2024年值得关注的10种DNS攻击类型和防护措施

随着科技的迅猛发展，互联网的普及和数字化的加速，网络安全问题变得越来越突出。作为互联网基础设施的核心组成部分，针对DNS的攻击也越来越多。根据IDC的研究，与去年同期相比，与DNS劫持相关的平均成本上升了49%，在美国，DNS攻击的平均价格超过127万美元。由此，为了确保网络安全稳定运行，了解DNS攻击类型和防护措施很有必要。今天，我们将深入探讨2024年值得关注的10种DNS攻击类型和防护措施。

1、DNS 缓存中毒攻击

DNS缓存中毒是网络上最常见的攻击之一，旨在诱骗用户在访问合法网站时访问欺诈网站，例如有人访问 gmail.com 查看电子邮件，攻击者通过破坏DNS，显示了一个欺诈性网站而不是gmail.com页面，以此来获取对受害者电子邮件账户的访问权限。

DNS中毒攻击的严重程度和造成的损失取决于多个变量，它为黑客利用网络钓鱼技术窃取受害者的个人信息或财务信息创造了绝佳的机会。

DNS 缓存中毒攻击防护建议：

• 及时更新和修补系统；
• 使用可信赖的DNS服务器；
• 实施DNSSEC（DNS安全扩展）；
• 监控DNS流量；
• 配置防火墙和入侵检测/防御系统；
• 加密DNS流量。

2、分布式反射拒绝服务攻击

分布式反射拒绝服务攻击（DRDoS）的目的是用大量 UDP 确认淹没目标，使其变得不可用。

他们需要一个伪造的源 IP，以便向在伪造地址上实际运行的主机发送更多的确认信息。UDP 是此类攻击的首选协议，因为它不建立连接状态。

为了论证起见，假设由于 IP 地址欺骗攻击，SYN/ACK 数据包一消失，TCP 连接就终止了。

当这些攻击被控制在适当的规模时，集体反射的概念就会变得显而易见；这会导致多个端点广播伪造的 UDP 要约，产生针对单一目标的确认。

分布式反射拒绝服务攻击防护建议：

• 将服务器设在不同的数据中心；
• 确保数据中心位于不同的网络中；
• 确保数据中心有多条路径；
• 确保数据中心或与数据中心相关的网络没有基本的安全漏洞或单点故障。

3、DNS 劫持

通过使用一种被称为“DNS 劫持”的技术，个人可以被重定向到一个不可信的 DNS。与此同时，这些人控制了 DNS，可以将获得 DNS 的人导向一个看起来相同但提供额外材料（如广告）的网站。

DNS 劫持防护建议：

• 查看网络中的解析器；
• 严格限制对名称服务器的访问；
• 采取措施防止缓存中毒；
• 即时修补已知漏洞；
• 将权威名称服务器与解析器分开；
• 限制区域更改。

4、幽灵域攻击

由于这些 “幽灵 ”域名从不响应 DNS 查询，因此此类攻击的攻击者会让你的 DNS 解析器不堪重负，并耗尽其资源来寻找它们。

这种攻击的目的是使 DNS 解析器服务器等待过长的时间后才放弃或给出较差的响应，这两种情况都不利于 DNS 性能的提高。

幽灵域攻击防护建议：

• 增加递归客户端的数量；
• 使用以下参数的适当顺序，以获得最佳结果；
• 限制每个服务器的递归查询和每个区域的递归查询；
• 授权按住无响应的服务器，检查每个区域的递归查询。

5、DNS 泛洪攻击

最常见的 DNS 攻击形式之一是针对域名系统 (DNS) 的分布式拒绝服务攻击 (DDoS)。

所有经过处理的 DNS 区域都会影响资源记录的功能，这就是为什么这种形式的 DNS 泛洪的主要目标是让您的服务器完全超载，使其无法继续服务 DNS 请求。

由于这种类型的攻击通常来自单个 IP，因此很容易缓解。然而，当 DDoS 涉及数百或数千人时，事情可能会变得棘手。

DNS 泛洪攻击防护建议：

• 定期更新旧信息；
• 并跟踪在众多 DNS 提供商中查询次数最多的域名；
• 使用高宽带，提供强大的流量吞吐，减少网络的拥堵；
• 采用诸如锐安盾等安全防御产品，提供DDoS防护，可有效防御畸形报文攻击、SYN Flood、ACK Flood、UDP Flood、ICMP Flood等网络层攻击以及SSL、DNS等应用层攻击；
• 部署在网络边缘的防火墙和入侵检测系统（IDS）可以在一定程度上识别并过滤攻击流量。

