189-8192-4272
首页 开发经验
案例推荐 更多
DNS的三种武器化攻击,如何降低风险?
  • 更新时间:2026-01-28 11:18:40
  • 开发经验
  • 发布时间:2个月前
  • 41

在“网络”的早期,参与网络的每个计算机系统只能通过知道其唯一的32 位IP 地址来联系。随着网络发展成为我们今天所知的互联网,必须做出一些改变,以允许这个互连的计算机系统相互通信,并让其操作员知道这些地址。

1983年,Paul Mockpetris、Jon Postel和Zaw-Sing Su提出了DNS(域名服务器)的概念,通过将简单的DNS域名转换为相应的IP地址来为网站找到新的命名法。 30 多年来,DNS 一直是一种透明的机制,使互联网的全球现象融入到我们现代生活的方方面面。你可能会问,为什么攻击者会利用这个系统来攻击我们呢?答案比你想象的更复杂,但问题却越来越多。我们的建议继续使用古老的技术,不应包含本应保护我们的安全升级。

下面分享攻击者利用DNS作为攻击管道的关键技术以及攻击工具本身。您可以在自己的环境中执行三件事来帮助保护自己免受这些攻击并帮助保持互联网安全。

攻击1:洪水和水龙头漏水2014 年初,Akamai 发现其亚太地区游戏垂直领域的一位客户遭到攻击。这次攻击的峰值速度达到了320Gbps,每秒生成超过7150 万个数据包。然而,这次攻击的独特之处在于,攻击者还针对该组织的DNS 服务器,每秒生成前所未有的210 万个合法DNS 查询请求。

7336ceb89dbc6a96553d67c6e8025f94.jpg

DNS 弹性始终处于任何在线系统可靠服务的最前沿,但现代商业生态系统中开始出现其他故障。即使DNS 提供商保持在线并且可以响应所有这些DNS 查询,现代“云服务”计费模型也无法从正常服务中抽象出这种查询洪流。因此,受害组织应对其成功答复的所有询问负责。我将这种类型的攻击称为“漏水水龙头”,因为它利用了现代“按使用付费”云计费结构的可变性。对CDN 客户端的“英雄图像”等执行GET torrent(合法请求)。如果CDN 完成其工作并提供此流量,您猜怎么着?你必须付钱!这也是必须管理的风险。但让我们回到DNS。

攻击2:劫持域名密钥许多头条新闻中出现的攻击都是DNS劫持。这不是什么新鲜事,但我将简要解释它是如何发生的。由于域/托管提供商管理更改DNS 托管设置的访问能力存在操作缺陷,攻击者使用众所周知的社会工程方法“欺骗”提供商允许非法更改组织的DNS 记录。下面是一封网络钓鱼电子邮件,用于诱骗域名所有者回复攻击者,并提供其注册商请求更改其DNS 记录所需的确切信息。

d7b89e70ea72c6cb7dcd784c2b601968.jpg

一种常见的变体是获取域的“A”记录,并将其指向攻击者拥有的所有不同IP 地址,其中包含叠加在公司网站副本上的“YOU’VE BEEN PWND”消息。过去几年,许多不同的组织都发生过这种情况,从美国政府拥有的网站到豪华汽车制造商的网站。

1

降低这种攻击风险的关键是在两个方面做出改变。第一种方法是通过设置客户端和注册商设置来更改DNS,以禁止未经授权的更改。第二个问题与您允许通过注册商更改DNS 区域的过程有关。就像获得EVSSL(扩展验证)SSL/TLS 证书需要完成一套“更严格”的流程和文书工作一样,您也可以在对您的区域设置进行任何更改之前向您的注册商咨询现有的流程和控制措施。

1

攻击三:攻击APEX域名APEX记录类似于TLD(顶级域名),指的是紧跟在“点”符号后面的部分。主要区别在于TLD 指的是.COM/.NET 域名,其中只有请求该DNS 区域记录的TOP 才能找到该域名的APEX 记录。它通常也称为根域,因为它不包含子域部分。因此,通常请求为www.xyz[.]com 的域的APEX 域就是xyz[.]com。

1

攻击者正在利用另一边的喧嚣来攻击正在进行数字化转型的组织,利用云服务增强自己的领域服务。一个例子是一个组织为其自己的数据中心托管xyz.com 自己的权威服务器。他们知道需要利用云提供商来保护自己免受基于DNS 的攻击,因此使用Cloudy-DNS(一家虚构的公司)作为辅助域名服务器,但将权威域名服务器配置为保留在自己的数据中心内。

当攻击者使用一些简单的侦察来认识到该域的权威响应必须来自组织数据中心的现场DNS 服务器时,就会出现问题。

原因是,根据IETF RFC 1035 SOA(权威开始)记录,来自委托DNS 域名服务器的响应被迫定向回管理这些顶级响应的域字段的权威域名服务器。这意味着针对www.xyz[.]com 的查询泛洪攻击将由Cloudy-DNS 名称服务器处理,但针对xyz[.]com 上的区域APEX 的攻击将被迫返回数据中心的DNS 服务器,泛洪这些有限的资源并暴露IP 空间。对相应的IP 空间执行反向查找现在可能会向攻击者揭示更多的攻击面。

虽然这不是一个完整的列表,但希望它可以清晰地描述各种与DNS 相关的攻击。值得检查一下您自己的设置和操作过程,看看您是否准备好应对此类攻击。



我们专注高端建站,小程序开发、软件系统定制开发、BUG修复、物联网开发、各类API接口对接开发等。十余年开发经验,每一个项目承诺做到满意为止,多一次对比,一定让您多一份收获!

本文章出于推来客官网,转载请表明原文地址:https://www.99hyw.cn/experience/23333.html
|
|
推荐文章

在线客服

扫码联系客服

3985758

回到顶部