疫情肆虐的三年時(shí)間，讓我們重新認(rèn)識(shí)了網(wǎng)絡(luò)的重要性，線上授課、遠(yuǎn)程辦公、視頻會(huì)議，網(wǎng)絡(luò)正以肉眼可見(jiàn)的速度改變著我們?nèi)粘９ぷ魃罟?jié)奏與方式?？焖侔l(fā)展的網(wǎng)絡(luò)技術(shù)，實(shí)現(xiàn)了數(shù)據(jù)在人、物和應(yīng)用之間的高速移動(dòng)，帶來(lái)非凡流暢的數(shù)字體驗(yàn)。但在這種技術(shù)所帶來(lái)的的便捷性背后，同樣隱藏著極大的安全隱患，網(wǎng)絡(luò)攻擊強(qiáng)度和危害同網(wǎng)絡(luò)技術(shù)水平呈同步發(fā)展趨勢(shì)，對(duì)全球網(wǎng)絡(luò)秩序造成的破壞與日俱增。

網(wǎng)絡(luò)攻擊高漲，DNS成重點(diǎn)攻擊對(duì)象

根據(jù)國(guó)外知名網(wǎng)絡(luò)安全公司Check Point Research(CPR)發(fā)布的研究報(bào)告顯示，2021年全球企業(yè)遭受的網(wǎng)絡(luò)攻擊同比高漲40%，因網(wǎng)絡(luò)攻擊造成的損失估計(jì)達(dá)到了6萬(wàn)億美元，而這一數(shù)據(jù)在2020年僅為1萬(wàn)億美元。中國(guó)所在的亞太地區(qū)是網(wǎng)絡(luò)攻擊的重災(zāi)區(qū)。

而由于域名系統(tǒng)在網(wǎng)絡(luò)互聯(lián)中的特殊作用，其越來(lái)越受到網(wǎng)絡(luò)攻擊行為的關(guān)注，成為增長(zhǎng)最為明顯，破壞力最強(qiáng)的攻擊方式之一。EfficientIP與IDC合作發(fā)布的《2022年全球DNS威脅報(bào)告》指出，在過(guò)去一年中，88%的組織遭受了與DNS相關(guān)的攻擊，平均每家公司有7次，其中包括DNS隧道、DDoS攻擊、DNS劫持和云配置錯(cuò)誤濫用等技術(shù)手段。

DNS—全球網(wǎng)絡(luò)中的導(dǎo)航體系

域名系統(tǒng)（Domain Name System）是互聯(lián)網(wǎng)的一項(xiàng)核心基礎(chǔ)服務(wù)，它使用分層的分布式數(shù)據(jù)庫(kù)來(lái)處理互聯(lián)網(wǎng)上的域名與IP地址之間的映射，用于在對(duì)域名發(fā)起訪問(wèn)時(shí)，將域名解析信息返回客戶(hù)或應(yīng)用程序，從而完成對(duì)網(wǎng)站服務(wù)器的訪問(wèn)流程。

從互聯(lián)網(wǎng)體系架構(gòu)來(lái)看，我們可以將互聯(lián)網(wǎng)簡(jiǎn)單分為物理設(shè)施層、基礎(chǔ)資源層和應(yīng)用層三層結(jié)構(gòu)。物理設(shè)施層是網(wǎng)絡(luò)的硬件部分，是信息傳播的高速公路；應(yīng)用層是網(wǎng)絡(luò)中的各種應(yīng)用，猶如行駛在高速公路中的眾多車(chē)輛。

而基礎(chǔ)資源層則由域名系統(tǒng)和路由系統(tǒng)組成，二者組成互聯(lián)網(wǎng)的尋址解析系統(tǒng)，是網(wǎng)絡(luò)世界中的導(dǎo)航系統(tǒng)。如果域名系統(tǒng)遭遇攻擊或發(fā)生故障，導(dǎo)航系統(tǒng)失效，信息高速公路上的各種車(chē)輛便無(wú)法正常運(yùn)行，表現(xiàn)在現(xiàn)實(shí)場(chǎng)景中就是用戶(hù)無(wú)法通過(guò)域名訪問(wèn)對(duì)應(yīng)的站點(diǎn)，或者解析錯(cuò)誤用戶(hù)被引導(dǎo)至錯(cuò)誤的網(wǎng)站。

