本文來自安全牛。
域名系統(tǒng)(DNS)是一種結(jié)構(gòu)化的命名系統(tǒng),是Internet基礎(chǔ)結(jié)構(gòu)的關(guān)鍵部分。目前,針對DNS的攻擊已經(jīng)成為網(wǎng)絡(luò)安全中的一個(gè)嚴(yán)重問題,每年都有數(shù)千個(gè)網(wǎng)站成為此類攻擊的受害者。為了保護(hù)網(wǎng)絡(luò)免受此類攻擊,重要的是要了解不同類型的DNS攻擊,并找到相對應(yīng)的緩解方法。
01
拒絕服務(wù)(DoS)類攻擊
從DoS這個(gè)描述性就可以看出這類DNS網(wǎng)絡(luò)攻擊的特點(diǎn),旨在通過耗盡機(jī)器或網(wǎng)絡(luò)的資源將其服務(wù)關(guān)閉,阻止用戶訪問機(jī)器或網(wǎng)絡(luò)。需要強(qiáng)調(diào)的是,這種攻擊的目的主要用于隱藏蹤跡或阻礙受害者恢復(fù)工作。
DoS攻擊通常被不法分子用來追蹤采用高級網(wǎng)絡(luò)保護(hù)的高價(jià)值目標(biāo),其主要類型包括:
DNS放大
DNS放大是DoS攻擊中用于利用域名系統(tǒng)并加大目標(biāo)網(wǎng)站流量的一種技術(shù)。這種攻擊方法利用的主要技術(shù)包括DNS反射和地址偽造。不法分子實(shí)施這種攻擊的手法是,向域名系統(tǒng)服務(wù)器發(fā)送偽造的IP數(shù)據(jù)包,請求目標(biāo)的域名,使用目標(biāo)的IP地址代替自己的IP地址。
所有這些查詢都由DNS服務(wù)器用目標(biāo)機(jī)器的IP地址來答復(fù)。然后,受害者的服務(wù)器向每個(gè)請求發(fā)送相同的答復(fù)。這導(dǎo)致龐大的數(shù)據(jù)流量從受害者網(wǎng)絡(luò)的端口80或25流入。
資源耗盡
資源耗盡DoS攻擊是指,攻擊者旨在通過耗盡設(shè)備的資源池(CPU、內(nèi)存、磁盤和網(wǎng)絡(luò)),在受害者的機(jī)器中觸發(fā)DoS類型的響應(yīng)。內(nèi)存耗盡是另一種資源耗盡DoS攻擊,比如針對電子郵件代理,威脅分子只需將數(shù)十萬個(gè)附件上傳到草稿郵件,即可觸發(fā)內(nèi)存耗盡攻擊。
緩沖區(qū)溢出
緩沖區(qū)溢出攻擊(BOA)是一種漏洞或限制利用攻擊,旨在迫使系統(tǒng)將內(nèi)存寫入錯(cuò)誤的緩沖區(qū)而不是預(yù)期的位置。當(dāng)內(nèi)存寫入緩沖區(qū)而不是常規(guī)位置時(shí),這會導(dǎo)致利用該內(nèi)存的應(yīng)用程序崩潰。這個(gè)問題是用C語言編寫的應(yīng)用程序所特有的。
緩沖區(qū)溢出攻擊也可用于DoS之外的目的。比如說,攻擊者可能會篡改或替換基址指針或指標(biāo)指針中的值,以執(zhí)行惡意代碼。
ICMP洪水
這種DoS攻擊又叫ping洪水,它濫用常見的連接測試來導(dǎo)致目標(biāo)系統(tǒng)崩潰、宕機(jī)、重啟或無法運(yùn)行。工作原理是,一臺機(jī)器向另一臺機(jī)器發(fā)送ICMP回應(yīng)請求。反過來,接收端發(fā)回答復(fù)。只要測量往返,即可確定連接強(qiáng)度。而攻擊者可以濫用ICMP回應(yīng)答復(fù)機(jī)制使受害者的網(wǎng)絡(luò)不堪重負(fù)。不過攻擊者必須知道受害者的IP地址才能明確攻擊的重點(diǎn)。此外,攻擊者還要了解受害者路由器的相關(guān)信息。
SYN洪水
SYN洪水又叫“半開”攻擊,它濫用了TCP/IP三次握手機(jī)制。三次握手機(jī)制的工作原理是,攻擊者將通過重復(fù)發(fā)送SYN數(shù)據(jù)包,并忽略服務(wù)器端的SYN-ACK數(shù)據(jù)包,從而觸發(fā)服務(wù)器的拒絕用戶響應(yīng)。
