DNS 安全性

在設計 DNS 時並未考慮安全性,因此目前建立了許多類型的攻擊來利用 DNS 系統中的漏洞。

Share facebook icon linkedin icon twitter icon email icon

DNS 安全性

學習目標

閱讀本文後,您將能夠:

  • 瞭解什麼是 DNSSEC 及其工作方式
  • 熟悉最常見的 DNS 攻擊
  • 區分 DNSSEC 與其他 DNS 安全性解決方案

DNS 安全性為什麼非常重要?

幾乎所有網路流量都需要進行標準 DNS 查詢,這些查詢為 DNS 攻擊提供了機會,例如 DNS 劫持和中間人攻擊。這些攻擊可將網站的入站流量重定向到偽造的網站,從而收集敏感的使用者資訊並使企業承擔主要責任。防禦 DNS 威脅的最知名方式之一是採用 DNSSEC 協定。

什麼是 DNSSEC?

與許多 Internet 通訊協定一樣,在設計 DNS 系統時並未考慮安全性,並且該系統存在一些設計限制。再加上技術進步,這些限制使攻擊者很容易出於惡意劫持 DNS 尋找,例如將使用者傳送到可分發惡意程式碼或收集個人資訊的欺詐性網站。DNS 安全擴展 (DNSSEC) 是為緩解此問題而建立的安全性通訊協定。DNSSEC 透過對資料進行數位簽章來防止攻擊,以協助確保其有效性。為確保進行安全尋找,此簽名必須在 DNS 尋找過程的每個等級進行。

與許多 Internet 通訊協定一樣,在設計 DNS 系統時並未考慮安全性,並且該系統存在一些設計限制。再加上技術進步,這些限制使攻擊者很容易出於惡意劫持 DNS 尋找,例如將使用者傳送到可分發惡意程式碼或收集個人資訊的欺詐性網站。


DNS 安全性擴展 (DNSSEC) 是為緩解此問題而建立的安全性通訊協定。DNSSEC 透過對資料進行數位簽章來防止攻擊,以協助確保其有效性。為確保進行安全尋找,此簽名必須在 DNS 尋找過程的每個等級進行。


此簽名過程類似於人們用筆簽署法律檔案;此人簽署別人無法建立的唯一簽名,並且法院專家能夠檢視該簽名並驗證檔案是否由該人簽署的。這些數位簽章可確保資料未被篡改。


DNSSEC 在 DNS 的所有層中實施分層數位簽章策略。例如,在 「google.com」 尋找中,根 DNS 伺服器將為 .COM 名稱伺服器簽寫一個金鑰,然後 .COM 名稱伺服器將為 google.com 的權威名稱伺服器簽寫一個金鑰。


儘管更高的安全性始終是首選的,但 DNSSEC 旨在向後相容,以確保傳統 DNS 尋找仍可正確解析,儘管這沒有提高安全性。作為整體 Internet 安全性原則的一部分,DNSSEC 應與其他安全性措施配合使用,例如 SSL/TLS


DNSSEC 建立了一個父子信任鏈,該鏈一直行進到根區域。在 DNS 的任何層上此信任鏈都不能遭受入侵,否則請求將受到中間人攻擊。


要關閉信任鏈,需要對根區域本身進行驗證(證明沒有篡改或欺詐),這實際上是透過人工干預來完成的。有趣的是,在所謂的「根區域簽名儀式」上,來自世界各地的某些人聚集在一起,以公開且經審核的方式簽署根 DNSKEY RRset。

以下是有關 DNSSEC 工作方式的更詳細說明 >>>

涉及 DNS 的常見攻擊有哪些?

DNSSEC 是一種強大的安全性通訊協定,但不幸的是,它目前尚未得到普遍採用。缺乏普及再加上其他可能的漏洞,最重要的是 DNS 是大多數 Internet 請求不可或缺的一部分,這些使 DNS 成為惡意攻擊的主要目標。攻擊者發現了眾多針對和利用 DNS 伺服器的方法,以下是一些最常見方法:

DNS 詐騙/快取記憶體中毒: 這是將偽造的 DNS 資料引入 DNS 解析程式快取記憶體中的攻擊,其將導致解析程式返回域的錯誤 IP 位址。流量可能會被轉移到惡意電腦或攻擊者想要的其他任何位置,而不是前往正確網站;通常,這將是用於惡意目的的原始網站副本,例如分發惡意程式碼或收集登入資訊。

DNS 隧道: 該攻擊使用其他通訊協定透過 DNS 查詢和回應建立隧道。攻擊者可使用 SSH、TCPHTTP 在大多數防火牆未察覺的情況下將惡意程式碼或被盜資訊傳閱至 DNS 查詢中。