6、随机子域攻击

随机子域攻击虽然不是最常见的 DNS 攻击形式，但偶尔也会在一些网络中出现。由于其构造与简单 DoS 的目的相同，因此随机子域攻击通常被定性为 DoS 攻击。

随机子域攻击的目的是制造拒绝服务（DoS），使负责处理主域名的官方 DNS 服务器不堪重负，从而阻止任何 DNS 记录查询。这些查询来自受感染的用户，他们并不知道自己从真正的 PC 上发送了特定类型的查询，因此这种攻击很难识别。

随机子域攻击防护建议：

• 学习一些技术，减轻与受害者相关的解析器和网络资源产生大量流量的攻击；
• 了解用于保护DNS 专家的“响应速度限制”的现代功能，以防止攻击。

7、僵尸网络攻击

僵尸网络是被入侵的互联网连接设备的集合，可用于发起协调的拒绝服务攻击，在此期间，被入侵的设备可用于窃取信息、发送垃圾邮件，并让攻击者完全控制被入侵的设备及其网络连接。

僵尸网络攻击防护建议：

• 正确了解自己的漏洞，及时修复漏洞；
• 确保物联网设备的安全；
• 从事实中找出你的缓解误区。
• 发现、分类和控制。

8、域名劫持攻击

在域名劫持攻击中，攻击者会修改你的域名注册商和 DNS 服务器，以便将你的流量转到其他地方。许多因素都与攻击者利用域名注册商系统中的安全漏洞有关，但如果攻击者控制了您的 DNS 数据，域名劫持也可能发生在 DNS 层面。因此，当攻击者控制了您的域名后，他们就可以利用域名发动攻击，例如为 PayPal、Visa 或银行系统等支付系统设置虚假页面。为了窃取电子邮件地址和密码等敏感信息，攻击者会创建一个假网站，其外观和行为与原网站无异。

域名劫持攻击防护建议：

• 升级应用基础中的 DNS；
• 使用 DNSSEC；
• 安全访问；
• 客户端锁定。

9、DNS 隧道攻击

DNS 隧道攻击利用 DNS 的确认和查询通道来传输来自多个应用程序的编码数据。虽然这种技术从未打算广泛使用，但由于其能够规避接口保护措施，因此现在经常被用于攻击。入侵者需要对目标系统、域名和 DNS 权威服务器进行物理访问，才能进行 DNS 隧道攻击。

DNS 隧道攻击防护建议：

• 创建访问规则；
• 创建协议对象；
• 创建应用规则。

10、TCP SYN 洪水攻击

TCP SYN 洪水攻击是指攻击者向系统发送大量 SYN 查询，试图使系统崩溃，无法响应新的真实连接请求，是一种简单的拒绝服务（DDoS）攻击，可破坏任何使用传输控制协议（TCP）在互联网上进行通信的服务。负载平衡器、防火墙、入侵防御系统（IPS）和利用服务器等常见基础设施组件都可能受到SYN波的攻击，这是一种试图利用这些组件中的连接元素表的TCP状态耗尽的攻击。因此，即使是设计用于管理数百万个链路的大容量设备，也可能因这种攻击而瘫痪。

TCP SYN 洪水攻击防护建议：

• 部署防火墙和入侵防御系统 (IPS) ；
• 提供对内联和离线部署的适当支持，以确保网络上不会只有一个崩溃点；
• 广泛的网络独特性，能够查看和检查来自网络各个部分的流量；
• 不同来源的威胁情报，包括统计异常检测、可定制的入口警报和已知威胁的指纹，确保快速可靠的检测；
• 具有可扩展性，可处理各种规模的攻击，从低端扩展到高端，从高端扩展到低端。

总结

DNS 服务对于维护公司网站和在线协助的日常工作至关重要，因此，掌握常见DNS攻击类型，和了解防护措施很有必要。只有随时关注并采取最新的防护措施，保护DNS系统的正常运行，才能确保企业网站安全稳定运行，确保企业业务正常流转。

来源：cybersecuritynews；资料链接：https://cybersecuritynews.com/dns-attacks/