不斷變化的 DNS 威脅狀況
DNS 不是為了安全而設計
Domain Name System (DNS) 是在 20 世紀 80 年代設計的,當時網際網路存取僅限於政府機構、科學家和軍隊。該系統的早期架構師關心的是可靠性和功能性,而不是安全性。因此,DNS 伺服器一直容易受到範圍廣泛的攻擊,包括詐騙、放大和阻斷服務。
而且這些攻擊變得越來越普遍。根據 IDC 的 2021 年全球 DNS 威脅報告,87% 的組織在過去一年遭受了 DNS 攻擊——比前一年增加了 8 個百分點。其中許多攻擊造成了嚴重後果。報告發現,76% 的 DNS 攻擊導致應用程式關閉,而每次攻擊平均需要五個半小時以上的時間才能緩解。
許多因素可以解釋這種攻擊的增加——組織需要一個計劃來解決所有這些因素。
近年來,現有 DNS 格局發生了兩個變化:新發現的 DNS 漏洞,以及因 Covid-19 疫情而改變的網際網路瀏覽習慣。為了應對這些新威脅並防禦現有威脅,組織需要總體上給予 DNS 安全更高的優先順序,並實作超越 DNSSEC 的多層方法。
新的網路威脅利用和濫用 DNS
2021 年,44% 的組織將基於 DNS 的攻擊視為其最大的安全挑戰之一。快速回顧一下過去的一年,原因就很清楚了。
首先,最近發現了幾個與 DNS 相關的新漏洞,包括:
「忘記密碼」快取中毒攻擊。「忘記密碼」連結在 Web 應用程式中很常見,但 2021 年 7 月發現的一個漏洞使它們容易受到 DNS 快取中毒攻擊。安全研究人員發現,透過對 146 個易受攻擊的 Web 應用程式執行快取中毒攻擊,他們可以將密碼重設電子郵件重新導向向到攻擊者控制的伺服器。這使他們能夠點擊連結並重設使用者的密碼,從而提供對其帳戶的合法存取權限。
受管理 DNS 中的資料暴露。在 Black Hat USA 2021 上發表的研究表明,某些受管理 DNS 服務中的錯誤可能會暴露包含敏感性資訊的企業 DNS 流量。透過在 Amazon 的 Route53 DNS 服務或 Google Cloud DNS 上註冊一個與 DNS 名稱伺服器同名的網域,攻擊者可以強制將所有 DNS 流量傳送到他們的伺服器。這會暴露敏感性資訊並可能引發偽造 DNS 攻擊。
針對 DNS 伺服器的 tsuNAME DDoS 攻擊。tsuNAME 是 DNS 解析程式軟體中的一個缺陷,可能導致對 DNS 伺服器進行 DDoS 攻擊。可以存在具有「循環相依性」的網域,其中網域 A 委派給網域 B,網域 B 又委派給網域 A。當出現導致循環相依性的網域時,易受攻擊的 DNS 解析程式將開始循環。在 2020 年的一個案例中,僅兩個錯誤設定的網域就使 .nz 的權威 DNS 伺服器的流量增加了 50%。
此外,遠端工作的激增激發了進一步的 DNS 攻擊。自 Covid-19 疫情開始以來,多種攻擊方式都是透過 DNS 劫持針對家庭路由器。在 DNS 劫持中,攻擊者使合法網域的 DNS 記錄指向他們控制下的網站。在最近的這些攻擊中,遭入侵的網站聲稱提供 Covid-19 資訊,但實際上在使用者的裝置上安裝了惡意程式碼。
由於許多員工全職或兼職在家工作,因此遭入侵裝置代表著重大的網路安全風險。總體而言,全球網路聯盟的一份報告發現,全球大約三分之一的資料外洩源於 DNS 安全漏洞。
現有的 DNS 威脅也會持續存在
這些新穎的 DNS 攻擊媒介也加入了長長的現有威脅清單中。涉及 DNS 基礎結構的一些最常見攻擊包括:
DNS 阻斷服務攻擊:這會關閉 DNS 服務,使它們所服務的網站無法存取。這些攻擊可能透過請求不存在的網域 (NXDOMAIN) 或隨機子網域來浪費伺服器資源,或者可能對 DNS 伺服器執行分散式 DoS (DDoS) 攻擊。
偽造 DNS:這類似於 DNS 劫持,但目標是 DNS 解析程式,後者會快取經常或最近請求的 DNS 記錄。偽造 DNS 或快取中毒攻擊將錯誤的 DNS 記錄引入解析程式的快取中,導致對這些網域的請求被路由到攻擊者控制的網站。