DoS類DNS攻擊防護(hù)建議:
●使用合法的云托管服務(wù);
●實(shí)施系統(tǒng)可用性監(jiān)控;
●及時(shí)鎖定注冊表;
●部署應(yīng)用IDS/IPS工具;
●定期開展自動化靜態(tài)和動態(tài)分析;
●定期使用模糊測試技術(shù);
●實(shí)施數(shù)據(jù)執(zhí)行預(yù)防措施;
●對網(wǎng)頁代碼進(jìn)行安全性檢查;
●關(guān)注編譯器報(bào)警,并準(zhǔn)確查找原因;
●添加預(yù)警機(jī)制,并對入站ICMP消息進(jìn)行處理限制;
●使用邊界防火墻微調(diào);
●一旦積壓隊(duì)列已滿,使用最舊的半開TCP/IP連接。
02
分布式拒絕服務(wù)(DDoS)類攻擊
與簡單的DoS攻擊相比,DDoS攻擊發(fā)生的頻率更高。因?yàn)榻┦瑱C(jī)器和僵尸網(wǎng)絡(luò)在暗網(wǎng)上很容易獲得;與DoS相比,DDoS類攻擊得逞的概率更高。
以下是DDoS類DNS攻擊的主要技術(shù)方式:
UDP洪水
這種DDoS與SYN洪水攻擊非常相似,利用用戶數(shù)據(jù)報(bào)協(xié)議(UDP)和UDP數(shù)據(jù)包。攻擊者向用戶已打開端口發(fā)送大量的垃圾UDP數(shù)據(jù)包。主機(jī)以為這些是合法的UDP通信嘗試,試圖在該端口上偵聽,如果沒找到數(shù)據(jù)包,主機(jī)將別無選擇的回復(fù)ICMP無法抵達(dá)。這種情況會一直持續(xù)下去,直至主機(jī)的網(wǎng)絡(luò)資源被耗盡。
NTP放大
在網(wǎng)絡(luò)時(shí)間協(xié)議(NTP)攻擊中,威脅分子會向NTP服務(wù)器發(fā)送大量的UDP數(shù)據(jù)包,以達(dá)到DoS的目的。當(dāng)NTP服務(wù)器的資源無法支撐解析所收到的查詢請求時(shí),它就會崩潰。
HTTP洪水
這是一種非常有效的DDoS攻擊方式,利用了GET或POST響應(yīng)機(jī)制。攻擊者向服務(wù)器發(fā)送盡可能多的合法GET或POST查詢,迫使服務(wù)器回答每一個(gè)查詢。這種資源密集型回復(fù)過程會耗盡服務(wù)器資源,從而導(dǎo)致服務(wù)中斷。
Fast Flux
Fast Flux攻擊目的主要用于掩蓋僵尸網(wǎng)絡(luò),嚴(yán)格上來講它不是一種攻擊,而是僵尸網(wǎng)絡(luò)運(yùn)營商用來逃避檢測的一種規(guī)避方法。借助Fast Flux,威脅分子可以在受感染的主機(jī)之間快速切換,從而使他們無法被檢測工具發(fā)覺。
反射式跨站點(diǎn)腳本(XSS)
在反射式跨站點(diǎn)腳本攻擊(XSS)模式中,威脅分子會濫用由接收請求的應(yīng)用程序發(fā)出的HTPP響應(yīng)。這么做的目的是,發(fā)現(xiàn)接收HTTP請求的應(yīng)用程序是否在收到查詢時(shí)執(zhí)行任何類型的數(shù)據(jù)檢查。一些不安全的網(wǎng)站會原樣返回搜索詞。威脅分子可以利用這種不當(dāng)?shù)臄?shù)據(jù)處理做法在URL中附加惡意參數(shù),實(shí)施XSS攻擊。
DDoS類DNS攻擊防護(hù)建議:
●執(zhí)行深度數(shù)據(jù)包檢查;
●應(yīng)用流量清理過濾器;
●抑制ICMP數(shù)據(jù)包的系統(tǒng)響應(yīng)率;
●執(zhí)行定期流量分析;
●及時(shí)關(guān)注IP的安全聲譽(yù);
