隨著俄烏沖突中網(wǎng)絡(luò)戰(zhàn)的升級(jí)，DNS安全成為業(yè)界關(guān)注的焦點(diǎn)。
無論是去年3月份NSA發(fā)布的保護(hù)性DNS（PDNS）推薦指南，還是俄羅斯互聯(lián)網(wǎng)的核心——DNS服務(wù)在戰(zhàn)爭(zhēng)期間的大規(guī)模啟用，都表明DNS安全威脅在不斷升級(jí)。

DNS記錄著全球域名與IP地址的一一映射關(guān)系，是互聯(lián)網(wǎng)中最基礎(chǔ)的服務(wù)之一。由于其在互聯(lián)網(wǎng)中的重要性以及DNS體系的先天局限性，DNS很容易成為網(wǎng)絡(luò)攻擊的重要目標(biāo)。

根據(jù)IDC和Efficient IP最近的一項(xiàng)研究數(shù)據(jù)顯示，在北美、歐洲和亞太地區(qū)的1100多家受訪公司中，有87%的公司表示曾受到DNS攻擊的影響。

據(jù)分析師稱，DNS攻擊造成的平均損失約為95萬美元。研究人員還注意到通過DNS竊取數(shù)據(jù)的案件也急劇增加：26%的受訪者曾以這種方式竊取敏感的客戶數(shù)據(jù)——這一數(shù)字在2020年僅為16%。

為避免DNS攻擊導(dǎo)致的重大損失，我們總結(jié)了以下五種最常見的DNS攻擊類型以及相應(yīng)的對(duì)策。

一、五種常見的DNS攻擊類型

1.DNS劫持

DNS劫持又稱域名劫持，是攻擊者利用缺陷對(duì)用戶的DNS進(jìn)行篡改，將域名由正常IP指向攻擊者控制的IP，從而導(dǎo)致訪客被劫持到一個(gè)不可達(dá)或者假冒的網(wǎng)站，以此達(dá)到非法竊取用戶信息或者破壞正常網(wǎng)絡(luò)服務(wù)的目的。

DNS劫持可用于DNS域欺騙（攻擊者通常目的是為了顯示不需要的廣告以產(chǎn)生收入）或用于網(wǎng)絡(luò)釣魚（為了讓用戶訪問虛假網(wǎng)站并竊取用戶的數(shù)據(jù)和憑據(jù)）。互聯(lián)網(wǎng)服務(wù)提供商（ISP）也可能通過DNS劫持來接管用戶的DNS請(qǐng)求，收集統(tǒng)計(jì)數(shù)據(jù)并在用戶訪問未知域名時(shí)返回廣告或者屏蔽對(duì)特定網(wǎng)站的訪問。

2.DNS放大攻擊

DNS放大攻擊是一種流行的DDoS攻擊形式，其中目標(biāo)系統(tǒng)被來自公共DNS服務(wù)器的查詢響應(yīng)淹沒。攻擊者向公共DNS服務(wù)器發(fā)送DNS名稱查詢，使用受害者的地址作為源地址，導(dǎo)致公共DNS服務(wù)器的響應(yīng)都被發(fā)送到目標(biāo)系統(tǒng)。

攻擊者通常會(huì)查詢盡可能多的域名信息，以最大限度地發(fā)揮放大效果。通過使用僵尸網(wǎng)絡(luò)，攻擊者也可以毫不費(fèi)力地生成大量虛假DNS查詢。此外，由于響應(yīng)是來自有效服務(wù)器的合法數(shù)據(jù)，因此很難防止DNS放大攻擊。

3.DNS緩存投毒

DNS緩存投毒又稱DNS欺騙，是一種通過查找并利用DNS系統(tǒng)中存在的漏洞，將流量從合法服務(wù)器引導(dǎo)至虛假服務(wù)器上的攻擊方式。

在實(shí)際的DNS解析過程中，用戶請(qǐng)求某個(gè)網(wǎng)站，瀏覽器首先會(huì)查找本機(jī)中的DNS緩存，如果DNS緩存中記錄了該網(wǎng)站和IP的映射關(guān)系，就會(huì)直接將結(jié)果返回給用戶，用戶對(duì)所得的IP地址發(fā)起訪問。如果緩存中沒有相關(guān)記錄，才會(huì)委托遞歸服務(wù)器發(fā)起遞歸查詢。

