不断变化的 DNS 威胁格局
DNS 并非为安全而设计
域名系统 (DNS) 是在 20 世纪 80 年代设计的,当时只有政府机构、科学家和军队可以访问互联网。早期的系统架构师关注的是可靠性和功能性,而不是安全性。因此,DNS 服务器一直容易遭遇各种攻击,包括欺诈、放大和拒绝服务。
这些攻击正变得越来越普遍。根据 IDC 的 2021 年全球 DNS 威胁报告,在过去一年中,87% 的组织遭遇了 DNS 攻击,比前一年增长 8 个百分点。其中许多攻击造成了严重的后果。报告发现,76% 的 DNS 攻击导致应用程序停机,平均每次攻击需要五个半小时来缓解。
导致攻击增多的因素有很多,组织需要制定计划来解决所有这些因素。
近年来,现有 DNS 形势发生了两个变化:新发现的 DNS 漏洞,以及疫情导致互联网浏览习惯的变化。为应对这些新的威胁,并抵御现有威胁,组织需要在总体上优先考虑 DNS 安全,并实施多层次的方法,不局限于 DNSSEC。
新的网络威胁利用并滥用 DNS
2021 年,44% 的组织认为,基于 DNS 的攻击是他们面临的最大安全挑战之一。快速回顾一下过去一年,就知道原因了。
首先,最近发现了几个与 DNS 有关的新漏洞,包括:
“忘记密码”缓存中毒攻击。“忘记密码”链接在 Web 应用程序中很常见,但 2021 年 7 月发现的一个漏洞使其容易遭遇 DNS 缓存中毒攻击。安全研究人员发现,通过对 146 个易受攻击的 Web 应用程序执行缓存中毒攻击,他们可以将密码重置邮件重定向到由攻击者控制的服务器。因此攻击者能够点击链接并重置用户密码,从而可以合法访问用户的账户。
托管 DNS 中的数据暴露。2021 年美国黑帽大会 (Black Hat USA) 上提出的研究表明,某些托管 DNS 服务中的缺陷可能会暴露含有敏感信息的企业 DNS 流量。通过在 Amazon Route53 DNS 服务或 Google Cloud DNS 上注册一个与 DNS 名称服务器同名的域名,攻击者可以迫使所有 DNS 流量均发送至他们的服务器。这就暴露了敏感信息,并可能启用 DNS 欺骗攻击。
tsuNAME DDoS 攻击 DNS 服务器。tsuNAME 是 DNS 解析器软件中的一个缺陷,可以对 DNS 服务器发起 DDoS 攻击。可能存在“循环依赖关系”的域,其中域名 A 委派域名 B,域名 B 又委派给域名 A。易受攻击的 DNS 解析器在出现导致循环依赖的域时将开始循环。在一个案例中,仅因为两个错误配置的域名,2020 年.nz 的权威性 DNS 服务器的流量就增加了 50%。
此外,远程办公人员激增也刺激了进一步的 DNS 攻击。自疫情爆发以来,有些攻击类型以家庭路由器为目标,进行 DNS 劫持。在 DNS 劫持中,攻击者会将合法域名的 DNS 记录指向由其控制的网站。在最近的这些攻击中,遭到破坏的网站声称提供�疫情信息,其实却在用户的设备上安装恶意软件。
由于许多员工全职或兼职在家办公,一台设备遭到破坏会带来重大的网络安全风险。总的来说,全球网络联盟 (Global Cyber Alliance) 的一份报告发现,全球约三分之一的数据泄露源于 DNS 安全漏洞。
现有的 DNS 威胁也仍在持续
这些新型 DNS 攻击手段也列入既定威胁大家族。涉及 DNS 基础设施的一些最常见的攻击包括:
DNS 拒绝服务攻击:使 DNS 服务瘫痪,使其服务的网站无法访问。这些攻击可以通过请求不存在的域名 (NXDOMAINs) 或随机子域名来浪费服务器资源,或者可以对 DNS 服务器发起分布式 DoS (DDoS) 攻击。
DNS 欺骗:与 DNS 劫持相似,但其目标是 DNS 解析器——缓存常用的或最近请求的 DNS 记录。DNS 欺骗或缓存中毒攻击将虚假 DNS 记录引入解析器的缓存中,将对这些域名的请求路由到由攻击者控制的网站。
DNS DDoS 放大:利用通过 UDP 进行通信的服务,并且其响应比相应的请求要大得多。这些因素使得攻击者可以向服务发送请求,并向目标发送更大的响应。DNS 放大攻击利用 DNS 响应淹没目标,消耗带宽,使目标服务器不堪重负。
