您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
2024年需要重點關注的10種 DNS 攻擊類型
目前,針對域名系統(tǒng)(DNS)的攻擊已經(jīng)成為企業(yè)組織數(shù)字化發(fā)展中的一個嚴重問題,每年都有數(shù)千個網(wǎng)站成為此類攻擊的受害者。據(jù)最近的研究數(shù)據(jù)顯示,2023年企業(yè)組織與DNS攻擊相關的損失同比增加了49%,這些損失不僅是在企業(yè)的財務方面,還包括對組織內(nèi)部系統(tǒng)和云上應用造成的損害。
企業(yè)如果要保護網(wǎng)絡免受此類攻擊,前提就是要了解不同類型的DNS攻擊,并找到相對應的緩解方法。在本文中,研究人員詳細介紹了當前最危險的10種DNS攻擊類型以及原理,并給出了相應的預防建議。
1、DNS緩存投毒攻擊
DNS緩存投毒是指在用戶訪問合法網(wǎng)站時,誘使其訪問欺詐性網(wǎng)站。例如當用戶需要訪問gmail.com查看電子郵件時,攻擊者通過破壞DNS,顯示了一個欺詐性網(wǎng)站而不是gmail.com頁面,以此來獲取對受害者電子郵件賬戶的訪問權(quán)限。
攻擊原理
●DNS緩存允許DNS解析器臨時存儲域名與IP地址的對應關系。
●攻擊者利用DNS緩存投毒攻擊,向DNS解析器或目標設備發(fā)送虛假的DNS響應,假冒真實的DNS服務器。
●攻擊者試圖將虛假的DNS記錄放入目標設備的DNS緩存中。
●DNS消息具有事務ID,用于將響應與相關的請求進行匹配。
防護建議
●及時更新和修補系統(tǒng)
●使用可信賴的DNS服務器
●實施DNSSEC(DNS安全擴展)
●監(jiān)控DNS流量
●配置防火墻和入侵檢測/防御系統(tǒng)
●加密DNS流量
2、分布式反射拒絕服務
分布式反射式拒絕服務(DRDoS)的攻擊手法是通過發(fā)送大量UDP確認消息使目標不可用。在某些情況下,攻擊者還可能會修改DNS、NTP等記錄。為了能夠?qū)嶋H操作在偽造地址上的主機與更多的確認消息關聯(lián)起來,攻擊者需要使用偽造的源IP地址。當這些偽造的確認消息開始出現(xiàn)時,目標系統(tǒng)將變得難以訪問。當這些攻擊以適當?shù)囊?guī)模進行控制時,集體反射的情況就會變得明顯,即多個終端廣播偽造的UDP請求,生成的確認消息將指向單個目標。
攻擊原理
●DDoS攻擊利用網(wǎng)絡協(xié)議的特點,使得一個小的請求能夠引發(fā)巨大的響應。
●攻擊流量并不直接從攻擊者發(fā)送到受害者,而是發(fā)送請求到互聯(lián)網(wǎng)上的弱點服務器或設備,這些服務器或設備會以更多的流量作出響應。
●攻擊者會通過僵尸網(wǎng)絡(botnet)發(fā)起DDoS攻擊。
防護建議
●將服務器放置在不同的數(shù)據(jù)中心。
●確保數(shù)據(jù)中心位于不同的網(wǎng)絡上。
●確保數(shù)據(jù)中心具有多個可訪問路徑。
●確保數(shù)據(jù)中心或與數(shù)據(jù)中心相關聯(lián)的網(wǎng)絡沒有嚴重的安全漏洞或單點故障。
3、DNS隧道攻擊
這種網(wǎng)絡攻擊利用 DNS 確認和查詢通道,從多個應用程序傳輸編碼數(shù)據(jù)。雖然它從未被廣泛使用,但研究人員發(fā)現(xiàn)這項技術現(xiàn)在開始被攻擊者關注,因為它能夠規(guī)避接口保護措施,而入侵者必需要對目標系統(tǒng)、域名和 DNS 權(quán)威服務器進行物理訪問才能進行 DNS 隧道攻擊。
攻擊原理
●域名系統(tǒng)中的隧道需要隱藏不屬于 DNS 查詢或答案的信息。
●DNS 隧道利用 DNS 協(xié)議,該協(xié)議主要用于域名解析,其目的不是預期的原因。
