DNS攻击类型及应对措施大盘点

根据 Neustar 国际安全委员会 (NISC) 的一项新研究，在过去12个月内全球有近四分之三的公司遭受了域名系统 (DNS) 攻击。在这些调查对象中有61%的公司遭受多次DNS攻击。

Neustar 指出，与勒索软件、分布式拒绝服务（DDoS）和有针对性的账户黑客攻击等网络攻击手段相比，网络安全人员通常对DNS攻击的关注度较低，从而导致DNS攻击所占比例越来越高，造成的破坏也越来越严重。根据Neustar最新研究表明，55%的网络安全从业者认为DNS入侵和攻击已成为一种日益严重的网络威胁，与之相比，2020年10月该数据为47%。

一、什么是DNS？

DNS是Domain Name System的缩写，翻译成中文就是“域名系统”。DNS是互联网中的一项核心服务，是用于实现域名和IP地址相互映射的一个分布式数据库，它将简单明了的域名翻译成可由计算机识别的IP地址，使用户可以更快速便捷地访问互联。DNS承担着将域名翻译为可由计算机直接读取的IP地址的基础功能，其对于保障网络的安全稳定运行至关重要。

二、DNS攻击类型和应对方式

DNS攻击是攻击者利用DNS系统中的弱点或漏洞发起的攻击，根据攻击方式的不同大致可分为以下几种：

1.DNS Floods

DNS查询过程通常都是基于UDP协议的，UDP协议是无连接状态的。所以这一弱点很容易被黑客所利用，DNS服务器收到DNS reply报文时，不管自己有没有发出去过解析请求，都会对这些DNS reply报文进行处理。DNS reply flood攻击模式就是黑客控制僵尸网络向DNS服务器发送大量不存在的域名的解析请求，导致缓存服务器因为处理这些DNS reply报文而资源耗尽，影响正常业务。

应对方式：防止域 Floods 攻击的方法有很多，其中包括安装 IP 验证协议。机器学习异常检测和阻止系统是最好的选择。如果问题特别严重且缺少此类拦截措施，则停用递归 DNS 服务器将通过防止更多中继来缓解此问题。

将请求限制为仅来自授权客户的请求是解决问题的另一种方法。在权威服务器上具有低响应速率限制（RRL）配置也可以。

2.域名劫持

域名劫持的攻击目的与方式十分直接，就是通过修改域名的NS记录，将域名原本指定的DNS服务器修改为黑客可以操控的DNS，然后便可以通过修改域名解析记录的方式，将域名指向恶意IP从而达到劫持的目的。

应对方式：（1）对抗域名劫持的最优方案是将解析锁定，以保证DNS服务器不被修改，甚至解析也无法随意变更。（2）选择正规专业的DNS服务商，可以获得性能较为强大的域名解析和域名监测服务，及时发现域名异常状态并快速解决。（3）安装SSL证书。SSL证书具备服务器身份认证功能，可以使DNS 劫持导致的连接错误情况及时被发现和终止，同时 HTTPS 协议可以在数据传输中对数据进行加密传输，保护数据不被窃取和修改。

3.缓存投毒

DNS缓存投毒的攻击模式也很容易理解，这种攻击中黑客不会直接去攻击域名的权威解析服务器，而是向攻击目标的本地递归解析服务器数据库中投入伪造的解析记录缓存。当用户发起访问请求时，第一时间来询问本地DNS，得到的回答是黑客之前投入的虚假记录，因而导致用户被引导向恶意的IP地址。

应对方式：防止缓存投毒攻击只需要刷新DNS服务器缓存即可，将解析记录的TTL值配置为相对较小的数值，缩短缓存存在时间，从而便可以避免持续被投毒攻击影响。