域名系統(tǒng)（DNS）是一種結(jié)構(gòu)化的命名系統(tǒng)，是Internet基礎(chǔ)結(jié)構(gòu)的關(guān)鍵部分。目前，針對(duì)DNS的攻擊已經(jīng)成為網(wǎng)絡(luò)安全中的一個(gè)嚴(yán)重問(wèn)題，每年都有數(shù)千個(gè)網(wǎng)站成為此類(lèi)攻擊的受害者。為了保護(hù)網(wǎng)絡(luò)免受此類(lèi)攻擊，重要的是要了解不同類(lèi)型的DNS攻擊，并找到相對(duì)應(yīng)的緩解方法。

　　01 拒絕服務(wù)（DoS）類(lèi)攻擊

　　從DoS這個(gè)描述性就可以看出這類(lèi)DNS網(wǎng)絡(luò)攻擊的特點(diǎn)，旨在通過(guò)耗盡機(jī)器或網(wǎng)絡(luò)的資源將其服務(wù)關(guān)閉，阻止用戶(hù)訪問(wèn)機(jī)器或網(wǎng)絡(luò)。需要強(qiáng)調(diào)的是，這種攻擊的目的主要用于隱藏蹤跡或阻礙受害者恢復(fù)工作。

　　DoS攻擊通常被不法分子用來(lái)追蹤采用高級(jí)網(wǎng)絡(luò)保護(hù)的高價(jià)值目標(biāo)，其主要類(lèi)型包括：

　　DNS放大

　　DNS放大是DoS攻擊中用于利用域名系統(tǒng)并加大目標(biāo)網(wǎng)站流量的一種技術(shù)。這種攻擊方法利用的主要技術(shù)包括DNS反射和地址偽造。不法分子實(shí)施這種攻擊的手法是，向域名系統(tǒng)服務(wù)器發(fā)送偽造的IP數(shù)據(jù)包，請(qǐng)求目標(biāo)的域名，使用目標(biāo)的IP地址代替自己的IP地址。

　　所有這些查詢(xún)都由DNS服務(wù)器用目標(biāo)機(jī)器的IP地址來(lái)答復(fù)。然后，受害者的服務(wù)器向每個(gè)請(qǐng)求發(fā)送相同的答復(fù)。這導(dǎo)致龐大的數(shù)據(jù)流量從受害者網(wǎng)絡(luò)的端口80或25流入。

　　資源耗盡

　　資源耗盡DoS攻擊是指，攻擊者旨在通過(guò)耗盡設(shè)備的資源池（CPU、內(nèi)存、磁盤(pán)和網(wǎng)絡(luò)），在受害者的機(jī)器中觸發(fā)DoS類(lèi)型的響應(yīng)。內(nèi)存耗盡是另一種資源耗盡DoS攻擊，比如針對(duì)電子郵件代理，威脅分子只需將數(shù)十萬(wàn)個(gè)附件上傳到草稿郵件，即可觸發(fā)內(nèi)存耗盡攻擊。

　　緩沖區(qū)溢出

　　緩沖區(qū)溢出攻擊（BOA）是一種漏洞或限制利用攻擊，旨在迫使系統(tǒng)將內(nèi)存寫(xiě)入錯(cuò)誤的緩沖區(qū)而不是預(yù)期的位置。當(dāng)內(nèi)存寫(xiě)入緩沖區(qū)而不是常規(guī)位置時(shí)，這會(huì)導(dǎo)致利用該內(nèi)存的應(yīng)用程序崩潰。這個(gè)問(wèn)題是用C語(yǔ)言編寫(xiě)的應(yīng)用程序所特有的。

　　緩沖區(qū)溢出攻擊也可用于DoS之外的目的。比如說(shuō)，攻擊者可能會(huì)篡改或替換基址指針或指標(biāo)指針中的值，以執(zhí)行惡意代碼。

　　ICMP洪水

　　這種DoS攻擊又叫ping洪水，它濫用常見(jiàn)的連接測(cè)試來(lái)導(dǎo)致目標(biāo)系統(tǒng)崩潰、宕機(jī)、重啟或無(wú)法運(yùn)行。工作原理是，一臺(tái)機(jī)器向另一臺(tái)機(jī)器發(fā)送ICMP回應(yīng)請(qǐng)求。反過(guò)來(lái)，接收端發(fā)回答復(fù)。只要測(cè)量往返，即可確定連接強(qiáng)度。而攻擊者可以濫用ICMP回應(yīng)答復(fù)機(jī)制使受害者的網(wǎng)絡(luò)不堪重負(fù)。不過(guò)攻擊者必須知道受害者的IP地址才能明確攻擊的重點(diǎn)。此外，攻擊者還要了解受害者路由器的相關(guān)信息。

　　SYN洪水

　　SYN洪水又叫“半開(kāi)”攻擊，它濫用了TCP/IP三次握手機(jī)制。三次握手機(jī)制的工作原理是，攻擊者將通過(guò)重復(fù)發(fā)送SYN數(shù)據(jù)包，并忽略服務(wù)器端的SYN-ACK數(shù)據(jù)包，從而觸發(fā)服務(wù)器的拒絕用戶(hù)響應(yīng)。