●使用 DNS 隧道,可以在常規(guī) DNS 流量中建立秘密的通信路徑。
●通過DNS隧道,可以從受感染的網(wǎng)絡或系統(tǒng)中提取私密數(shù)據(jù)。
防護建議
●創(chuàng)建訪問規(guī)則。
●創(chuàng)建協(xié)議對象。
●創(chuàng)建應用程序規(guī)則。
4、TCP SYN洪水攻擊
TCP SYN洪水攻擊是一種危險的拒絕服務(DDoS)攻擊,可以破壞使用傳輸控制協(xié)議(TCP)進行互聯(lián)網(wǎng)通信的任何服務。常見的基礎設施組件,如負載均衡器、防火墻、入侵防御系統(tǒng)(IPS)和利用服務器,都可能容易受到SYN波攻擊的影響,即使是設計用于管理數(shù)百萬個連接的高容量設備也可能因這種攻擊而癱瘓。
攻擊原理
●TCP過程有三個步驟:SYN、SYN-ACK 和 ACK。
●攻擊者向目標服務器發(fā)送大量 SYN(同步)數(shù)據(jù)包,同時表示他們想要建立新的連接。
●目標服務器為每個傳入的 SYN 數(shù)據(jù)包提供系統(tǒng)資源,如 RAM 和有關連接狀態(tài)的詳細信息。
●攻擊者經(jīng)常偽造SYN數(shù)據(jù)包中的原始IP地址,以增加發(fā)現(xiàn)和阻止的難度。
●保留了太多半開放的鏈接,這給目標系統(tǒng)的內(nèi)存、CPU 和連接狀態(tài)表造成過大的壓力。
防護建議
●提供對內(nèi)聯(lián)和離線部署的適當支持,以確保網(wǎng)絡上不存在單一的崩潰點。
●能夠查看和檢查來自網(wǎng)絡各個部分的流量。
●不同的威脅情報來源,包括統(tǒng)計異常檢測、可自定義的入口警報和已知威脅的指紋,確保快速可靠的檢測。
●可擴展以處理各種規(guī)模的攻擊,從低端到高端,從高端到低端。
5、DNS劫持攻擊
DNS 劫持攻擊在網(wǎng)絡犯罪領域也很常見。發(fā)生DNS劫持攻擊時,攻擊者會操縱域名查詢的解析服務,導致訪問被惡意定向至他們控制的非法服務器,這也被成為DNS投毒或DNS重定向攻擊。除了實施網(wǎng)絡釣魚活動的黑客外,這還可能由信譽良好的實體(比如ISP)完成,其這么做是為了收集信息,用于統(tǒng)計數(shù)據(jù)、展示廣告及其他用途。
攻擊原理
●攻擊者通過未經(jīng)許可進入 DNS 服務器或管理界面來更改域的 DNS 記錄。
●DNS黑客可用于誘騙人們訪問看起來很像真實網(wǎng)站的虛假網(wǎng)站。
●攻擊者可以將人員發(fā)送到惡意網(wǎng)站或內(nèi)部漏洞利用工具包。
●在一些DNS劫持攻擊中,官方DNS服務器或互聯(lián)網(wǎng)服務提供商(ISP)的DNS解析器被黑客入侵。
防護建議
●檢查網(wǎng)絡上的解析器。
●嚴格限制對名稱服務器的訪問。
●采取措施防范緩存污染。
●即時修補已知漏洞。
●分隔權(quán)威名稱來自解析程序的服務器。
●限制區(qū)域的更改。
6、幻域攻擊
幻域攻擊與普通子域名攻擊類似,在這種類型的攻擊中,由于一些“幻影”域名從不響應DNS查詢,攻擊者會通過大量查詢耗盡DNS解析器的資源。這種攻擊的目的是使DNS解析器在放棄或提供不良響應之前等待過長的時間,從而大量影響DNS的性能。
防護建議
●增加遞歸客戶端數(shù)量。
●使用參數(shù)的正確順序以獲得最佳結(jié)果。
●限制每個服務器的遞歸查詢和每個區(qū)域的遞歸查詢。
●啟用對不響應的服務器的抑制,并檢查每個區(qū)域的遞歸查詢。
7、DNS 洪水攻擊
