DNS:加强最薄弱环节
三分之一受到DDoS 攻击的组织的 DNS 服务器遭到攻击。为什么 DNS 是一个如此有吸引力的目标?与保持安全相关的挑战是什么?当涉及到 DNS 攻击时,哪些攻击媒介代表了最坏的情况?根据Radware 2017-2018 年全球应用和网络安全报告的研究,这篇文章回答了所有这些问题以及更多问题。
域名系统 (DNS) 用作 Internet 的电话簿,将人类可读的主机名映射到机器可读的 IP 地址。用户或连接设备执行的任何 Internet 请求都使用 DNS。当 DNS 服务降级或停止时,在线业务就会中断,他们会失去收入,他们的声誉也会受到影响。
攻击者已开发出利用递归 DNS 服务器(为最终用户寻找 IP 地址)和权威 DNS 服务器(为递归 DNS 服务器提供 IP 地址答案)的技术。服务提供商通常拥有并管理他们自己的权威和递归 DNS 服务器。一些企业还拥有和管理权威的 DNS 服务器。中小型企业通常将该责任转移给托管 DNS 服务。
最近的攻击表明,无论 DNS 功能位于何处,针对 DNS 基础设施的攻击都可能对服务造成破坏。DNS 保护现在是强制性的,以确保服务可用性和正常通信。
DNS 安全挑战
DNS 是为其核心运营而设计的,重点是性能和可扩展性。在互联网的早期,安全和隐私并不是首要任务,因为它们不像今天那么重要。结果?DNS 的固有特性使其成为一项持续的安全挑战。这些特征包括:
1.无状态协议。因为 DNS 服务必须非常快,所以它被设计为无状态协议。这使得它对可以轻松隐藏身份以通过 DNS 发起攻击的攻击者非常有吸引力。
2. 无需认证。DNS 无法验证请求的来源或验证响应的正确性。换句话说,DNS 无法评估它连接用户或设备的 IP 地址是“好”还是“坏”。攻击者利用这种不受保护的基础设施并使用虚假查询和/或虚假响应设计复杂的攻击。
3. 开放存取。在大多数情况下,防火墙不会检查 DNS 端口 53。这为所有人提供了开放访问权限,包括攻击者。
4.放大效果。DNS 查询可能会产生很大的响应——有时甚至大 10 倍。攻击者使用这种设计来放大对 DNS 的攻击并获得更高的攻击量。
5. 缺乏验证。DNS 无法验证查询以确保其合法。只要查询名称符合 RFC,DNS 就会转发它。攻击者利用这种设计并使用虚假 DNS 查询来发起攻击,例如缓存中毒、隧道和随机子域攻击以获取更多信息)。大多数安全解决方案无法准确地区分合法和虚假的 DNS 查询。即使运营商和服务提供商部署更新的安全解决方案,DNS 基础设施仍然容易受到越来越多的攻击。DNS 可能保持不变,但这些攻击正变得高度复杂、规模庞大,并且越来越难以检测和缓解。
即使运营商和服务提供商部署更新的安全解决方案,DNS 基础设施仍然容易受到越来越多的攻击。DNS 可能保持不变,但这些攻击正变得高度复杂、规模庞大,并且越来越难以检测和缓解。
主要趋势和最近的攻击
过去,大型 DDoS 泛洪(尤其是大型 DNS 泛洪)通常通过放大和反射技术进行。物联网最近的扩散使攻击者能够奴役不安全的设备以形成大型物联网僵尸网络。黑客可以利用这些僵尸网络进行复杂的应用层攻击,尤其是 DNS。
一个例子是 Mirai 僵尸网络,它在2016 年 10 月 21 日被用于大规模 DDoS 攻击。1 Mirai 是一种多向量恶意软件,它感染物联网设备(主要是 IP 摄像头)以形成僵尸网络。人们普遍认为,Mirai 僵尸网络被用于使用称为 DNS Water Torture 的 DNS 攻击向量发起协调的 DNS DDoS 攻击。DNS Water Torture 本质上是一种递归随机子域攻击技术,它会淹没目标的权威名称服务器。尽管正常启动和运行,但这种 DNS 泛滥导致热门站点在数小时内无法访问。
自 Mirai 以来,Radware 观察到新的和改进的物联网僵尸网络激增。据 Gartner 称,到 2020 年,联网设备的数量将超过 200 亿台。2这是一个严峻的挑战,因为互联网基础设施容量没有以同样的速度增长。因此,Radware 预见到 DNS 和其他应用程序中的高级和复杂的攻击,并相信随着僵尸网络规模和范围的扩大,我们可能会看到更高的攻击量。在保护 DNS 基础设施方面,这些新的现实需要不同的思考。保护必须能够承受大量威胁并检测高级威胁,包括零日威胁。
172
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
