简析DNS攻击的常见类型、危害与防护建议

域名系统（DNS）是一种结构化的命名系统，是Internet基础结构的关键部分。目前，针对DNS的攻击已经成为网络安全中的一个严重问题，每年都有数千个网站成为此类攻击的受害者。为了保护网络免受此类攻击，重要的是要了解不同类型的DNS攻击，并找到相对应的缓解方法。

01

拒绝服务（DoS）类攻击

从DoS这个描述性就可以看出这类DNS网络攻击的特点，旨在通过耗尽机器或网络的资源将其服务关闭，阻止用户访问机器或网络。需要强调的是，这种攻击的目的主要用于隐藏踪迹或阻碍受害者恢复工作。

DoS攻击通常被不法分子用来追踪采用高级网络保护的高价值目标，其主要类型包括：

DNS放大是DoS攻击中用于利用域名系统并加大目标网站流量的一种技术。这种攻击方法利用的主要技术包括DNS反射和地址伪造。不法分子实施这种攻击的手法是，向域名系统服务器发送伪造的IP数据包，请求目标的域名，使用目标的IP地址代替自己的IP地址。

所有这些查询都由DNS服务器用目标机器的IP地址来答复。然后，受害者的服务器向每个请求发送相同的答复。这导致庞大的数据流量从受害者网络的端口80或25流入。

资源耗尽DoS攻击是指，攻击者旨在通过耗尽设备的资源池（CPU、内存、磁盘和网络），在受害者的机器中触发DoS类型的响应。内存耗尽是另一种资源耗尽DoS攻击，比如针对电子邮件代理，威胁分子只需将数十万个附件上传到草稿邮件，即可触发内存耗尽攻击。

缓冲区溢出攻击（BOA）是一种漏洞或限制利用攻击，旨在迫使系统将内存写入错误的缓冲区而不是预期的位置。当内存写入缓冲区而不是常规位置时，这会导致利用该内存的应用程序崩溃。这个问题是用C语言编写的应用程序所特有的。

缓冲区溢出攻击也可用于DoS之外的目的。比如说，攻击者可能会篡改或替换基址指针或指标指针中的值，以执行恶意代码。

这种DoS攻击又叫ping洪水，它滥用常见的连接测试来导致目标系统崩溃、宕机、重启或无法运行。工作原理是，一台机器向另一台机器发送ICMP回应请求。反过来，接收端发回答复。只要测量往返，即可确定连接强度。而攻击者可以滥用ICMP回应答复机制使受害者的网络不堪重负。不过攻击者必须知道受害者的IP地址才能明确攻击的重点。此外，攻击者还要了解受害者路由器的相关信息。

SYN洪水又叫“半开”攻击，它滥用了TCP/IP三次握手机制。三次握手机制的工作原理是，攻击者将通过重复发送SYN数据包，并忽略服务器端的SYN-ACK数据包，从而触发服务器的拒绝用户响应。

DoS类DNS攻击防护建议：

02

分布式拒绝服务（DDoS）类攻击

与简单的DoS攻击相比，DDoS攻击发生的频率更高。因为僵尸机器和僵尸网络在暗网上很容易获得；与DoS相比，DDoS类攻击得逞的概率更高。

以下是DDoS类DNS攻击的主要技术方式：

这种DDoS与SYN洪水攻击非常相似，利用用户数据报协议（UDP）和UDP数据包。攻击者向用户已打开端口发送大量的垃圾 UDP数据包。主机以为这些是合法的UDP通信尝试，试图在该端口上侦听，如果没找到数据包，主机将别无选择的回复ICMP无法抵达。这种情况会一直持续下去，直至主机的网络资源被耗尽。

在网络时间协议（NTP）攻击中，威胁分子会向NTP服务器发送大量的UDP数据包，以达到DoS的目的。当NTP服务器的资源无法支撑解析所收到的查询请求时，它就会崩溃。

这是一种非常有效的DDoS攻击方式，利用了GET或POST响应机制。攻击者向服务器发送尽可能多的合法GET或POST查询，迫使服务器回答每一个查询。这种资源密集型回复过程会耗尽服务器资源，从而导致服务中断。

Fast Flux攻击目的主要用于掩盖僵尸网络，严格上来讲它不是一种攻击，而是僵尸网络运营商用来逃避检测的一种规避方法。借助Fast Flux，威胁分子可以在受感染的主机之间快速切换，从而使他们无法被检测工具发觉。

在反射式跨站点脚本攻击（XSS）模式中，威胁分子会滥用由接收请求的应用程序发出的HTPP响应。这么做的目的是，发现接收HTTP请求的应用程序是否在收到查询时执行任何类型的数据检查。一些不安全的网站会原样返回搜索词。威胁分子可以利用这种不当的数据处理做法在URL中附加恶意参数，实施XSS攻击。

