大多数web流量都需要标准的DNS查询,这为DNS攻击(如DNS劫持和中间人攻击)创造了机会。 这些攻击可以将站点入站流量重定向到站点的伪造副本,收集敏感用户信息,并让企业承担重要责任。 目前,防止DNS威胁的最常用方法之一是采用DNSSEC协议。
什么是DNS安全扩展( DNSSEC )?
与许多互联网协议一样,DNS系统的设计没有考虑安全性,存在一些设计限制。 除了这些限制之外,技术的进步使攻击者更容易实现恶意目的,例如劫持DNS,将用户发送到可以分发恶意软件或收集个人信息的欺诈网站。 DNS安全扩展( DNSSEC )是用于缓解此问题的安全协议。 DNSSEC通过对数据进行数字签名来防止攻击,并确保数据的有效性。 要进行安全搜索,必须在DNS搜索过程的每个级别签名。
此签名过程类似于有人用钢笔在法律文档上签名。此人使用唯一一个别人不能创建的签名,法庭专家可以看到此签名并验证文件是由此人签名的。 这些数字签名可以保证数据没有被篡改。
DNSSEC实现了跨越所有DNS层的分层数字签名策略。 例如,如果在google.com中进行搜索,则根DNS服务器会在. com名称服务器上签名密钥,而. com名称服务器会在google.com授权名称服务器上签名密钥。
虽然改进的安全性始终是首选项,但DNSSEC设计为向后兼容,从而确保了传统的DNS搜索正确解析,尽管没有额外的安全性。 DNSSEC旨在与SSL/TLS等其他安全措施合作,作为整体互联网安全战略的一部分。
与DNS相关的常见攻击是什么?
DNSSEC是一种强大的安全协议,但遗憾的是,它目前尚未被普遍采用。 DNS是大多数互联网请求的一部分,再加上这种缺乏采用和其他潜在的漏洞,DNS成为恶意攻击的主要目标。 攻击者找到了很多攻击和利用DNS服务器的方法。 以下是最常用的方法:
DNS欺骗/缓存中毒:攻击会将伪造的DNS数据引入DNS解析器的缓存,导致解析器返回非法的域IP地址。 如果未访问正确的站点,通信量可能会移动到恶意机器或攻击者想要的位置。通常,这是原始站点的副本,用于恶意目的,例如分发恶意软件或收集登录信息。
DNS隧道:此攻击使用其他协议隧道通过DNS进行查询和响应。 攻击者可以使用SSH、TCP或hTTP将恶意软件和被盗信息传递给DNS查询,但大多数防火墙无法检测到。
DNS劫持在:DNS劫持中,攻击者将查询重定向到不同的域名服务器。 这可以通过恶意软件或非法更改DNS服务器来实现。 结果类似于DNS欺骗,但这是一种根本不同的攻击。 因为它针对的是域名服务器上的站点DNS记录,而不是解析器缓存。
NXDOMAIN攻击:这是一种DNS泛滥攻击,攻击者试图通过请求淹没DNS服务器,请求不存在的记录,导致对合法通信的拒绝服务。 可以使用自动为每个请求生成唯一子域的复杂攻击工具来完成此操作。 NXDOMAIN攻击也适用于递归解析器,目标是用垃圾请求填充解析器的缓存。
随机子域攻击:在这种情况下,攻击者向一个合法站点的几个随机不存在的子域发送DNS查询。 其目标是为域名创建权威域名服务拒绝服务,使其无法从域名服务中搜索网站。 作为副作用,为攻击者提供服务的ISP也可能受到影响。 这是因为递归解析器缓存会加载不正确的请求。
DNS作为安全工具
也可以将DNS解析器配置为为浏览互联网的最终用户提供安全解决方案。 一些DNS解析器提供内容过滤等功能。 这将阻止对发布已知恶意软件和垃圾邮件的站点和僵尸网络的保护,并阻止与已知僵尸网络的通信。 这些受保护的DNS解析器中的许多都是免费的,用户可以通过更改本地路由器的设置切换到这些递归DNS服务之一。
