域名系统(DomainNameSystem,简称DNS)是一种结构化的命名系统,是互联网基础设施的关键组成部分。目前,DNS攻击已经成为严重的网络安全问题,每年都有数以千计的网站成为此类攻击的受害者。为了保护您的网络免受此类攻击,了解不同类型的DNS攻击并找到相应的缓解方法非常重要。1、拒绝服务(DoS)攻击从DoS的描述中可以看出这类DNS网络攻击的特点,其目的是通过耗尽机器或网络的资源来关闭其服务,阻止用户访问机或网络。需要强调的是,本次攻击的目的主要是为了隐藏踪迹或者阻止受害者重返工作岗位。犯罪分子通常使用DoS攻击来跟踪具有高级网络保护的高价值目标。主要类型包括:DNS放大DNS放大是一种用于DoS攻击的技术,用于利用域名系统并增加目标网站的流量。这种攻击方法使用的主要技术包括DNS反射和地址伪造。不法分子进行此类攻击的方式是向域名系统服务器发送伪造的IP数据包,请求目标域名,并使用目标IP地址代替自己的IP地址。所有这些查询都由DNS服务器用目标机器的IP地址来回答。受害者的服务器随后对每个请求发送相同的回复。这会导致大量数据流量从受害者网络的80或25端口传入。资源耗尽资源耗尽DoS攻击是指攻击者旨在通过耗尽设备的资源池(CPU、内存、磁盘和网络)在受害者机器中触发DoS类型的响应。内存耗尽是另一种资源耗尽DoS攻击,例如针对电子邮件代理,威胁参与者只需将数十万个附件上传到草稿电子邮件即可触发内存耗尽攻击。缓冲区溢出缓冲区溢出攻击(BOA)是一种漏洞或有限利用攻击,旨在强制系统将内存写入错误的缓冲区,而不是预期的位置。当内存被写入缓冲区而不是常规位置时,这可能会导致使用该内存的应用程序崩溃。此问题特定于用C编写的应用程序。缓冲区溢出攻击也可用于DoS以外的目的。例如,攻击者可能会篡改或替换基指针或指针指针中的值来执行恶意代码。ICMPFlood这种DoS攻击,也称为pingflood,滥用常见的连接测试导致目标系统崩溃、崩溃、重新启动或无法运行。它的工作方式是一台机器向另一台机器发送ICMP回显请求。反过来,接收端发送回复。连接的强度可以简单地通过测量往返行程来确定。攻击者可以滥用ICMP回显回复机制来淹没受害者的网络。但是,攻击者必须知道受害者的IP地址才能确定攻击的重点。此外,攻击者需要知道受害者路由器的信息。SYNfloodSYNflood也称为“半开”攻击,它滥用了TCP/IP的三次握手机制。三向握手机制的工作原理是攻击者会重复发送SYN包,而在服务器端忽略SYN-ACK包,从而触发服务器拒绝用户响应。DoSDNS攻击防护建议:使用合法的云托管服务。实施系统可用性监控。及时锁定注册表。部署和应用IDS/IPS工具。定期执行自动静态和动态分析。定期使用模糊测试技术。实施数据执行预防措施。对网页代码执行安全检查。注意编译器警告并找出确切原因。添加预警机制并限制对入站ICMP消息的处理。使用外围防火墙微调。一旦积压队列已满,使用最早的半开TCP/IP连接。2、与简单的DoS攻击相比,分布式拒绝服务(DDoS)攻击发生的频率更高。因为机器人和僵尸网络很容易在暗网上获得;DDoS类攻击的成功概率高于DoS。以下是DDoS型DNS攻击的主要技术手段:UDPflood这种DDoS与SYNflood攻击非常相似,利用用户数据报协议(UDP)和UDP数据包。攻击者向用户开放的端口发送大量垃圾UDP数据包。主机认为这些是合法的UDP通信尝试并尝试在端口上侦听。如果没有找到数据包,主机将不得不回复ICMPunreachable。这种情况会一直持续到主机的网络资源耗尽。NTP放大在网络时间协议(NTP)攻击中,威胁行为者向NTP服务器发送大量UDP数据包以达到DoS的目的。