DDoS类DNS攻击防护建议：

03

DNS 劫持类攻击

发生DNS劫持攻击时，网络攻击者会操纵域名查询的解析服务，导致访问被恶意定向至他们控制的非法服务器，这也被成为DNS投毒或DNS重定向攻击。

DNS 劫持攻击在网络犯罪领域也很常见。DNS劫持活动还可能破坏或改变合规DNS服务器的工作。除了实施网络钓鱼活动的黑客外，这还可能由信誉良好的实体（比如ISP）完成，其这么做是为了收集信息，用于统计数据、展示广告及其他用途。此外，DNS服务提供商也可能使用流量劫持作为一种审查手段，防止访问特定页面。

DNS劫持类攻击主要的技术手段：

DNS欺骗又叫DNS缓存中毒，是网络犯罪分子用来诱骗用户连接到他们建立的虚假网站而不是合法网站的一种方法。有人通过域名系统请求访问网站，而DNS服务器回应不准确的IP地址时，这被认为是DNS欺骗攻击。然而，不仅仅是网站容易受到这种攻击。黑客还可以使用这种方法，访问电子邮件账户及其他私密数据。

网络流量可以使用DNS隧道的方式绕过网络过滤器和防火墙等机制，以建立另外的数据传输通道。启用DNS隧道后，用户的连接将通过远程服务器路由传输互联网流量。不幸的是，黑客经常将此用于恶意目的。被恶意使用时，DNS隧道是一种攻击策略，数据通过DNS查询来传递。除了通过平常会阻止这类流量的网络秘密发送数据外，这还可用于欺骗内容、避免过滤或防火墙检测。

DNS重新绑定是一种网络攻击方法，利用浏览器缓存的长期特性，欺骗受害者的浏览器在输入域名时联系恶意站点。攻击者可以使用任何联网设备（包括智能手机）来实施攻击，不需要任何类型的身份验证。受害者必须禁用浏览历史记录或打开浏览器隐身窗口，才能禁用缓存。利用该漏洞，攻击者可以将受害者浏览器对域名的请求，重新路由到托管有害内容的非法服务器。

DNS拼写仿冒是一种受DNS劫持启发的社会工程攻击技术，它使用域名中的错别字和拼写错误。常见的DNS拼写仿冒攻击始于攻击者注册一个域名，这个域名和目标的网站域名非常相似。攻击者随后搭建一个虚假网站，网站内容旨在说服用户提供敏感信息，包括登录密码、信用卡资料及其他个人信息。

DNS劫持类攻击防护建议：

DNS服务器有哪些保护方法

小编总结了几种保护DNS服务器的有效方法。需要的人可以参考。

一，使用DNS转发器

DNS转发器用于其他DNS服务器

完成DNS查询的DNS服务器。使用DNS转发器的主要目的是减轻DNS处理的压力，将查询请求从DNS服务器传输到转发器，并从DNS转发器可能更大的DNS缓存中获益。

使用DNS转发器的另一个好处是，它防止DNS服务器转发来自Internet DNS服务器的查询请求。如果DNS服务器保存内部域DNS资源的记录，这一点非常重要。与其让内部DNS服务器执行递归查询并直接联系DNS服务器，不如让它使用中继器来处理未经授权的请求。

二，使用仅缓冲DNS服务器

只有缓冲区DNS服务器用于授权域名。它用作递归查询或中继器。当仅缓冲区的DNS服务器收到反馈时，它将结果保存在缓存中，然后将结果发送到向其发出DNS查询请求的系统。随着时间的推移，仅仅缓冲DNS服务器就可以收集大量的DNS反馈，这可以大大缩短它提供DNS响应的时间。

使用仅缓冲区的DNS服务器作为转发器可以在您的管理控制下提高组织安全性。内部DNS服务器可以使用仅缓冲区的DNS服务器作为其自身的转发器，并且仅缓冲区的DNS服务器将替换您的内部DNS服务器以完成递归查询。使用您自己的缓冲区只有DNS服务器作为转发器可以提高安全性，因为您不需要依赖您的ISP的DNS服务器作为转发器，特别是如果您无法确认您的ISP的DNS服务器的安全性。

三，使用DNS广告商（DNS广告商）

DNS广告商是一个DNS服务器，负责解析域中的查询。例如，如果主机是domain.com和corp.com的公共可用资源，则公共DNS服务器应为domain.com和corp.com配置DNS区域文件。

