书接上回,本篇继续讨论两种针对DNS的常见攻击类型:
-
欺骗攻击(NS篡改、域名劫持、缓存投毒)
-
资源耗尽攻击(DNS DDoS攻击和DNS放大、反射攻击)
风险三:
二级域名NS记录篡改和域名劫持
NS篡改通常是攻击者通过各种攻击手段或社会工程学控制了域名管理密码和域名管理邮箱,然后将该域名的NS记录指向到攻击者可以控制的权威服务器,通过在该权威服务器上添加相应域名记录,从而使用户访问该域名时,进入攻击者所指向的内容。终端客户打开的网站可能被植入了广告,也可能是钓鱼网站,导致隐私数据泄露。对于域名发布者来说,域名劫持现象比较隐蔽,往往收到终端客户投诉才发现,此时已经造成客户流失,企业形象和业务收入受损。域名劫持不定期发生在运营商递归服务器,缺少能够快速发现问题的手段,即便定位问题原因,也很难主动干预,并且由于运营商递归缓存因素(NS缓存时间一般为24小时或48小时),劫持故障持续时间长,难以及时恢复。
防范建议:
-
将域名资产托管在服务便捷、安全性高的域名注册管理机构和域名注册服务机构,并采用注册局安全锁,从注册局端锁定域名信息,任何NS信息的修改都需要进行人工验证,避免攻击者通过破解邮箱或攻破注册商平台的手段来篡改域名信息;
-
增强针对递归服务器被劫持故障的监测感知能力,在发现运营商Local服务器被NS篡改或域名劫持时第一时间启用应急机制并采取干预措施。