DNS洪水攻擊屬于分布式拒絕服務(DDoS)攻擊的一種,主要目標是使服務器訪問過載,使其無法繼續(xù)為DNS請求提供服務。當這種類型的攻擊來自單個 IP地址時很容易緩解。然而,當 DDoS 涉及數(shù)百或數(shù)千人時,情況可能會變得復雜。緩解方法有時可能很棘手,因為許多查詢會很快被識別為惡意錯誤,并且會發(fā)出許多有效的請求來混淆防御設備。
攻擊原理
●嘗試通過一次性發(fā)送大量DNS請求來破壞DNS服務器或系統(tǒng);
●用戶數(shù)據(jù)報協(xié)議(UDP)和傳輸控制協(xié)議(TCP)都可以用于進行DNS洪水攻擊;
●通過使用不安全的DNS解析器或合法DNS服務器來增加發(fā)送的數(shù)據(jù)量。
防護建議
●任何存儲在DNS中并成為分布式拒絕服務(DDoS)洪水攻擊目標的域名信息都將無法訪問。
●定期更新舊信息,并跟蹤在許多DNS提供商中接收到最多查詢的域名。
8、隨機子域攻擊
隨機子域名攻擊的構(gòu)造與簡單的拒絕服務攻擊(DoS)基本相同,因此通常被視為DoS攻擊。此類攻擊的目標是創(chuàng)建一個拒絕服務(DoS)攻擊,以超負荷運行負責處理主域名的官方DNS服務器,從而阻止DNS記錄的查詢。這些請求通常將來被感染的訪問用戶,他們并不知道自己在發(fā)送特定類型的查詢,使得這種攻擊很難被識別和阻止。
攻擊原理
●攻擊者可以通過隨機子域名攻擊在現(xiàn)有域名上創(chuàng)建大量子域;
●作為快速流轉(zhuǎn)方法的一部分,攻擊者會非??焖俚馗呐c子域名相關聯(lián)的IP地址;
●攻擊者使用DGA(域名生成算法)創(chuàng)建大量看似隨機選擇的域名或子域;
●在隨機子域攻擊中,隨機創(chuàng)建的子域名可能托管惡意軟件或其他有害內(nèi)容。
防護建議
●了解與受害者相關的解析器和網(wǎng)絡資源產(chǎn)生大量流量的攻擊技術
●了解保護激發(fā)攻擊的DNS解析器的現(xiàn)代功能,如響應速率限制
9、僵尸網(wǎng)絡攻擊
僵尸網(wǎng)絡是一組受感染的 Internet 連接設備,可用于發(fā)起協(xié)調(diào)的拒絕服務攻擊,在此期間,受感染的設備可用于竊取信息、發(fā)送垃圾郵件,并授予攻擊者對受感染設備及其網(wǎng)絡連接的完全控制權(quán)。
攻擊原理
●當許多計算機感染類似機器人或僵尸等軟件時,它們會形成僵尸網(wǎng)絡。
●僵尸網(wǎng)絡由攻擊者通常保持的中央命令和控制計算機運行。
●攻擊者可以使用僵尸網(wǎng)絡同時控制許多被黑客入侵設備的操作,從不同的地方發(fā)起協(xié)同攻擊。
●分布式拒絕服務 (DDoS) 攻擊通常利用僵尸網(wǎng)絡發(fā)動。
防護建議
●正確了解漏洞。
●保護 IoT 設備。
●確定緩解措施是否真實可行。
●發(fā)現(xiàn)、分類和控制漏洞。
10、域名(Domain)劫持
在這種攻擊中,攻擊者會修改域名注冊商和 DNS 服務器,以便將用戶的流量重新路由到其他地方。如果攻擊者獲得了DNS 數(shù)據(jù)的控制權(quán),則域名劫持也可能發(fā)生在 DNS層面上。當攻擊者控制用戶的域名時,他們可以使用它來發(fā)起攻擊,例如為 PayPal、Visa 或銀行系統(tǒng)等支付系統(tǒng)設置虛假頁面。
攻擊原理
●域名劫持是指某人非法奪取合法所有者的域名所有權(quán)。
●如果攻擊者控制了域名,他們可以更改其DNS設置。
●攻擊者可能添加新的子域名或更改現(xiàn)有的子域名,以使他們的惡意行為更加有效。
防護建議
●升級應用程序基礎結(jié)構(gòu)中的 DNS。
●使用DNSSEC(DNS安全擴展)。
●保護訪問權(quán)限。
●啟用客戶端鎖定功能。
參考鏈接:https://cybersecuritynews.com/dns-attacks/
來源:安全牛