DNS當(dāng)前存在的防護(hù)弱點(diǎn)

一方面，DNS協(xié)議在設(shè)計(jì)之初只注重其可用性，并未任何信息驗(yàn)證機(jī)制，導(dǎo)致其安全性極低，幾乎所有的技術(shù)防御措施都允許DNS協(xié)議類(lèi)型數(shù)據(jù)報(bào)文不受限制地傳輸，因此極易成為攻擊者利用和攻擊的對(duì)象，隨著時(shí)間的推移，DNS暴露的安全問(wèn)題愈發(fā)明顯。

另一方面，人們多關(guān)注網(wǎng)絡(luò)基礎(chǔ)層和網(wǎng)站應(yīng)用層上的安全防護(hù)，而對(duì)于中間層的域名系統(tǒng)重視程度不夠。據(jù)數(shù)據(jù)顯示，全球約有68%的企業(yè)忽略對(duì)DNS系統(tǒng)的防護(hù)，沒(méi)有對(duì)DNS解析進(jìn)行有效的監(jiān)測(cè)和防御，這就導(dǎo)致在DNS遭受攻擊時(shí)，不能及時(shí)發(fā)現(xiàn)并作出反應(yīng)，即便有所反應(yīng)，也沒(méi)有足夠的技術(shù)手段進(jìn)行防御。

DNS攻擊類(lèi)型有哪些

1.DNS劫持

DNS劫持又稱(chēng)域名劫持，是攻擊者利用缺陷對(duì)用戶(hù)的DNS進(jìn)行篡改，將域名由正常IP指向受攻擊者控制的IP，從而使得訪客被劫持到一個(gè)與原目標(biāo)網(wǎng)站高度相似的虛假網(wǎng)站，或者是站點(diǎn)不可達(dá)，以此達(dá)到非法竊取用戶(hù)信息或者破壞正常網(wǎng)絡(luò)服務(wù)的目的。

DNS劫持通常是攻擊者為了展示廣告獲取流量收入或通過(guò)網(wǎng)絡(luò)釣魚(yú)獲取用戶(hù)的數(shù)據(jù)。互聯(lián)網(wǎng)服務(wù)提供商（ISP）也會(huì)通過(guò)DNS劫持，接管用戶(hù)的DNS請(qǐng)求，屏蔽對(duì)一些特定網(wǎng)站的訪問(wèn)。

DNS劫持原理示意圖

常見(jiàn)的DNS劫持手段主要包括以下幾種：

DNS欺騙

DNS欺騙又叫緩存投毒，是攻擊者利用DNS緩存機(jī)制，通過(guò)在DNS緩存中投入虛假解析信息，從而使得訪問(wèn)者發(fā)起請(qǐng)求時(shí)，為其返回一個(gè)錯(cuò)誤的IP地址。

DNS隧道

DNS隧道通過(guò)DNS解析器在攻擊者和目標(biāo)之間創(chuàng)建隱藏連接，可繞過(guò)防火墻，用于實(shí)施數(shù)據(jù)泄露等攻擊。在大多數(shù)情況下，DNS隧道需要借助能夠連接外網(wǎng)的受感染系統(tǒng)作為跳板，來(lái)訪問(wèn)具有網(wǎng)絡(luò)訪問(wèn)權(quán)限的內(nèi)部DNS服務(wù)器。

DNS重新綁定

DNS重新綁定，是利用瀏覽器緩存的長(zhǎng)期特性，將受害者瀏覽器對(duì)域名的請(qǐng)求，重新路由到托管有害內(nèi)容的非法服務(wù)器。

2.拒絕服務(wù)（DoS）類(lèi)攻擊

Dos攻擊旨在通過(guò)耗盡機(jī)器或網(wǎng)絡(luò)的資源將其服務(wù)關(guān)閉，阻止用戶(hù)訪問(wèn)機(jī)器或網(wǎng)絡(luò)。需要強(qiáng)調(diào)的是，這種攻擊的目的主要用于隱藏蹤跡或阻礙受害者恢復(fù)工作。

