DNS解析是互聯(lián)網(wǎng)中一項(xiàng)非常重要的功能,是用戶訪問(wèn)網(wǎng)站的關(guān)鍵環(huán)節(jié),我們?nèi)粘9ぷ魃钍褂镁W(wǎng)絡(luò)都伴隨著大量的DNS服務(wù)做支撐。DNS將用戶容易記憶輸入的域名指向可由計(jì)算機(jī)直接識(shí)別的IP地址,是確保用戶通過(guò)域名訪問(wèn)網(wǎng)站,維持網(wǎng)絡(luò)空間正常秩序的導(dǎo)航系統(tǒng)。
但DNS在設(shè)計(jì)之初只注重實(shí)用性和便捷性,而忽視了安全性,DNS查詢過(guò)程通常是基于無(wú)連接不可靠的UDP協(xié)議,這就導(dǎo)致DNS查詢過(guò)程中驗(yàn)證機(jī)制的缺失,黑客很容易利用該漏洞進(jìn)行攻擊。DNS服務(wù)器可能面臨如下DNS攻擊風(fēng)險(xiǎn):
(1)黑客偽造客戶端源IP地址發(fā)送大量的DNS請(qǐng)求報(bào)文,造成DNS request flood攻擊。
(2)黑客偽造成授權(quán)服務(wù)器發(fā)送大量的DNS回應(yīng)報(bào)文,造成DNS reply flood攻擊。
(3)黑客篡改某些網(wǎng)站的域名和IP地址對(duì)應(yīng)關(guān)系,導(dǎo)致用戶訪問(wèn)被導(dǎo)向至其他網(wǎng)站。
(4)黑客向DNS服務(wù)器發(fā)送大量錯(cuò)誤格式的DNS異常報(bào)文,或者發(fā)送大量超長(zhǎng)DNS報(bào)文,導(dǎo)致DNS服務(wù)器處理這些報(bào)文時(shí)出現(xiàn)異常,拒絕正常服務(wù)。
接下來(lái)我們重點(diǎn)介紹常見(jiàn)的一些DNS攻擊以及相應(yīng)的防御措施。
DNS Request Flood 攻擊與防御
DNS request flood攻擊原理非常簡(jiǎn)單,就是黑客通過(guò)控制僵尸網(wǎng)絡(luò)向DNS服務(wù)器發(fā)送大量域名的解析請(qǐng)求,導(dǎo)致DNS服務(wù)器因大量解析請(qǐng)求而過(guò)載,無(wú)法響應(yīng)正常用戶的DNS請(qǐng)求。
在DNS request flood攻擊過(guò)程中,攻擊目標(biāo)可能是權(quán)威服務(wù)器,也可能是遞歸服務(wù)器,攻擊目標(biāo)不同,所采用的防御手段也不同。對(duì)于遞歸服務(wù)器,向它發(fā)送DNS請(qǐng)求的是終端用戶,所以防御過(guò)程中,需要判定這個(gè)DNS請(qǐng)求是否是由真實(shí)的瀏覽器客戶端發(fā)出;而對(duì)于權(quán)威服務(wù)器,向它發(fā)送DNS請(qǐng)求的可能就是遞歸服務(wù)器,所以認(rèn)證方式也應(yīng)有所不同。
1.針對(duì)虛假源攻擊
授權(quán)服務(wù)器源認(rèn)證(即ns重定向方式),可以有效防御DNS Request Flood虛假源攻擊。重定向只針對(duì)訪問(wèn)受攻擊域名的源IP地址實(shí)施,以減少誤判和避免對(duì)正常業(yè)務(wù)的訪問(wèn)延時(shí)。
基于目的地址對(duì)DNS Request報(bào)文的速率進(jìn)行統(tǒng)計(jì),當(dāng)DNS request報(bào)文的速率超過(guò)閾值時(shí),啟動(dòng)重定向。
(1)返回給請(qǐng)求源一個(gè)別名地址,如果請(qǐng)求源是虛假源,則不會(huì)回應(yīng)重定向報(bào)文,認(rèn)證不通過(guò)報(bào)文丟棄。
(2)如果請(qǐng)求源是真實(shí)源,則重新請(qǐng)求發(fā)送的重定向地址。認(rèn)證通過(guò)將此真實(shí)源加入白名單。
