更新时间:2026-01-28 11:18:41
开发经验
39今年年初,FireEye 发布了一项研究,指出全球DNS 劫持攻击,该攻击被认为是两年前开始的大规模且不断增长的间谍活动的一部分。该报告称,黑客活动通过黑客的恶意服务器重定向了全球公司的网络流量,记录公司凭据以供将来攻击。由于目标组织的性质(主要是电信、互联网基础设施、政府和商业实体),大多数都是攻击者感兴趣的。
尽管这项活动的范围看起来很重要,但所使用的方法当然并不独特或复杂。与我们在网络犯罪分子中越来越受欢迎的其他策略一样,这些攻击成本低廉且易于执行,依赖于受害者不采取基本的安全措施。
在DNS 劫持攻击中,不良行为者会接管属于DNS 提供商和注册者的登录信息,并操纵受害者的DNS 记录来重定向其传入流量。结果是,提供DNS 查询(尝试访问网站或访问应用程序)的最终用户设备收到虚假信息,将用户发送到伪装成合法网站的虚假网站。
DNS 劫持和其他中间人攻击(例如DNS 缓存中毒和边界网关协议(BGP) 劫持)并不总是显而易见。它们可能会在很长一段时间内不被发现,通常会导致数据被盗和直接的财务损失。 2018 年底,一项持续多年的广告欺诈计划曝光,该计划利用BGP 劫持攻击超过100 万个IP 地址以及其他策略,获利近3000 万美元。然而,这是一个非常复杂且不寻常的操作。在大多数情况下,这些攻击往往是有针对性的,因为它们很难大规模执行。通常,某些站点是出于特定目的而确定的,例如经济收益。
幸运的是,DNS 安全的基本分层方法可以大大减少DNS 和BGP 相关威胁的可能性。以下是组织应实施的三项基本预防措施:
使用多重身份验证进行权威DNS 和注册商登录组织应实施严格的访问控制,以限制负责修改DNS 设置的合法用户的访问。如果公司有多个DNS 管理员,则可以根据不同的用户角色为他们分配不同的功能,并限制他们完成工作所需的区域和记录的更新访问权限。通过实施多重身份验证和单点登录来加强访问控制非常重要。如果公司使用脚本或API 来更新DNS,则应使用强身份验证密钥并将密钥的使用限制为仅有效来源(即IP 白名单)。组织应使用安全实践与其域名注册商进行交互,并及时更新与注册商的授权联系人列表。
监控权威DNS 活动日志以快速识别问题考虑跟踪每个DNS 响应似乎令人难以承受。然而,通过监控DNS 活动和IDS 日志,公司可以更轻松地观察DNS 配置更改并改变流量模式,从而揭示关键的妥协指标。例如,DNS 记录配置的意外和计划外更改或流量的突然变化可能表明存在恶意DNS 活动。
启用DNSSEC(域名安全扩展)和区域签名DNSSEC 通过为递归DNS 解析器提供一种机制,在向用户返回DNS 答案所需的一系列查找中检查从先前权威DNS 服务器接收到的信息的真实性,从而检查从先前权威DNS 服务器接收到的信息的真实性。由于许多企业都处理财务、健康或个人数据,因此组织有责任保护其客户免受这种形式的攻击。 DNSSEC 通过对顶级域的DNS 的每个区域进行数字签名和验证来保护DNS 信息的完整性。
DNS 是一项关键技术,连接IT 基础设施、应用程序和在线服务的各个方面、服务器和用户之间的一切,使其成为网络犯罪分子极具吸引力的目标。随着世界各地的组织更加积极主动地进行连接、数字化改造其运营,这种攻击媒介将变得越来越重要。快速采取行动实施和维护这些基本预防措施对于防止攻击并保护公司和客户数据免受网络犯罪分子的侵害至关重要。
我们专注高端建站,小程序开发、软件系统定制开发、BUG修复、物联网开发、各类API接口对接开发等。十余年开发经验,每一个项目承诺做到满意为止,多一次对比,一定让您多一份收获!