這種查詢機(jī)制，縮短了全球查詢的時(shí)間，可以讓用戶獲得更快的訪問體驗(yàn)，但也存在一定的安全風(fēng)險(xiǎn)。如果攻擊者通過控制用戶的主機(jī)或者使用惡意軟件攻擊用戶的DNS緩存，就可以對(duì)DNS緩存中的域名映射關(guān)系進(jìn)行篡改，將域名解析結(jié)果指向一個(gè)虛假IP。

4.DNS隧道

另一種流行且經(jīng)驗(yàn)豐富的攻擊模式是DNS隧道。這種攻擊主要利用客戶端-
服務(wù)器模型注入惡意軟件和其他數(shù)據(jù)。利用這些數(shù)據(jù)的有效負(fù)載，網(wǎng)絡(luò)犯罪分子可以接管DNS服務(wù)器，然后可能訪問其管理功能和駐留在其上的應(yīng)用程序。

DNS隧道通過DNS解析器在攻擊者和目標(biāo)之間創(chuàng)建隱藏連接，可繞過防火墻，用于實(shí)施數(shù)據(jù)泄露等攻擊。在大多數(shù)情況下，DNS隧道需要借助能夠連接外網(wǎng)的受感染系統(tǒng)作為跳板，來訪問具有網(wǎng)絡(luò)訪問權(quán)限的內(nèi)部DNS服務(wù)器。

5.僵尸網(wǎng)絡(luò)反向代理（Fast Flux）

Fast
Flux是一種DNS規(guī)避技術(shù)，攻擊者使用僵尸網(wǎng)絡(luò)隱藏其網(wǎng)絡(luò)釣魚和惡意軟件活動(dòng)，逃避安全掃描。攻擊者會(huì)使用受感染主機(jī)的動(dòng)態(tài)IP地址充當(dāng)后端僵尸網(wǎng)絡(luò)主機(jī)的反向代理。Fast
Flux也可通過組合使用點(diǎn)對(duì)點(diǎn)網(wǎng)絡(luò)、分布式命令和控制、基于Web的負(fù)載平衡和代理重定向等方法，使惡意軟件網(wǎng)絡(luò)更難被檢測(cè)到。

二、DNS攻擊應(yīng)對(duì)方式

1.采用更嚴(yán)格的訪問控制

企業(yè)應(yīng)采用更嚴(yán)格的網(wǎng)絡(luò)訪問控制策略，使用雙因素或多因素身份驗(yàn)證，以更好地控制哪些用戶可以訪問他們的網(wǎng)絡(luò)。

CISA建議公司定期更改所有可用于更改DNS記錄的帳戶的密碼，包括公司管理的DNS服務(wù)器軟件上的帳戶、管理該軟件的系統(tǒng)、DNS運(yùn)營(yíng)商的管理面板和DNS注冊(cè)商帳戶，DNS管理平臺(tái)盡量避免采用與其他平臺(tái)相同和類似的賬號(hào)密碼，以防止黑客采用遍歷手段獲取DNS解析和管理權(quán)限。

2.部署零信任方案

零信任方法越來越受歡迎，部分原因在于許多組織已經(jīng)采用了混合和遠(yuǎn)程工作模式。零信任還可以幫助緩解DNS威脅。

Gartner建議安全和風(fēng)險(xiǎn)領(lǐng)導(dǎo)者實(shí)施兩個(gè)與網(wǎng)絡(luò)相關(guān)的關(guān)鍵零信任項(xiàng)目以降低風(fēng)險(xiǎn)：一個(gè)是零信任網(wǎng)絡(luò)訪問(ZTNA)，它根據(jù)用戶及其設(shè)備的身份、時(shí)間和日期、地理位置、歷史使用模式和設(shè)備運(yùn)行狀況等其他因素授予訪問權(quán)限。根據(jù)Gartner的說法，零信任能提供一個(gè)安全且有彈性的環(huán)境，具有更大的靈活性和更好的監(jiān)控。第二個(gè)是基于身份的網(wǎng)絡(luò)分段，這也是一種久經(jīng)考驗(yàn)的方法，可以限制攻擊者在網(wǎng)絡(luò)中橫向移動(dòng)的能力。