DNS 隧道:利用 DNS 流量的权限来通过企业防火墙。这些攻击利用 DNS 流量在恶意软件和由攻击者控制的数据服务器之间传输数据。
DNS 攻击的影响
DNS 攻击领域的重大变化意味着攻击的后果也发生了变化。无论哪种情况,上述攻击的后果往往很严重。
DNS DDoS 攻击(例如利用上述 tsuNAME 缺陷的攻击)可能导致整个 Web 应用程序性能低下或直接停机。DNS 是网站快速加载能力的第一个关键步骤,而这种攻击使用了本来会用来处理合法请求的服务器资源。2020 年,42% 遭遇 DNS 攻击的组织报告其网站遭到了某种形式的破坏。
即使是不以破坏 DNS 服务为目标的攻击,例如 DNS DDoS 放大或 DNS 隧道,也会给 DNS 服务器带来大量流量。这一糟糕的性能会导致多种次要后果,包括降低转化率、降低有机搜索排名等。
欺骗、劫持和缓存中毒攻击也会通过引导潜在客户离开合法网站而损害网站转化率。此外,从长远来看,如果大家认为其网站的安全性较差,也会损害组织的品牌声誉。
DNS 攻击还会给组织的网络安全造成严重后果。上述某些托管 DNS 提供商的漏洞向攻击者暴露了专用网络流量,这属于重大的数据安全问题。而在网络上安装和控制恶意软件的 DNS 隧道攻击可能造成许多种后果,包括数据丢失和索要赎金。
总体而言,2020 年每次 DNS 攻击的平均损失超过 900,000 美元。
缓解 DNS 攻击的威胁
有一些措施可以帮助企业缓解 DNS 攻击。最重要的是:实施某种形式的 DNS 安全解决方案。IDC 的报告发现,42% 的组织没有部署专门的 DNS 安全解决方案。
防范这些攻击需要部署 DNS 安全解决方案。但必须仔细设计和实施这些解决方案,确保它们不会对合法的 DNS 请求的性能产生负面影响。
一些 DNS 攻击缓解方案包括:
DNSSEC:DNSSEC 是一个安全协议,对来自 DNS 服务器的响应进行签名。通过对返回给客户端的数据进行身份验证,帮助防止 DNS 劫持和欺骗行为。
冗余基础设施:针对 DNS 基础设施的 DoS 攻击方式通常是向目标 DNS 服务器发送超出其处理能力的流量。通过过度预配服务器和使用 Anycast 路由,流量可以在多个服务器之间实现负载平衡。这可确保在一台服务器过载或出现故障时网络依然可用。
DNS 防火墙:DNS 防火墙位于域的权威性域名服务器和用户的递归解析器之间。防火墙可以对请求进行速率限制,以防止 DDoS 攻击;或过滤流量,以阻止恶意或可疑的请求。
加密 DNS:默认情况下,DNS 是未加密、未经身份验证的协议。DNS over HTTPS (DoH) 和 DNS over TLS (DoT) 提供加密和身份验证。
使用 Cloudflare 保障 DNS 安全
Cloudflare 帮助数百万客户缓解所有类型的 DNS 攻击。Cloudflare 托管 DNS提供一键安装 DNSSEC 来防御 DNS 欺骗和劫持攻击。它构建在 Cloudflare 总容量达 100 Tbps(比史上最大的 DNS DDoS攻 击还要高很多倍)的网络上,可以阻止 DDoS 攻击和其他各类的攻击。
Cloudflare 网络由来自数百万个网站、API 和网络的威胁情报提供支持,自动领先于最新漏洞。
而且这些保护措施不会牺牲任何性能。Cloudflare 运营着世界上最快的权威性 DNS,平均查询时间仅 11 毫秒。您甚至可以维护您的现有 DNS 基础设施,同时使用 Cloudflare DNS 作为次要 DNS 或在隐藏的主设置中使用。
Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章,本文为其一。
关键要点
阅读本文后,您将能够了解:
DNS 安全的重要性
最近的 DNS 漏洞及其后果
如何识别常见的 DNS 攻击
如何提升 DNS 的安全性