簡析DNS攻擊的常見型別、危害與防護建議

​域名系統（DNS）是一種結構化的命名系統，是Internet基礎結構的關鍵部分。目前，針對DNS的攻擊已經成為網路安全中的一個嚴重問題，每年都有數千個網站成為此類攻擊的受害者。為了保護網路免受此類攻擊，重要的是要了解不同型別的DNS攻擊，並找到相對應的緩解方法。

1、拒絕服務（DoS）類攻擊

從DoS這個描述性就可以看出這類DNS網路攻擊的特點，旨在通過耗盡機器或網路的資源將其服務關閉，阻止使用者訪問機器或網路。需要強調的是，這種攻擊的目的主要用於隱藏蹤跡或阻礙受害者恢復工作。

DoS攻擊通常被不法分子用來追蹤採用高階網路保護的高價值目標，其主要型別包括：

DNS放大

DNS放大是DoS攻擊中用於利用域名系統並加大目標網站流量的一種技術。這種攻擊方法利用的主要技術包括DNS反射和地址偽造。不法分子實施這種攻擊的手法是，向域名系統伺服器傳送偽造的IP資料包，請求目標的域名，使用目標的IP地址代替自己的IP地址。

所有這些查詢都由DNS伺服器用目標機器的IP地址來答覆。然後，受害者的伺服器向每個請求傳送相同的答覆。這導致龐大的資料流量從受害者網路的埠80或25流入。

資源耗盡

資源耗盡DoS攻擊是指，攻擊者旨在通過耗盡裝置的資源池（CPU、記憶體、磁碟和網路），在受害者的機器中觸發DoS型別的響應。記憶體耗盡是另一種資源耗盡DoS攻擊，比如針對電子郵件代理，威脅分子只需將數十萬個附件上傳到草稿郵件，即可觸發記憶體耗盡攻擊。

緩衝區溢位

緩衝區溢位攻擊（BOA）是一種漏洞或限制利用攻擊，旨在迫使系統將記憶體寫入錯誤的緩衝區而不是預期的位置。當記憶體寫入緩衝區而不是常規位置時，這會導致利用該記憶體的應用程式崩潰。這個問題是用C語言編寫的應用程式所特有的。

緩衝區溢位攻擊也可用於DoS之外的目的。比如說，攻擊者可能會篡改或替換基址指標或指標指標中的值，以執行惡意程式碼。

ICMP洪水

這種DoS攻擊又叫ping洪水，它濫用常見的連線測試來導致目標系統崩潰、宕機、重啟或無法執行。工作原理是，一臺機器向另一臺機器傳送ICMP迴應請求。反過來，接收端發回答覆。只要測量往返，即可確定連線強度。而攻擊者可以濫用ICMP迴應答覆機制使受害者的網路不堪重負。不過攻擊者必須知道受害者的IP地址才能明確攻擊的重點。此外，攻擊者還要了解受害者路由器的相關資訊。

SYN洪水

SYN洪水又叫“半開”攻擊，它濫用了TCP/IP三次握手機制。三次握手機制的工作原理是，攻擊者將通過重複傳送SYN資料包，並忽略伺服器端的SYN-ACK資料包，從而觸發伺服器的拒絕使用者響應。

DoS類DNS攻擊防護建議：

• 使用合法的雲託管服務。
• 實施系統可用性監控。
• 及時鎖定登錄檔。
• 部署應用IDS/IPS工具。
• 定期開展自動化靜態和動態分析。
• 定期使用模糊測試技術。
• 實施資料執行預防措施。
• 對網頁程式碼進行安全性檢查。
• 關注編譯器報警，並準確查詢原因。
• 新增預警機制，並對入站ICMP訊息進行處理限制。
• 使用邊界防火牆微調。
• 一旦積壓佇列已滿，使用最舊的半開TCP/IP連線。

2、分散式拒絕服務（DDoS）類攻擊

與簡單的DoS攻擊相比，DDoS攻擊發生的頻率更高。因為殭屍機器和僵屍網路在暗網上很容易獲得；與DoS相比，DDoS類攻擊得逞的概率更高。

以下是DDoS類DNS攻擊的主要技術方式：

UDP洪水

這種DDoS與SYN洪水攻擊非常相似，利用使用者資料報協議（UDP）和UDP資料包。攻擊者向用戶已開啟埠傳送大量的垃圾 UDP資料包。主機以為這些是合法的UDP通訊嘗試，試圖在該埠上偵聽，如果沒找到資料包，主機將別無選擇的回覆ICMP無法抵達。這種情況會一直持續下去，直至主機的網路資源被耗盡。

NTP放大

在網路時間協議（NTP）攻擊中，威脅分子會向NTP伺服器傳送大量的UDP資料包，以達到DoS的目的。當NTP伺服器的資源無法支撐解析所收到的查詢請求時，它就會崩潰。

