< 返回新聞公共列表

五種DNS攻擊類型及其預(yù)防方法

發(fā)布時(shí)間:2023-02-23 14:51:28

什么是DNS?域名系統(tǒng) (DNS) 是一種將域名(例如website.com)轉(zhuǎn)換為IP地址的協(xié)議。當(dāng)用戶在瀏覽器中輸入域名website.com時(shí),DNS 解析器(操作系統(tǒng)中的一個(gè)程序)會(huì)搜索數(shù)字IP地址或website.com。


五種DNS攻擊類型及其預(yù)防方法.jpeg


為什么要對(duì)DNS進(jìn)行攻擊?DNS是IP網(wǎng)絡(luò)和互聯(lián)網(wǎng)的一項(xiàng)基本服務(wù),這意味著在大多數(shù)交換期間都需要DNS。通信通常從DNS解析開(kāi)始,如果解析服務(wù)不可用,大多數(shù)應(yīng)用程序?qū)o(wú)法再運(yùn)行。 

攻擊者經(jīng)常試圖通過(guò)繞過(guò)協(xié)議標(biāo)準(zhǔn)功能或利用漏洞利用和缺陷來(lái)拒絕DNS服務(wù)。DNS被所有安全工具接受,對(duì)協(xié)議或使用的驗(yàn)證有限。這可以為隧道、數(shù)據(jù)泄露和其他利用地下通信的攻擊打開(kāi)大門。


五種主要的DNS攻擊類型是什么?

1、DNS隧道

DNS隧道涉及對(duì)DNS查詢和響應(yīng)中的其他程序或協(xié)議的數(shù)據(jù)進(jìn)行編碼。它通常具有可以接管DNS服務(wù)器并允許攻擊者管理遠(yuǎn)程服務(wù)器和應(yīng)用程序的數(shù)據(jù)有效負(fù)載。 

DNS隧道通常依賴于受感染系統(tǒng)的外部網(wǎng)絡(luò)連接,這提供了一種通過(guò)網(wǎng)絡(luò)訪問(wèn)進(jìn)入內(nèi)部DNS服務(wù)器的方法。它還需要控制服務(wù)器和域,該服務(wù)器和域充當(dāng)執(zhí)行數(shù)據(jù)有效負(fù)載可執(zhí)行程序以及服務(wù)器端隧道的權(quán)威服務(wù)器。 

2、DNS放大

DNS放大攻擊在目標(biāo)服務(wù)器上執(zhí)行分布式拒絕服務(wù)(DDoS)。這涉及利用公開(kāi)可用的開(kāi)放式 DNS 服務(wù)器,以便用DNS響應(yīng)流量壓倒目標(biāo)。 

通常,攻擊始于威脅行為者向開(kāi)放的DNS服務(wù)器發(fā)送DNS查找請(qǐng)求,將源地址欺騙為目標(biāo)地址。一旦DNS服務(wù)器返回DNS記錄響應(yīng),它就會(huì)被傳遞到新的目標(biāo),該目標(biāo)由攻擊者控制。

3、DNS泛洪攻擊

DNS泛洪攻擊涉及使用DNS協(xié)議執(zhí)行用戶數(shù)據(jù)報(bào)協(xié)議(UDP)泛洪。威脅行為者以極高的數(shù)據(jù)包速率部署有效(但被欺騙)的DNS請(qǐng)求數(shù)據(jù)包,然后創(chuàng)建大量源IP地址組。 

由于請(qǐng)求看起來(lái)有效,目標(biāo)的DNS服務(wù)器開(kāi)始響應(yīng)所有請(qǐng)求。接下來(lái),DNS服務(wù)器可能會(huì)被大量請(qǐng)求淹沒(méi)。DNS攻擊需要大量網(wǎng)絡(luò)資源,這會(huì)使目標(biāo)DNS基礎(chǔ)設(shè)施疲憊不堪,直到它脫機(jī)。結(jié)果,目標(biāo)的互聯(lián)網(wǎng)訪問(wèn)也下降了。 

4、DNS 欺騙

DNS欺騙或DNS緩存中毒涉及使用更改的DNS記錄將在線流量重定向到冒充預(yù)期目的地的欺詐站點(diǎn)。一旦用戶到達(dá)欺詐目的地,系統(tǒng)就會(huì)提示他們登錄自己的帳戶。 

一旦他們輸入了信息,他們實(shí)際上就給了威脅行為者竊取訪問(wèn)憑證以及在欺詐性登錄表單中輸入的任何敏感信息的機(jī)會(huì)。此外,這些惡意網(wǎng)站通常用于在最終用戶的計(jì)算機(jī)上安裝病毒或蠕蟲,使威脅行為者能夠長(zhǎng)期訪問(wèn)計(jì)算機(jī)及其存儲(chǔ)的任何數(shù)據(jù)。

5、NXDOMAIN攻擊

DNS NXDOMAIN泛洪DDoS攻擊試圖通過(guò)對(duì)無(wú)效或不存在的記錄發(fā)出大量請(qǐng)求來(lái)淹沒(méi)DNS服務(wù)器。這些攻擊通常由DNS代理服務(wù)器處理,該服務(wù)器用盡其大部分(或全部)資源來(lái)查詢DNS權(quán)威服務(wù)器。這會(huì)導(dǎo)致DNS權(quán)威服務(wù)器和DNS代理服務(wù)器耗盡所有時(shí)間來(lái)處理錯(cuò)誤的請(qǐng)求。結(jié)果,合法請(qǐng)求的響應(yīng)時(shí)間變慢,直到最終完全停止。


以下幾種方法可以幫助我們保護(hù)企業(yè)免受DNS攻擊:

1、保持DNS解析器的私密性和受保護(hù)

將DNS解析器的使用限制為僅供網(wǎng)絡(luò)上的用戶使用,永遠(yuǎn)不要對(duì)外部用戶開(kāi)放,這可以防止其緩存被外部參與者毒化。 

2、配置我們的DNS以防止緩存中毒

在我們的DNS軟件中配置安全性,以保護(hù)我們企業(yè)免受緩存中毒。我們可以為傳出請(qǐng)求添加可變性,以使威脅行為者難以插入虛假響應(yīng)并使其被接受。例如,嘗試隨機(jī)化查詢ID,或使用隨機(jī)源端口而不是 UDP端口53。

3、安全地管理我們的DNS服務(wù)器

權(quán)威服務(wù)器可以由服務(wù)提供商在內(nèi)部托管,也可以在域名注冊(cè)商的幫助下托管。如果我們具備內(nèi)部托管所需的技能和專業(yè)知識(shí),則可以完全控制。如果我們不具備所需的技能和規(guī)模,可能會(huì)從這方面的外包中受益。 

4、測(cè)試我們的Web應(yīng)用程序和API是否存在DNS漏洞

Bright會(huì)自動(dòng)掃描我們的應(yīng)用程序和API以查找數(shù)百個(gè)漏洞,包括DNS 安全問(wèn)題。


以上是五種DNS攻擊類型及其預(yù)防方法,希望能幫助到大家!


/template/Home/Zkeys724/PC/Static