　　DoS類(lèi)DNS攻擊防護(hù)建議：

　　使用合法的云托管服務(wù)；

　　實(shí)施系統(tǒng)可用性監(jiān)控；

　　及時(shí)鎖定注冊(cè)表；

　　部署應(yīng)用IDS/IPS工具；

　　定期開(kāi)展自動(dòng)化靜態(tài)和動(dòng)態(tài)分析；

　　定期使用模糊測(cè)試技術(shù)；

　　實(shí)施數(shù)據(jù)執(zhí)行預(yù)防措施；

　　對(duì)網(wǎng)頁(yè)代碼進(jìn)行安全性檢查；

　　關(guān)注編譯器報(bào)警，并準(zhǔn)確查找原因；

　　添加預(yù)警機(jī)制，并對(duì)入站ICMP消息進(jìn)行處理限制；

　　使用邊界防火墻微調(diào)；

　　一旦積壓隊(duì)列已滿，使用最舊的半開(kāi)TCP/IP連接。

　　02 分布式拒絕服務(wù)（DDoS）類(lèi)攻擊

　　與簡(jiǎn)單的DoS攻擊相比，DDoS攻擊發(fā)生的頻率更高。因?yàn)榻┦瑱C(jī)器和僵尸網(wǎng)絡(luò)在暗網(wǎng)上很容易獲得；與DoS相比，DDoS類(lèi)攻擊得逞的概率更高。

　　以下是DDoS類(lèi)DNS攻擊的主要技術(shù)方式：

　　UDP洪水

　　這種DDoS與SYN洪水攻擊非常相似，利用用戶(hù)數(shù)據(jù)報(bào)協(xié)議（UDP）和UDP數(shù)據(jù)包。攻擊者向用戶(hù)已打開(kāi)端口發(fā)送大量的垃圾 UDP數(shù)據(jù)包。主機(jī)以為這些是合法的UDP通信嘗試，試圖在該端口上偵聽(tīng)，如果沒(méi)找到數(shù)據(jù)包，主機(jī)將別無(wú)選擇的回復(fù)ICMP無(wú)法抵達(dá)。這種情況會(huì)一直持續(xù)下去，直至主機(jī)的網(wǎng)絡(luò)資源被耗盡。

　　NTP放大

　　在網(wǎng)絡(luò)時(shí)間協(xié)議（NTP）攻擊中，威脅分子會(huì)向NTP服務(wù)器發(fā)送大量的UDP數(shù)據(jù)包，以達(dá)到DoS的目的。當(dāng)NTP服務(wù)器的資源無(wú)法支撐解析所收到的查詢(xún)請(qǐng)求時(shí)，它就會(huì)崩潰。

　　HTTP洪水

　　這是一種非常有效的DDoS攻擊方式，利用了GET或POST響應(yīng)機(jī)制。攻擊者向服務(wù)器發(fā)送盡可能多的合法GET或POST查詢(xún)，迫使服務(wù)器回答每一個(gè)查詢(xún)。這種資源密集型回復(fù)過(guò)程會(huì)耗盡服務(wù)器資源，從而導(dǎo)致服務(wù)中斷。

　　Fast Flux

　　Fast Flux攻擊目的主要用于掩蓋僵尸網(wǎng)絡(luò)，嚴(yán)格上來(lái)講它不是一種攻擊，而是僵尸網(wǎng)絡(luò)運(yùn)營(yíng)商用來(lái)逃避檢測(cè)的一種規(guī)避方法。借助Fast Flux，威脅分子可以在受感染的主機(jī)之間快速切換，從而使他們無(wú)法被檢測(cè)工具發(fā)覺(jué)。

　　反射式跨站點(diǎn)腳本（XSS）

　　在反射式跨站點(diǎn)腳本攻擊（XSS）模式中，威脅分子會(huì)濫用由接收請(qǐng)求的應(yīng)用程序發(fā)出的HTPP響應(yīng)。這么做的目的是，發(fā)現(xiàn)接收HTTP請(qǐng)求的應(yīng)用程序是否在收到查詢(xún)時(shí)執(zhí)行任何類(lèi)型的數(shù)據(jù)檢查。一些不安全的網(wǎng)站會(huì)原樣返回搜索詞。威脅分子可以利用這種不當(dāng)?shù)臄?shù)據(jù)處理做法在URL中附加惡意參數(shù)，實(shí)施XSS攻擊。

　　DDoS類(lèi)DNS攻擊防護(hù)建議：

　　執(zhí)行深度數(shù)據(jù)包檢查；

　　應(yīng)用流量清理過(guò)濾器；

　　抑制ICMP數(shù)據(jù)包的系統(tǒng)響應(yīng)率；

　　執(zhí)行定期流量分析；

　　及時(shí)關(guān)注IP 的安全聲譽(yù)；

　　嚴(yán)格執(zhí)行JavaScript解析；

　　驗(yàn)證IP來(lái)源；

　　禁用monlist；

　　實(shí)施訪問(wèn)控制；

　　加強(qiáng)員工網(wǎng)絡(luò)安全意識(shí)教育，不點(diǎn)擊可疑鏈接和郵件；

　　正確使用Web應(yīng)用程序防火墻。

　　03 DNS 劫持類(lèi)攻擊

　　發(fā)生DNS劫持攻擊時(shí)，網(wǎng)絡(luò)攻擊者會(huì)操縱域名查詢(xún)的解析服務(wù)，導(dǎo)致訪問(wèn)被惡意定向至他們控制的非法服務(wù)器，這也被成為DNS投毒或DNS重定向攻擊。