当NTP服务器的资源无法支持解析接收到的查询请求时,就会崩溃。HTTPFlood这是一种非常有效的DDoS攻击方法,它利用GET或POST响应机制。攻击者向服务器发送尽可能多的合法GET或POST查询,迫使服务器回答每个查询。这种资源密集型回复过程会耗尽服务器资源,导致服务中断。FastFluxFastFlux攻击主要用于掩盖僵尸网络。严格来说,这不是攻击,而是僵尸网络运营者用来逃避检测的一种规避方法。借助FastFlux,威胁行为者可以在受感染的主机之间快速切换,使它们对检测工具不可见。反射型跨站脚本(XSS)在反射型跨站脚本(XSS)模式中,威胁行为者会滥用接收请求的应用程序发送的HTTP响应。这样做的目的是找出接收HTTP请求的应用程序在接收查询时是否执行任何类型的数据检查。一些不安全的站点按原样返回搜索词。威胁行为者可以利用这种不当的数据处理做法,将恶意参数附加到URL以实施XSS攻击。DDoS类DNS攻击防御建议:进行深度包检测。应用流量清洁过滤器。抑制ICMP数据包的系统响应率。执行定期流量分析。密切关注您的IP的安全声誉。严格执行JavaScript解析。验证IP来源。禁用单列表。实施访问控制。加强员工网络安全意识教育,不点击可疑链接和邮件。正确使用网络应用防火墙。3、DNS劫持攻击当发生DNS劫持攻击时,网络攻击者会操纵域名查询的解析服务,导致访问被恶意重定向到其控制的非法服务器。这也称为DNS中毒或DNS重定向攻击。DNS劫持攻击在网络犯罪领域也很常见。DNS劫持活动还可以破坏或改变合规DNS服务器的工作。除了黑客开展网络钓鱼活动外,信誉良好的实体(例如ISP)也可以这样做,以收集信息用于统计、展示广告和其他目的。此外,DNS服务提供商还可能使用流量劫持作为审查手段,阻止访问特定页面。DNS劫持攻击的主要技术手段:DNS欺骗DNS欺骗,也称为DNS缓存中毒,是网络犯罪分子用来诱使用户连接到他们建立的虚假网站而不是合法网站的方法。当有人请求通过域名系统访问网站并且DNS服务器以不准确的IP地址响应时,这被视为DNS欺骗攻击。然而,不仅仅是网站容易受到这种攻击。黑客还可以使用这种方法来访问电子邮件帐户和其他私人数据。DNA隧道网络流量可以使用DNS隧道绕过网络过滤器和防火墙等机制,建立额外的数据传输通道。启用DNS隧道后,用户的连接将通过远程服务器路由互联网流量。不幸的是,黑客经常将其用于恶意目的。恶意使用时,DNS隧道是一种通过DNS查询传递数据的攻击策略。这可用于欺骗内容并避免过滤或防火墙检测,此外还可以通过通常会阻止此类流量的网络秘密发送数据。DNS重新绑定DNS重新绑定是一种网络攻击方法,它利用浏览器缓存的长期特性来诱使受害者的浏览器在输入域名时联系恶意站点。攻击者可以使用任何联网设备(包括智能手机)进行攻击,并且不需要任何类型的身份验证。受害者必须禁用浏览历史记录或打开浏览器隐身窗口才能禁用缓存。利用此漏洞,攻击者可以将受害者的浏览器对域名的请求重新路由到托管有害内容的非法服务器。DNS拼写欺骗DNS拼写欺骗是一种社会工程攻击技术,受DNS劫持的启发,在域名中使用错别字和拼写错误。常见的DNS欺骗攻击始于攻击者注册一个与目标网站的域名非常相似的域名。攻击者随后建立了一个虚假网站,旨在说服用户提供敏感信息,包括登录密码、信用卡详细信息和其他个人信息。DNS劫持攻击防护建议:关闭不需要的DNS解析器。在合法的DNS解析器上部署防火墙。将名称服务器与DNS解析器分开。及时有效地开展漏洞治理和修复工作。对DNS注册商实施客户端锁定。确保使用支持DNSSEC的DNS服务提供商。始终启用DNSSEC配置功能。使用加密的VPN连接。实施路由器密码安全策略。