(3)再次重定向正確的地址,請(qǐng)求源重新請(qǐng)求正確地址,報(bào)文命中白名單,直接放行到達(dá)授權(quán)服務(wù)器,完成報(bào)文交互。
2.針對(duì)真實(shí)源攻擊
如果是真實(shí)源攻擊,經(jīng)過(guò)上述防御過(guò)程后,通過(guò)的DNS報(bào)文還很大,則可以繼續(xù)采用以下方式進(jìn)行防御。
(1)DNS請(qǐng)求報(bào)文限速:對(duì)于大流量的DNS request flood攻擊是一種非常有效的防御方式。
(2)DNS request報(bào)文限速源IP行為控制,丟棄超出閾值的DNS request報(bào)文。
(3)另外還需要對(duì)異常DNS報(bào)文進(jìn)行檢查,將非標(biāo)準(zhǔn)格式的DNS報(bào)文直接丟棄。
DNS Reply Flood 攻擊與防御
DNS服務(wù)器收到DNS回應(yīng)報(bào)文時(shí),不管自己有沒(méi)有發(fā)過(guò)解析請(qǐng)求,都會(huì)處理這些DNS回應(yīng)報(bào)文。DNS reply flood攻擊是黑客發(fā)送大量的DNS回應(yīng)報(bào)文到DNS緩存服務(wù)器,導(dǎo)致緩存服務(wù)器因?yàn)樘幚磉@些DNS回應(yīng)報(bào)文而耗盡資源,影響正常業(yè)務(wù)的過(guò)程。
DNS reply flood大多都是虛假源攻擊,黑客控制僵尸主機(jī)發(fā)出的DNS reply報(bào)文的源IP地址通常都是偽造的,是不存在的,所以在防御的時(shí)候,就可以從回應(yīng)源IP地址的真假性入手,判定這個(gè)源IP是否是真實(shí)源。
針對(duì)DNS reply flood攻擊的應(yīng)對(duì)方式主要有:
1.DNS reply報(bào)文限速
DNS reply報(bào)文限速對(duì)于大流量的DNS Reply flood攻擊是一種非常有效的防御手段,主要分為對(duì)指定域名限速和對(duì)指定IP限速兩種,分別將匹配了指定域名和指定IP的DNS reply報(bào)文進(jìn)行限速,將超過(guò)閾值的DNS reply報(bào)文直接丟棄處理。
2.異常DNS報(bào)文的檢查
除DNS reply報(bào)文限速外,還可以針對(duì)異常DNS報(bào)文進(jìn)行檢查,從而過(guò)濾掉惡意的DNS請(qǐng)求數(shù)據(jù)。
(1)DNS報(bào)文格式:對(duì)DNS報(bào)文格式進(jìn)行檢查,將非標(biāo)準(zhǔn)的DNS報(bào)文直接丟棄。
(2)DNS報(bào)文長(zhǎng)度:通常情況下,基于UDP協(xié)議的DNS協(xié)議長(zhǎng)度都不大于512字節(jié),而很多DNS flood經(jīng)常采用超大DNS報(bào)文以造成鏈路堵塞,因此可以將報(bào)文長(zhǎng)度作為檢測(cè)DNS報(bào)文是否正常的一個(gè)標(biāo)準(zhǔn),當(dāng)DNS報(bào)文長(zhǎng)度超過(guò)閾值時(shí),直接將DNS報(bào)文丟棄處理 。
(3)DNS報(bào)文的TTL值
將DNS報(bào)文的跳數(shù)限制在DNS報(bào)文允許跳數(shù)范圍內(nèi),當(dāng)DNS報(bào)文的跳數(shù)超出閾值時(shí),直接丟棄該DNS請(qǐng)求報(bào)文。
此外,還有一種升級(jí)版的DNS reply flood攻擊,它的破壞性更強(qiáng),這就是DNS反射攻擊。
黑客將自己的源IP地址偽造成被攻擊目標(biāo)的IP地址,然后向網(wǎng)絡(luò)中開(kāi)放的DNS服務(wù)器發(fā)送大量的查詢請(qǐng)求。