DNS广告商设置（承载DNS区域文件的DNS服务器除外）是只回答其授权域名查询的DNS广告商。此类型的DNS服务器不会递归查询其他DNS服务器。这将阻止用户使用您的公共DNS服务器解析其他域名。通过减少与运行公共DNS解析器相关的风险（包括缓存中毒）来提高安全性。

四，使用DNS解析程序

DNS解析程序是一个可以完成递归查询的DNS服务器，它可以解析为授权域名。例如，您可能在内部网络上有一个DNS服务器，该服务器授权内部网络域名internalcorp.com的DNS服务器。当网络上的客户端使用此DNS服务器解析techrepublic.com时，此DNS服务器通过查询其他DNS服务器来执行递归以获取答案。

DNS服务器和DNS解析程序之间的区别在于，DNS解析程序仅用于解析Internet主机名。DNS解析程序可以是仅缓存DNS服务器的未经授权的DNS域名。您可以让DNS解析程序只用于内部用户，也可以让它只为外部用户服务，这样就不需要在控件之外设置DNS服务器，这样可以提高安全性。当然，您也可以让内部和外部用户同时使用DNS解析器。

五，保护DNS免受缓存污染

DNS缓存污染已经成为一个越来越普遍的问题。大多数DNS服务器可以在回复请求主机之前将DNS查询结果存储在缓存中。DNS缓存可以大大提高组织内DNS查询的性能。问题是，如果你的DNS服务器的缓存被大量伪造的DNS信息“污染”，用户可能会被发送到恶意站点，而不是他们原来想访问的网站。

大多数DNS服务器都可以配置为防止缓存污染。windowsServer 2003 DNS服务器的默认配置状态可以防止缓存污染。如果使用的是Windows 2000 DNS服务器，则可以对其进行配置，打开“DNS服务器属性”对话框，然后单击“高级”表。选择“防止缓存污染”选项，然后重新启动DNS服务器。

六，使DDN仅使用安全连接

许多DNS服务器接受动态更新。动态更新功能使这些DNS服务器能够使用DHCP记录主机的主机名和IP地址。DDNS可以大大降低DNS管理员的管理成本，否则管理员必须手动配置这些主机的DNS资源记录。

但是，如果未检测到DDNS的更新可能会带来严重的安全问题。恶意用户可以将主机配置为文件服务器、Web服务器或数据库服务器的动态更新的DNS主机记录。如果有人想连接到这些服务器，它们将被转移到其他机器上。

您可以通过要求与DNS服务器的安全连接来降低恶意DNS升级的风险并执行动态升级。这很容易做到。您只需要将DNS服务器配置为使用Active Directory集成区域并要求安全的动态升级。这样，所有域成员都可以安全地动态地更新其DNS信息。

七，禁用区域传输

区域传输发生在主DNS服务器和从DNS服务器之间。主DNS服务器授权一个特定的域名，并附带一个可重写的DNS区域文件，该文件可以在需要时更新。从DNS服务器的主DNS服务器接收这些区域文件的只读副本。从DNS服务器用于提高来自内部或Internet的DNS查询响应的性能。

但是，区域传输不只是针对从DNS服务器。任何可以发出DNS查询请求的人都可能导致DNS服务器配置更改，从而允许区域传输转储自己的区域数据库文件。恶意用户可以使用此信息侦察组织内的命名计划并攻击关键服务体系结构。您可以将DNS服务器配置为禁止区域传输请求，或仅允许将区域传输到组织中的特定服务器作为安全预防措施。

八，使用防火墙控制DNS访问

防火墙可用于控制谁可以连接到您的DNS服务器。对于只响应内部用户查询请求的DNS服务器，应设置防火墙配置以防止外部主机连接到这些DNS服务器。对于用作仅缓存转发器的DNS服务器，防火墙配置应设置为仅允许来自使用仅缓存转发器的DNS服务器的查询请求。防火墙策略设置的一个重要方面是防止内部用户使用DNS协议连接到外部DNS服务器。

九，在DNS注册表中建立访问控制

在基于Windows的DNS服务器中，应在与DNS服务器相关的注册表中设置访问控制，以便只有需要访问的帐户才能读取或修改这些注册表设置。

HKLM\\CurrentControlSet\\Services\\DNS密钥应仅允许管理员和系统帐户访问，这些帐户应具有完全控制权限。

十，在DNS文件系统的入口设置访问控制

在基于Windows的DNS服务器中，应在DNS服务器的文件系统条目处设置访问控制，以便只有需要访问的帐户才能读取或修改这些文件。

%system-directory%\\DNS文件夹和子文件夹只能由系统帐户访问，并且系统帐户应具有完全控制权限。