HTTP洪水

這是一種非常有效的DDoS攻擊方式，利用了GET或POST響應機制。攻擊者向伺服器傳送儘可能多的合法GET或POST查詢，迫使伺服器回答每一個查詢。這種資源密集型回覆過程會耗盡伺服器資源，從而導致服務中斷。

Fast Flux

Fast Flux攻擊目的主要用於掩蓋僵屍網路，嚴格上來講它不是一種攻擊，而是僵屍網路運營商用來逃避檢測的一種規避方法。藉助Fast Flux，威脅分子可以在受感染的主機之間快速切換，從而使他們無法被檢測工具發覺。

反射式跨站點指令碼（XSS）

在反射式跨站點指令碼攻擊（XSS）模式中，威脅分子會濫用由接收請求的應用程式發出的HTPP響應。這麼做的目的是，發現接收HTTP請求的應用程式是否在收到查詢時執行任何型別的資料檢查。一些不安全的網站會原樣返回搜尋詞。威脅分子可以利用這種不當的資料處理做法在URL中附加惡意引數，實施XSS攻擊。

DDoS類DNS攻擊防護建議：

• 執行深度資料包檢查。
• 應用流量清理過濾器。
• 抑制ICMP資料包的系統響應率。
• 執行定期流量分析。
• 及時關注IP 的安全聲譽。
• 嚴格執行JavaScript解析。
• 驗證IP來源。
• 禁用monlist。
• 實施訪問控制。
• 加強員工網路安全意識教育，不點選可疑連結和郵件。
• 正確使用Web應用程式防火牆。

3、DNS 劫持類攻擊

發生DNS劫持攻擊時，網路攻擊者會操縱域名查詢的解析服務，導致訪問被惡意定向至他們控制的非法伺服器，這也被成為DNS投毒或DNS重定向攻擊。

DNS 劫持攻擊在網路犯罪領域也很常見。DNS劫持活動還可能破壞或改變合規DNS伺服器的工作。除了實施網路釣魚活動的黑客外，這還可能由信譽良好的實體（比如ISP）完成，其這麼做是為了收集資訊，用於統計資料、展示廣告及其他用途。此外，DNS服務提供商也可能使用流量劫持作為一種審查手段，防止訪問特定頁面。

DNS劫持類攻擊主要的技術手段：

DNS欺騙

DNS欺騙又叫DNS快取中毒，是網路犯罪分子用來誘騙使用者連線到他們建立的虛假網站而不是合法網站的一種方法。有人通過域名系統請求訪問網站，而DNS伺服器迴應不準確的IP地址時，這被認為是DNS欺騙攻擊。然而，不僅僅是網站容易受到這種攻擊。黑客還可以使用這種方法，訪問電子郵件賬戶及其他私密資料。

DNA隧道

網路流量可以使用DNS隧道的方式繞過網路過濾器和防火牆等機制，以建立另外的資料傳輸通道。啟用DNS隧道後，使用者的連線將通過遠端伺服器路由傳輸網際網路流量。不幸的是，黑客經常將此用於惡意目的。被惡意使用時，DNS隧道是一種攻擊策略，資料通過DNS查詢來傳遞。除了通過平常會阻止這類流量的網路祕密傳送資料外，這還可用於欺騙內容、避免過濾或防火牆檢測。

DNS重新繫結

DNS重新繫結是一種網路攻擊方法，利用瀏覽器快取的長期特性，欺騙受害者的瀏覽器在輸入域名時聯絡惡意站點。攻擊者可以使用任何聯網裝置（包括智慧手機）來實施攻擊，不需要任何型別的身份驗證。受害者必須禁用瀏覽歷史記錄或開啟瀏覽器隱身視窗，才能禁用快取。利用該漏洞，攻擊者可以將受害者瀏覽器對域名的請求，重新路由到託管有害內容的非法伺服器。

DNS拼寫仿冒

DNS拼寫仿冒是一種受DNS劫持啟發的社會工程攻擊技術，它使用域名中的錯別字和拼寫錯誤。常見的DNS拼寫仿冒攻擊始於攻擊者註冊一個域名，這個域名和目標的網站域名非常相似。攻擊者隨後搭建一個虛假網站，網站內容旨在說服使用者提供敏感資訊，包括登入密碼、信用卡資料及其他個人資訊。

DNS劫持類攻擊防護建議：

• 關閉不需要的DNS解析器。
• 在合法的DNS解析器處部署防火牆。
• 將名稱伺服器與DNS解析器分開。
• 開展及時有效的漏洞管理和修復工作。
• 對DNS註冊商實施客戶端鎖定。
• 確保使用支援DNSSEC的DNS服務商。
• 始終啟用DNSSEC配置功能。
• 為使用加密的VPN連線。
• 實施路由器密碼安全政策。