DNS放大攻擊示意圖

DoS攻擊主要類(lèi)型包括：

DNS放大

DNS放大是一種非對(duì)稱(chēng)的DDo攻擊，攻擊者利用域名系統(tǒng)服務(wù)器中的漏洞，通過(guò)發(fā)起帶有虛假目標(biāo)IP的較小的查詢(xún)請(qǐng)求，使得被欺騙目標(biāo)成為更大DNS響應(yīng)的接收者，從而達(dá)到持續(xù)消耗帶寬容量使網(wǎng)絡(luò)飽和的攻擊效果，進(jìn)而使得正常的解析請(qǐng)求無(wú)法正常進(jìn)行。

緩沖區(qū)溢出

緩沖區(qū)溢出攻擊旨在迫使系統(tǒng)將內(nèi)存寫(xiě)入錯(cuò)誤的緩沖區(qū)而不是預(yù)期的位置。當(dāng)內(nèi)存寫(xiě)入緩沖區(qū)而不是常規(guī)位置時(shí)，這會(huì)導(dǎo)致利用該內(nèi)存的應(yīng)用程序崩潰。

ICMP洪水

攻擊者試圖用 ICMP 回顯請(qǐng)求包使目標(biāo)設(shè)備不堪重負(fù)，當(dāng) ICMP ping 產(chǎn)生的大量回應(yīng)請(qǐng)求超出了系統(tǒng)的最大限度，就會(huì)使得系統(tǒng)耗費(fèi)所有資源來(lái)進(jìn)行響應(yīng)直至再也無(wú)法處理有效的網(wǎng)絡(luò)信息流。

SYN洪水

SYN洪水利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接請(qǐng)求，導(dǎo)致被攻擊服務(wù)器保持大量SYN_RECV狀態(tài)的“半連接”，并且會(huì)重試默認(rèn)5次回應(yīng)第二個(gè)握手包，塞滿(mǎn)TCP等待連接隊(duì)列，資源耗盡。

3.分布式拒絕服務(wù)攻擊

DDoS攻擊是DoS攻擊的升級(jí)版，與DoS攻擊由單臺(tái)主機(jī)發(fā)起攻擊相比較，分布式拒絕服務(wù)攻擊DDoS是借助數(shù)百、甚至數(shù)千臺(tái)被入侵后安裝了攻擊進(jìn)程的主機(jī)同時(shí)發(fā)起的集團(tuán)行為，每一個(gè)代理機(jī)都會(huì)向目標(biāo)主機(jī)發(fā)送大量請(qǐng)求數(shù)據(jù)，從而快速消耗系統(tǒng)資源，導(dǎo)致系統(tǒng)崩潰。

DDOS攻擊類(lèi)型主要包括：

UDP洪水

攻擊者向用戶(hù)發(fā)送大量的垃圾UDP數(shù)據(jù)包，主機(jī)嘗試與這些UDP包進(jìn)行通信，如果沒(méi)有找到數(shù)據(jù)包，主機(jī)將別無(wú)選擇的回復(fù)。這種情況會(huì)一直持續(xù)下去，直至主機(jī)的網(wǎng)絡(luò)資源被耗盡。

NTP放大

攻擊者通過(guò)向NTP服務(wù)器發(fā)送大量的UDP數(shù)據(jù)包，以達(dá)到DoSS的目的。當(dāng)NTP服務(wù)器的資源無(wú)法支撐解析所收到的查詢(xún)請(qǐng)求時(shí)，系統(tǒng)就會(huì)崩潰。

HTTP洪水

攻擊者向服務(wù)器發(fā)送大量合法GET或POST查詢(xún)，迫使服務(wù)器回答每一個(gè)查詢(xún)。這種資源密集型回復(fù)過(guò)程會(huì)耗盡服務(wù)器資源，從而導(dǎo)致服務(wù)中斷。

DNS攻擊常規(guī)應(yīng)對(duì)方式

針對(duì)以上各種DNS攻擊手段，常規(guī)的應(yīng)對(duì)措施主要包括：

（1）嚴(yán)格的訪問(wèn)控制

采用更嚴(yán)格的網(wǎng)絡(luò)訪問(wèn)控制策略，使用雙因素或多因素身份驗(yàn)證，以更好地控制哪些用戶(hù)可以訪問(wèn)他們的網(wǎng)絡(luò)。

（2）部署零信任方案

零信任能提供一個(gè)安全且有彈性的環(huán)境，具有更大的靈活性和更好的監(jiān)控，同時(shí)還能夠緩解DNS威脅。

（3）DNS日常監(jiān)控

及時(shí)檢查域名設(shè)置的DNS服務(wù)器是否正確，檢查所有權(quán)威和輔助DNS服務(wù)器上的解析記錄是否指向正確IP，發(fā)現(xiàn)異常及時(shí)作出反應(yīng)。