　　DNS 劫持攻擊在網(wǎng)絡(luò)犯罪領(lǐng)域也很常見(jiàn)。DNS劫持活動(dòng)還可能破壞或改變合規(guī)DNS服務(wù)器的工作。除了實(shí)施網(wǎng)絡(luò)釣魚(yú)活動(dòng)的黑客外，這還可能由信譽(yù)良好的實(shí)體（比如ISP）完成，其這么做是為了收集信息，用于統(tǒng)計(jì)數(shù)據(jù)、展示廣告及其他用途。此外，DNS服務(wù)提供商也可能使用流量劫持作為一種審查手段，防止訪問(wèn)特定頁(yè)面。

　　DNS劫持類(lèi)攻擊主要的技術(shù)手段：

　　DNS欺騙

　　DNS欺騙又叫DNS緩存中毒，是網(wǎng)絡(luò)犯罪分子用來(lái)誘騙用戶(hù)連接到他們建立的虛假網(wǎng)站而不是合法網(wǎng)站的一種方法。有人通過(guò)域名系統(tǒng)請(qǐng)求訪問(wèn)網(wǎng)站，而DNS服務(wù)器回應(yīng)不準(zhǔn)確的IP地址時(shí)，這被認(rèn)為是DNS欺騙攻擊。然而，不僅僅是網(wǎng)站容易受到這種攻擊。黑客還可以使用這種方法，訪問(wèn)電子郵件賬戶(hù)及其他私密數(shù)據(jù)。

　　DNS隧道

　　網(wǎng)絡(luò)流量可以使用DNS隧道的方式繞過(guò)網(wǎng)絡(luò)過(guò)濾器和防火墻等機(jī)制，以建立另外的數(shù)據(jù)傳輸通道。啟用DNS隧道后，用戶(hù)的連接將通過(guò)遠(yuǎn)程服務(wù)器路由傳輸互聯(lián)網(wǎng)流量。不幸的是，黑客經(jīng)常將此用于惡意目的。被惡意使用時(shí)，DNS隧道是一種攻擊策略，數(shù)據(jù)通過(guò)DNS查詢(xún)來(lái)傳遞。除了通過(guò)平常會(huì)阻止這類(lèi)流量的網(wǎng)絡(luò)秘密發(fā)送數(shù)據(jù)外，這還可用于欺騙內(nèi)容、避免過(guò)濾或防火墻檢測(cè)。

　　DNS重新綁定

　　DNS重新綁定是一種網(wǎng)絡(luò)攻擊方法，利用瀏覽器緩存的長(zhǎng)期特性，欺騙受害者的瀏覽器在輸入域名時(shí)聯(lián)系惡意站點(diǎn)。攻擊者可以使用任何聯(lián)網(wǎng)設(shè)備（包括智能手機(jī)）來(lái)實(shí)施攻擊，不需要任何類(lèi)型的身份驗(yàn)證。受害者必須禁用瀏覽歷史記錄或打開(kāi)瀏覽器隱身窗口，才能禁用緩存。利用該漏洞，攻擊者可以將受害者瀏覽器對(duì)域名的請(qǐng)求，重新路由到托管有害內(nèi)容的非法服務(wù)器。

　　DNS拼寫(xiě)仿冒

　　DNS拼寫(xiě)仿冒是一種受DNS劫持啟發(fā)的社會(huì)工程攻擊技術(shù)，它使用域名中的錯(cuò)別字和拼寫(xiě)錯(cuò)誤。常見(jiàn)的DNS拼寫(xiě)仿冒攻擊始于攻擊者注冊(cè)一個(gè)域名，這個(gè)域名和目標(biāo)的網(wǎng)站域名非常相似。攻擊者隨后搭建一個(gè)虛假網(wǎng)站，網(wǎng)站內(nèi)容旨在說(shuō)服用戶(hù)提供敏感信息，包括登錄密碼、信用卡資料及其他個(gè)人信息。

　　DNS劫持類(lèi)攻擊防護(hù)建議：

　　關(guān)閉不需要的DNS解析器；

　　在合法的DNS解析器處部署防火墻；

　　將名稱(chēng)服務(wù)器與DNS解析器分開(kāi)；

　　開(kāi)展及時(shí)有效的漏洞管理和修復(fù)工作；

　　對(duì)DNS注冊(cè)商實(shí)施客戶(hù)端鎖定；

　　確保使用支持DNSSEC的DNS服務(wù)商；

　　始終啟用DNSSEC配置功能；

　　為使用加密的VPN連接；

　　實(shí)施路由器密碼安全政策。

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<