DNS 劫持: 在 DNS 劫持中,攻擊者將查詢重定向到其他名稱伺服器。這可透過惡意程式碼或未經授權的 DNS 伺服器修改來實現。儘管其結果與 DNS 詐騙的結果相似,但這是一種截然不同的攻擊,因為其目標是名稱伺服器上網站的 DNS 記錄,而不是解析程式的快取記憶體。

DNS Hijacking

NXDOMAIN 攻擊: 這是一種 DNS 洪水攻擊,攻擊者利用請求淹沒 DNS 伺服器,從而請求不存在的記錄,以嘗試導致合法流量的拒絕服務。這可使用複雜的攻擊工具來實現,這些工具可為每個請求自動生成唯一子網域。NXDOMAIN 攻擊還可將遞迴解析程式作為目標,目標是用垃圾請求填充解析程式的快取記憶體。

幻域攻擊: 幻域攻擊的結果與 DNS 解析程式上的 NXDOMAIN 攻擊的結果類似。攻擊者設定了一堆「幻影」域伺服器,這些伺服器對請求的回應非常慢,或者根本不回應。然後解析程式收到對這些域的大量請求,解析程式被束縛起來,只能等待回應,從而導致效能降低和服務拒絕。

隨機子網域攻擊: 在這種情況下,攻擊者向一個合法網站的幾個隨機的不存在的子網域傳送 DNS 查詢。其目標是為該域的權威名稱伺服器建立拒絕服務,從而使其無法從名稱伺服器尋找網站。其副作用是,為攻擊者提供服務的 ISP 也可能會受到影響,因為其遞迴解析程式的快取記憶體將被載入錯誤請求。

域鎖定攻擊: 攻擊者會透過設定特殊域和解析程式來與其他合法解析程式建立 TCP 連線,從而策劃這種攻擊形式。當目標解析程式傳送請求時,這些域會發回緩慢的亂資料包流,從而佔用解析程式的資源。

基於殭屍網路的 CPE 攻擊: 這些攻擊是使用 CPE 裝置(使用者終端裝置,這是服務提供者提供的供客戶使用的硬體,例如資料機、路由器、機上盒等)進行的。 攻擊者使 CPE 遭受入侵,這些裝置成為殭屍網路的一部分,用於對一個網站或域進行隨機子網域攻擊。

防禦基於 DNS 的攻擊的最佳方式是什麼?

除 DNSSEC 外,DNS 區域的營運商還可採取進一步措施來保護他們的伺服器。過度設定基礎結構是克服 DDoS 攻擊的一種簡單策略。簡言之,如果您的名稱伺服器所能處理的流量比您的預期多數倍,那麼基於卷的攻擊很難淹沒您的伺服器。


Anycast 路由是另一種可損毀 DDoS 攻擊的方便工具;Anycast 可使多台伺服器共用一個 IP 位址,因此即使一台 DNS 伺服器關閉,其他伺服器讓將正常執行並提供服務。保護 DNS 伺服器的另一種廣受歡迎的策略是 DNS firewall。

什麼是 DNS firewall?

DNS firewall 是一種可為 DNS 伺服器提供眾多安全性和效能服務的工具。DNS firewall 位於使用者的遞迴解析程式與他們正嘗試存取的網站或服務的權威名稱伺服器之間。防火牆可提供速率限制服務,以關閉嘗試淹沒伺服器的攻擊者。如果伺服器確實由於攻擊或其他任何原因而停機,則 DNS firewall 可透過提供來自快取記憶體的 DNS 回應來使營運商的網站或服務保持正常執行。除其安全性功能外,DNS firewall 還可為 DNS 營運商提供高效能解決方案,例如更快的 DNS 尋找和更低的頻寬成本。瞭解有關 Cloudflare DNS firewall 的更多資訊。

DNS firewall 是一種可為 DNS 伺服器提供眾多安全性和效能服務的工具。DNS firewall 位於使用者的遞迴解析程式與他們正嘗試存取的網站或服務的權威名稱伺服器之間。防火牆可提供速率限制服務,以關閉嘗試淹沒伺服器的攻擊者。


如果伺服器確實由於攻擊或其他任何原因而停機,則 DNS firewall 可透過提供來自快取記憶體的 DNS 回應來使營運商的網站或服務保持正常執行。除其安全性功能外,DNS firewall 還可為 DNS 營運商提供高效能解決方案,例如更快的 DNS 尋找和更低的頻寬成本。瞭解有關 Cloudflare DNS firewall 的更多資訊。

作為安全性工具的 DNS

此外還可將 DNS 解析程式設定成為其最終使用者(瀏覽 Internet 的人)提供安全性解決方案。某些 DNS 解析程式提供內容過濾等功能,這些功能可阻止已知分發惡意程式碼和垃圾郵件的網站,並且還提供殭屍網路保護,這可封鎖與已知殭屍網路的通訊。這些安全的 DNS 解析程式中有許多是免費的,使用者可透過變更其當地路由器中的單個設定來切換到其中一個遞迴 DNS 服務。Cloudflare DNS 注重安全性。