●嚴(yán)格執(zhí)行JavaScript解析;
●驗(yàn)證IP來源;
●禁用monlist;
●實(shí)施訪問控制;
●加強(qiáng)員工網(wǎng)絡(luò)安全意識教育,不點(diǎn)擊可疑鏈接和郵件;
●正確使用Web應(yīng)用程序防火墻。
03
DNS劫持類攻擊
發(fā)生DNS劫持攻擊時(shí),網(wǎng)絡(luò)攻擊者會操縱域名查詢的解析服務(wù),導(dǎo)致訪問被惡意定向至他們控制的非法服務(wù)器,這也被成為DNS投毒或DNS重定向攻擊。
DNS劫持攻擊在網(wǎng)絡(luò)犯罪領(lǐng)域也很常見。DNS劫持活動還可能破壞或改變合規(guī)DNS服務(wù)器的工作。除了實(shí)施網(wǎng)絡(luò)釣魚活動的黑客外,這還可能由信譽(yù)良好的實(shí)體(比如ISP)完成,其這么做是為了收集信息,用于統(tǒng)計(jì)數(shù)據(jù)、展示廣告及其他用途。此外,DNS服務(wù)提供商也可能使用流量劫持作為一種審查手段,防止訪問特定頁面。
DNS劫持類攻擊主要的技術(shù)手段:
DNS欺騙
DNS欺騙又叫DNS緩存中毒,是網(wǎng)絡(luò)犯罪分子用來誘騙用戶連接到他們建立的虛假網(wǎng)站而不是合法網(wǎng)站的一種方法。有人通過域名系統(tǒng)請求訪問網(wǎng)站,而DNS服務(wù)器回應(yīng)不準(zhǔn)確的IP地址時(shí),這被認(rèn)為是DNS欺騙攻擊。然而,不僅僅是網(wǎng)站容易受到這種攻擊。黑客還可以使用這種方法,訪問電子郵件賬戶及其他私密數(shù)據(jù)。
DNA隧道
網(wǎng)絡(luò)流量可以使用DNS隧道的方式繞過網(wǎng)絡(luò)過濾器和防火墻等機(jī)制,以建立另外的數(shù)據(jù)傳輸通道。啟用DNS隧道后,用戶的連接將通過遠(yuǎn)程服務(wù)器路由傳輸互聯(lián)網(wǎng)流量。不幸的是,黑客經(jīng)常將此用于惡意目的。被惡意使用時(shí),DNS隧道是一種攻擊策略,數(shù)據(jù)通過DNS查詢來傳遞。除了通過平常會阻止這類流量的網(wǎng)絡(luò)秘密發(fā)送數(shù)據(jù)外,這還可用于欺騙內(nèi)容、避免過濾或防火墻檢測。
DNS重新綁定
DNS重新綁定是一種網(wǎng)絡(luò)攻擊方法,利用瀏覽器緩存的長期特性,欺騙受害者的瀏覽器在輸入域名時(shí)聯(lián)系惡意站點(diǎn)。攻擊者可以使用任何聯(lián)網(wǎng)設(shè)備(包括智能手機(jī))來實(shí)施攻擊,不需要任何類型的身份驗(yàn)證。受害者必須禁用瀏覽歷史記錄或打開瀏覽器隱身窗口,才能禁用緩存。利用該漏洞,攻擊者可以將受害者瀏覽器對域名的請求,重新路由到托管有害內(nèi)容的非法服務(wù)器。
DNS拼寫仿冒
DNS拼寫仿冒是一種受DNS劫持啟發(fā)的社會工程攻擊技術(shù),它使用域名中的錯(cuò)別字和拼寫錯(cuò)誤。常見的DNS拼寫仿冒攻擊始于攻擊者注冊一個(gè)域名,這個(gè)域名和目標(biāo)的網(wǎng)站域名非常相似。攻擊者隨后搭建一個(gè)虛假網(wǎng)站,網(wǎng)站內(nèi)容旨在說服用戶提供敏感信息,包括登錄密碼、信用卡資料及其他個(gè)人信息。
DNS劫持類攻擊防護(hù)建議:
●關(guān)閉不需要的DNS解析器;
●在合法的DNS解析器處部署防火墻;
●將名稱服務(wù)器與DNS解析器分開;
●開展及時(shí)有效的漏洞管理和修復(fù)工作;
●對DNS注冊商實(shí)施客戶端鎖定;
●確保使用支持DNSSEC的DNS服務(wù)商;
●始終啟用DNSSEC配置功能;
●為使用加密的VPN連接;
●實(shí)施路由器密碼安全政策。