3.檢查/驗(yàn)證DNS記錄

建議企業(yè)及時(shí)檢查擁有和管理的所有域名，確保名稱服務(wù)器引用正確的DNS服務(wù)器，這一點(diǎn)至關(guān)重要；檢查所有權(quán)威和輔助DNS服務(wù)器上的所有DNS記錄，發(fā)現(xiàn)任何差異和異常，將其視為潛在的安全事件，及時(shí)查找原因并解決。

4.接入高防服務(wù)

在做好以上常規(guī)網(wǎng)絡(luò)安全措施基礎(chǔ)之上，廣大企業(yè)還需要接入更專業(yè)的DNS高防服務(wù)。應(yīng)對(duì)DDoS攻擊、DNS
query查詢等常見的網(wǎng)絡(luò)攻擊，實(shí)時(shí)監(jiān)測(cè)域名安全狀況，避免因DNS劫持、DNS污染對(duì)網(wǎng)站域名帶來的影響。

…

隨著技術(shù)的發(fā)展，DNS攻擊數(shù)量快速增加，攻擊手段愈發(fā)多樣，對(duì)廣大政企的威脅日益凸顯，因此網(wǎng)站管理者和運(yùn)營(yíng)者一定要提高警惕，選擇正規(guī)專業(yè)的域名解析服務(wù)商，定期檢查域名解析情況，發(fā)現(xiàn)問題及時(shí)與服務(wù)商聯(lián)系，才能有效應(yīng)對(duì)各種DNS攻擊類型，保障廣大政企網(wǎng)站業(yè)務(wù)的正常開展。

擇正規(guī)專業(yè)的域名解析服務(wù)商，定期檢查域名解析情況，發(fā)現(xiàn)問題及時(shí)與服務(wù)商聯(lián)系，才能有效應(yīng)對(duì)各種DNS攻擊類型，保障廣大政企網(wǎng)站業(yè)務(wù)的正常開展。

網(wǎng)絡(luò)安全學(xué)習(xí)路線

這是一份網(wǎng)絡(luò)安全從零基礎(chǔ)到進(jìn)階的學(xué)習(xí)路線大綱全覽，小伙伴們記得點(diǎn)個(gè)收藏！

[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-yHwFM3tc-1692679494504)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]編輯

階段一：基礎(chǔ)入門

[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-BeZeN940-1692679494506)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

網(wǎng)絡(luò)安全導(dǎo)論

滲透測(cè)試基礎(chǔ)

網(wǎng)絡(luò)基礎(chǔ)

操作系統(tǒng)基礎(chǔ)

Web安全基礎(chǔ)

數(shù)據(jù)庫基礎(chǔ)

編程基礎(chǔ)

CTF基礎(chǔ)

該階段學(xué)完即可年薪15w+

階段二：技術(shù)進(jìn)階（到了這一步你才算入門）

[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-hdLYoVX8-1692679494507)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

弱口令與口令爆破

XSS漏洞

CSRF漏洞

SSRF漏洞

XXE漏洞

SQL注入

任意文件操作漏洞

業(yè)務(wù)邏輯漏洞

該階段學(xué)完年薪25w+

階段三：高階提升

[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-bwXVxmYq-1692679494508)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

反序列化漏洞

RCE

綜合靶場(chǎng)實(shí)操項(xiàng)目

內(nèi)網(wǎng)滲透

流量分析

日志分析

惡意代碼分析

應(yīng)急響應(yīng)

實(shí)戰(zhàn)訓(xùn)練

該階段學(xué)完即可年薪30w+

階段四：藍(lán)隊(duì)課程

[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-YCIOabwM-1692679494509)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

藍(lán)隊(duì)基礎(chǔ)

藍(lán)隊(duì)進(jìn)階

該部分主攻藍(lán)隊(duì)的防御，即更容易被大家理解的網(wǎng)絡(luò)安全工程師。

攻防兼?zhèn)?#xff0c;年薪收入可以達(dá)到40w+

階段五：面試指南&階段六：升級(jí)內(nèi)容

需要上述路線圖對(duì)應(yīng)的網(wǎng)絡(luò)安全配套視頻、源碼以及更多網(wǎng)絡(luò)安全相關(guān)書籍&面試題等內(nèi)容

如果你對(duì)網(wǎng)絡(luò)安全入門感興趣，那么你需要的話可以點(diǎn)擊這里👉網(wǎng)絡(luò)安全重磅福利：入門&進(jìn)階全套282G學(xué)習(xí)資源包免費(fèi)分享！

同學(xué)們可以掃描下方二維碼獲取哦！