弹性宽带
中科三方云解析具备弹性带宽的特点,当监测到服务器遭受DDoS攻击时,会立即扩大带宽,保证带宽容量不被消耗干净,确保正常用户可以正常访问。
3.流量清洗
通过对DNS攻击进行检测和分析,对已有缓存的域名结果应答进行预构建,从而过滤掉DDoS攻击流量。当遭遇相同地址攻击或数据库中出现的恶意访问地址,会交由缓存系统进行应答,从而缓解节服务器压力。
4.DDoS防火墙
中科三方云解析配备专业的DDoS防火墙,可有效抵御DDoS,UDP Flood,ICMP,IGMP,SYN Flood,ARP攻击,非TCP/IP协议层攻击等其他多种的未知攻击,通过集成的机制对这些攻击进行处理和阻断。
5.负载均衡
中科三方云解析可以将同一个域名指向不同服务器地址,当遭受大流量DDoS攻击或高流量访问时,可以实现智能判断,将用户访问或攻击分摊到不同的服务器中,来达到负载均衡的效果。
6.宕机切换
中科三方云解析可将解析指向多个服务器地址,并提供全天候无缝宕机监测,当发现其中目标服务器宕机时,{BANNED}中国第一时间将解析切换至备用服务器,以维持网站业务的可用性。
无论互联网应用形态如何变化,DNS作为互联网体系结构中衔接基础网络和上层应用的“导航系统”,其重要性始终不会改变,所以广大政府和企业对于DNS的安全防护要提高重视。中科三方作为深耕域名领域二十余年的域名服务商,致力于构建全方位立体化的域名安全防御体系,助力政府和企业实现底层网络服务能力的建设和提升。
原文链接:http://blog.chinaunix.net/uid-69996004-id-5872755.html
原创文章,作者:优速盾-小U,如若转载,请注明出处:https://www.cdnb.net/bbs/archives/21804