五种常见的DNS攻击类型及应对方式

随着俄乌冲突中网络战的升级，DNS安全成为业界关注的焦点。无论是去年3月份NSA发布的保护性DNS（PDNS）推荐指南，还是俄罗斯主权互联网的核心——DNS服务在战争期间的大规模启用，都表明DNS安全威胁在不断升级。

DNS记录着全球域名与IP地址的一一映射关系，是互联网中最基础的服务之一。由于其在互联网中的重要性以及DNS体系的先天局限性，DNS很容易成为网络攻击的重要目标。

根据IDC和Efficient IP最近的一项研究数据显示，在北美、欧洲和亚太地区的1100多家受访公司中，有87%的公司表示曾受到DNS攻击的影响。

据分析师称，DNS攻击造成的平均损失约为95万美元。研究人员还注意到通过DNS窃取数据的案件也急剧增加：26%的受访者曾以这种方式窃取敏感的客户数据——这一数字在2020年仅为16%。

为避免DNS攻击导致的重大损失，我们总结了以下五种最常见的DNS攻击类型以及相应的对策。

一、五种常见的DNS攻击类型

1.DNS劫持

DNS劫持又称域名劫持，是攻击者利用缺陷对用户的DNS进行篡改，将域名由正常IP指向攻击者控制的IP，从而导致访客被劫持到一个不可达或者假冒的网站，以此达到非法窃取用户信息或者破坏正常网络服务的目的。

DNS劫持可用于DNS域欺骗（攻击者通常目的是为了显示不需要的广告以产生收入）或用于网络钓鱼（为了让用户访问虚假网站并窃取用户的数据和凭据）。互联网服务提供商（ISP）也可能通过DNS劫持来接管用户的DNS请求，收集统计数据并在用户访问未知域名时返回广告或者屏蔽对特定网站的访问。

2.DNS放大攻击

DNS放大攻击是一种流行的DDoS攻击形式，其中目标系统被来自公共DNS服务器的查询响应淹没。攻击者向公共DNS服务器发送DNS名称查询，使用受害者的地址作为源地址，导致公共DNS服务器的响应都被发送到目标系统。

攻击者通常会查询尽可能多的域名信息，以最大限度地发挥放大效果。通过使用僵尸网络，攻击者也可以毫不费力地生成大量虚假DNS查询。此外，由于响应是来自有效服务器的合法数据，因此很难防止DNS放大攻击。

3.DNS缓存投毒

DNS缓存投毒又称DNS欺骗，是一种通过查找并利用DNS系统中存在的漏洞，将流量从合法服务器引导至虚假服务器上的攻击方式。

在实际的DNS解析过程中，用户请求某个网站，浏览器首先会查找本机中的DNS缓存，如果DNS缓存中记录了该网站和IP的映射关系，就会直接将结果返回给用户，用户对所得的IP地址发起访问。如果缓存中没有相关记录，才会委托递归服务器发起递归查询。

这种查询机制，缩短了全球查询的时间，可以让用户获得更快的访问体验，但也存在一定的安全风险。如果攻击者通过控制用户的主机或者使用恶意软件攻击用户的DNS缓存，就可以对DNS缓存中的域名映射关系进行篡改，将域名解析结果指向一个虚假IP。

4.DNS隧道

另一种流行且经验丰富的攻击模式是DNS隧道。这种攻击主要利用客户端-服务器模型注入恶意软件和其他数据。利用这些数据的有效负载，网络犯罪分子可以接管DNS服务器，然后可能访问其管理功能和驻留在其上的应用程序。

DNS隧道通过DNS解析器在攻击者和目标之间创建隐藏连接，可绕过防火墙，用于实施数据泄露等攻击。在大多数情况下，DNS隧道需要借助能够连接外网的受感染系统作为跳板，来访问具有网络访问权限的内部DNS服务器。

5.僵尸网络反向代理（Fast Flux）

Fast Flux是一种DNS规避技术，攻击者使用僵尸网络隐藏其网络钓鱼和恶意软件活动，逃避安全扫描。攻击者会使用受感染主机的动态IP地址充当后端僵尸网络主机的反向代理。Fast Flux也可通过组合使用点对点网络、分布式命令和控制、基于Web的负载平衡和代理重定向等方法，使恶意软件网络更难被检测到。

二、DNS攻击应对方式

1.采用更严格的访问控制

企业应采用更严格的网络访问控制策略，使用双因素或多因素身份验证，以更好地控制哪些用户可以访问他们的网络。

CISA建议公司定期更改所有可用于更改DNS记录的帐户的密码，包括公司管理的DNS服务器软件上的帐户、管理该软件的系统、DNS运营商的管理面板和DNS注册商帐户，DNS管理平台尽量避免采用与其他平台相同和类似的账号密码，以防止黑客采用遍历手段获取DNS解析和管理权限。

2.部署零信任方案

零信任方法越来越受欢迎，部分原因在于许多组织已经采用了混合和远程工作模式。零信任还可以帮助缓解DNS威胁。

Gartner建议安全和风险领导者实施两个与网络相关的关键零信任项目以降低风险：一个是零信任网络访问(ZTNA)，它根据用户及其设备的身份、时间和日期、地理位置、历史使用模式和设备运行状况等其他因素授予访问权限。根据Gartner的说法，零信任能提供一个安全且有弹性的环境，具有更大的灵活性和更好的监控。第二个是基于身份的网络分段，这也是一种久经考验的方法，可以限制攻击者在网络中横向移动的能力。

3.检查/验证DNS记录

建议企业及时检查拥有和管理的所有域名，确保名称服务器引用正确的DNS服务器，这一点至关重要；检查所有权威和辅助DNS服务器上的所有DNS记录，发现任何差异和异常，将其视为潜在的安全事件，及时查找原因并解决。

4.接入高防服务

在做好以上常规网络安全措施基础之上，广大企业还需要接入更专业的DNS高防服务。中科三方云解析支持高防DNS，可有效应对DDoS攻击、DNS query查询等常见的网络攻击，实时监测域名安全状况，避免因DNS劫持、DNS污染对网站域名带来的影响。

中科三方云盾可实时拦截OWASP、CVE、CNVD、0day/1day等各种漏洞，支持智能备源，针对源服务器内容被篡改、破坏、甚至宕机的情况，代替源服务器向访客提供业务系统备份数据，全方位阻断各种网络攻击，保护企业网络安全。

随着技术的发展，DNS攻击数量快速增加，攻击手段愈发多样，对广大政企的威胁日益凸显，因此网站管理者和运营者一定要提高警惕，选择正规专业的域名解析服务商，定期检查域名解析情况，发现问题及时与服务商联系，才能有效应对各种DNS攻击类型，保障广大政企网站业务的正常开展。