中科三方立體化DNS防護(hù)體系

常規(guī)技術(shù)手段雖然能夠緩解DNS攻擊造成的危害，但無(wú)法真正杜絕層出不窮的DNS攻擊，并對(duì)已發(fā)生的攻擊產(chǎn)生有效應(yīng)對(duì)，因此需要接入更專(zhuān)業(yè)的高防DNS，構(gòu)建更全面、堅(jiān)固的DNS安全防護(hù)體系。中科三方高防DNS具備以下幾個(gè)功能，可以形成對(duì)DNS攻擊更有效的防御和應(yīng)對(duì)。

1.DNS健康監(jiān)測(cè)

中科三方采用最新域名監(jiān)測(cè)系統(tǒng)，可以通過(guò)Ping命令，TCP/UDP探測(cè)和HTTP(S)協(xié)議等多種手段對(duì)網(wǎng)絡(luò)健康進(jìn)行24小時(shí)輪詢(xún)監(jiān)測(cè)，發(fā)現(xiàn)異常情況及時(shí)發(fā)起告警，以供網(wǎng)站運(yùn)營(yíng)者及時(shí)作出反應(yīng)。

2.彈性寬帶

中科三方云解析具備彈性帶寬的特點(diǎn)，當(dāng)監(jiān)測(cè)到服務(wù)器遭受DDoS攻擊時(shí)，會(huì)立即擴(kuò)大帶寬，保證帶寬容量不被消耗干凈，確保正常用戶(hù)可以正常訪問(wèn)。

流量清洗過(guò)程圖

3.流量清洗

通過(guò)對(duì)DNS攻擊進(jìn)行檢測(cè)和分析，對(duì)已有緩存的域名結(jié)果應(yīng)答進(jìn)行預(yù)構(gòu)建，從而過(guò)濾掉DDoS攻擊流量。當(dāng)遭遇相同地址攻擊或數(shù)據(jù)庫(kù)中出現(xiàn)的惡意訪問(wèn)地址，會(huì)交由緩存系統(tǒng)進(jìn)行應(yīng)答，從而緩解節(jié)服務(wù)器壓力。

4.DDoS防火墻

中科三方云解析配備專(zhuān)業(yè)的DDoS防火墻，可有效抵御DDoS，UDP Flood，ICMP，IGMP，SYN Flood，ARP攻擊，非TCP/IP協(xié)議層攻擊等其他多種的未知攻擊，通過(guò)集成的機(jī)制對(duì)這些攻擊進(jìn)行處理和阻斷。

5.負(fù)載均衡

中科三方云解析可以將同一個(gè)域名指向不同服務(wù)器地址，當(dāng)遭受大流量DDoS攻擊或高流量訪問(wèn)時(shí)，可以實(shí)現(xiàn)智能判斷，將用戶(hù)訪問(wèn)或攻擊分?jǐn)偟讲煌姆?wù)器中，來(lái)達(dá)到負(fù)載均衡的效果。

6.宕機(jī)切換

中科三方云解析可將解析指向多個(gè)服務(wù)器地址，并提供全天候無(wú)縫宕機(jī)監(jiān)測(cè)，當(dāng)發(fā)現(xiàn)其中目標(biāo)服務(wù)器宕機(jī)時(shí)，第一時(shí)間將解析切換至備用服務(wù)器，以維持網(wǎng)站業(yè)務(wù)的可用性。

無(wú)論互聯(lián)網(wǎng)應(yīng)用形態(tài)如何變化，DNS作為互聯(lián)網(wǎng)體系結(jié)構(gòu)中銜接基礎(chǔ)網(wǎng)絡(luò)和上層應(yīng)用的“導(dǎo)航系統(tǒng)”，其重要性始終不會(huì)改變，所以廣大政府和企業(yè)對(duì)于DNS的安全防護(hù)要提高重視。中科三方作為深耕域名領(lǐng)域二十余年的域名服務(wù)商，致力于構(gòu)建全方位立體化的域名安全防御體系，助力政府和企業(yè)實(shí)現(xiàn)底層網(wǎng)絡(luò)服務(wù)能力的建設(shè)和提升。