DNS DDoS 放大:這利用透過 UDP 進行通訊的服務,並具有比相應請求大得多的回應。這些因素允許攻擊者向服務傳送請求,並將更大的回應傳送給目標。DNS 放大攻擊用 DNS 回應淹沒目標,消耗頻寬並使目標伺服器不堪重負。
DNS 通道:利用 DNS 流量的權限通過公司防火牆。這些攻擊使用 DNS 流量在惡意程式碼和攻擊者控制的資料伺服器之間傳輸資料。
DDoS 攻擊的影響
DNS 攻擊格局的顯著變化意味著攻擊後果也各不相同。無論情況如何,上述後果通常都很嚴重。
DNS DDoS 攻擊(例如那些利用上述 tsuNAME 缺陷的攻擊)可能導致整個 Web 應用程式效能不佳或完全關閉。DNS 是網站快速載入能力的關鍵第一步,此類攻擊使用了本可用於處理合法請求的伺服器資源。2020 年,遭受 DNS 攻擊的組織中有 42% 報告說他們的網站以某種方式遭到入侵。
即使並非旨在關閉 DNS 服務的攻擊(例如 DNS DDoS 放大或 DNS 通道)也會對 DNS 伺服器產生大量流量。這種糟糕的效能會產生多種二次後果,包括較低的轉換率、較低的有機搜尋排名等等。
詐騙、劫持和快取中毒攻擊也會透過引導潛在客戶離開合法網站來損害網站轉換。此外,從長遠來看,讓一個網站被視為安全不佳可能會損害組織的品牌聲譽。
DNS 攻擊還會對組織的網路安全造成嚴重後果。上述某些受管理 DNS 提供者中的漏洞導致私人流量暴露給攻擊者——這是一個嚴重的資料安全問題。在網路上安裝和控制惡意程式碼的 DNS 通道攻擊可能會產生許多後果,包括資料遺失和勒索贖金。
總體而言,2020 年每次 DNS 攻擊的平均成本超過 90 萬美元。
緩解 DNS 攻擊的威脅
許多步驟可以協助組織緩解 DNS 攻擊。最重要的是:實作某種 DNS 安全解決方案。IDC 的報告發現,42% 的組織尚未部署專用的 DNS 安全解決方案。
防範這些攻擊需要 DNS 安全解決方案。但是,必須仔細設計和實作這些解決方案,以確保它們不會對合法 DNS 請求的效能產生負面影響。
一些 DNS 攻擊緩解選項包括:
DNSSEC:DNSSEC 是一種安全性通訊協定,可從 DNS 伺服器簽署回應。這有助於透過驗證傳回給用戶端的資料來防止 DNS 劫持和偽造。
備援基礎結構:針對 DNS 基礎結構的 DoS 攻擊通常透過向目標 DNS 伺服器傳送超出其處理能力的流量來起作用。透過超額佈建伺服器和使用 Anycast 路由,流量可以在多台伺服器之間進行負載平衡。如果一台伺服器過載或停機,這可確保可用性。
DNS 防火牆:DNS 防火牆位於網域的權威名稱伺服器和使用者的遞迴解析程式之間。防火牆可以對請求進行速率限制以防禦 DDoS 攻擊或篩選流量以封鎖惡意或可疑請求。
加密 DNS:預設情況下,DNS 是一種未加密且未經驗證的通訊協定。DNS over HTTPS (DoH) 和 DNS over TLS (DoT) 提供加密和驗證。
使用 Cloudflare 保護 DNS
Cloudflare 幫助數百萬客戶緩解整個 DNS 威脅範圍。Cloudflare 受管理 DNS 提供一鍵式 DNSSEC 以防止偽造 DNS 和劫持攻擊。它建立在 Cloudflare 的 100 Tbps 總網路容量之上(這比有史以來最大的 DNS DDoS 攻擊大很多倍),能夠封鎖 DDoS 攻擊和其他攻擊類型。
Cloudflare 網路採用來自數百萬個網站、API 和網路的威脅情報,自動領先於最新的弱點。
這些保護措施不會影響效能。Cloudflare 運作著世界上最快的權威 DNS,平均查閱時間為 11 毫秒。您甚至可以維持現有的 DNS 基礎結構,而將 Cloudflare DNS 用作次要 DNS 或隱藏的主要設定。
Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章,本文為其一。
重點
閱讀本文後,您將能夠瞭解:
DNS 安全的重要性
最近的 DNS 弱點及其後果
如何識別常見的 DNS 攻擊
如何提高 DNS 安全性