由于DNS回應(yīng)報(bào)文通常是請(qǐng)求報(bào)文的幾倍甚至幾十倍,這些放大后的DNS回應(yīng)報(bào)文被引導(dǎo)至被攻擊目標(biāo),導(dǎo)致網(wǎng)絡(luò)擁塞,拒絕正常服務(wù)器,從而達(dá)到放大攻擊的效果。
DNS反射攻擊和前面介紹的傳統(tǒng)DNS reply flood攻擊有兩點(diǎn)本質(zhì)的不同。
(1)傳統(tǒng)DNS reply flood攻擊的攻擊目標(biāo)一般是DNS緩存服務(wù)器;而DNS反射攻擊的攻擊目標(biāo)一般是客戶端。
(2)傳統(tǒng)DNS reply flood攻擊大多是虛假源攻擊,而在DNS反射攻擊中,DNS請(qǐng)求報(bào)文都是真實(shí)的,DNS回應(yīng)報(bào)文也都是真實(shí)的。
DNS 緩存投毒攻擊
在實(shí)際的DNS解析過(guò)程中,當(dāng)用戶對(duì)某個(gè)域名發(fā)起請(qǐng)求時(shí),遞歸服務(wù)器首先會(huì)查看自身的DNS緩存,如果緩存中恰好有該域名的記錄,就會(huì)直接將結(jié)果返回給用戶,用戶對(duì)所得的IP地址發(fā)起訪問(wèn)。如果緩存中沒(méi)有記錄,才會(huì)發(fā)起全球解析查詢。
這種查詢機(jī)制,縮短了解析查詢的時(shí)間,可以讓用戶獲得更快的訪問(wèn)體驗(yàn),但也存在一定的安全風(fēng)險(xiǎn)。如果攻擊者通過(guò)控制用戶的主機(jī)或者使用惡意軟件攻擊用戶的DNS緩存,就可以對(duì)DNS緩存中的域名映射關(guān)系進(jìn)行篡改,將域名解析結(jié)果指向一個(gè)虛假IP。
在這種情況下,用戶對(duì)該網(wǎng)站發(fā)起請(qǐng)求時(shí),通過(guò)DNS系統(tǒng)的解析會(huì)直接將虛假的映射關(guān)系返給用戶,將用戶引導(dǎo)至虛假站點(diǎn)之上,從而造成信息泄露,財(cái)產(chǎn)安全受到影響。
針對(duì)DNS緩存投毒,主要有以下幾種應(yīng)對(duì)措施:
1.使用可信的ISP或DNS服務(wù)器
由于用戶的計(jì)算機(jī)通常會(huì)直接使用ISP所提供的DNS服務(wù)器。因此,盡量選擇信譽(yù)良好且配備了全面安全措施的ISP,才能有效預(yù)防緩存投毒。如果不放心ISP提供的默認(rèn)DNS服務(wù)器的話,也可以自行改用其他可信的DNS服務(wù)器,以減少受攻擊的可能性。
2.刷新DNS緩存
為了獲取最新的DNS解析記錄,預(yù)防遭受DNS緩存投毒攻擊,用戶可以定期對(duì)自己的系統(tǒng)進(jìn)行DNS緩存清理工作,操作方法:Win+R快捷鍵→輸入:cmd→輸入:ipconfig/flushdns→回車。
3.復(fù)查訪問(wèn)過(guò)的目標(biāo)網(wǎng)站
雖然計(jì)算機(jī)會(huì)機(jī)械地認(rèn)為,只要你輸入的網(wǎng)站URL沒(méi)錯(cuò)的話,它訪問(wèn)到的就是真實(shí)的IP地址。但是我們可以更謹(jǐn)慎地檢查訪問(wèn)的網(wǎng)站是否是目標(biāo)網(wǎng)站,檢查網(wǎng)頁(yè)的地址欄上是否有HTTPS加密,以及它的界面是否看起來(lái)可疑。一旦發(fā)現(xiàn)自己訪問(wèn)的是虛假網(wǎng)站,立即退出該網(wǎng)站,并執(zhí)行病毒掃描和DNS緩存刷新。
4.重新啟動(dòng)路由器以清除其DNS緩存
我們常用的路由器也可能帶有自己的DNS緩存功能,它們和上面提到的用戶計(jì)算機(jī)以及DNS服務(wù)器一樣,容易受到DNS投毒的攻擊。因此,定期重啟路由器,將有利于清除已有的DNS緩存,并重新獲取新的映射記錄。
