DNS的攻击类型及DNS防御策略介绍

DDOS攻击中彻底了解DNS攻击的类型，包括反射器攻击和DNS缓存中毒，以便更好的DNS防御策略。

域名系统（DNS）的独特性，重要的是要记住并非所有行为不端的DNS流量都是攻击流量。这一点很重要，因为许多安全专家在保护企业DNS基础架构时都会关注已知的DNS漏洞。

本文将详细研究DNS常见的DNS攻击类型和异常行为。它还将解释DNS防御策略如何工作以及剩余的剩余风险。

DNS拒绝服务（DDoS）攻击：反射器攻击是利用默认DNS配置中的拒绝服务漏洞的最佳示例。例如，Windows 2000,2003和NT 4.0中的ISC BIND和DNS服务器服务的默认配置容易受到反射器攻击。

DDoS攻击通常难以防御。通过利用正常的递归DNS查找行为，针对DNS应用程序调用此特定DoS攻击。通过分离权威名称服务器和递归解析器之间的功能，站点能够将外部源查询定向到权威名称服务器，并且仅对本地客户端执行递归解析。这可以防止外部用户使代表外部实体的站点的递归解析器寻求查询解析。

DNS的攻击类型及防御策略

• 1.查询或请求重定向：

当DNS查询在传输到DNS服务器时被拦截和修改时，会发生请求重定向。如果请求被重定向到缓存名称服务器的路径，则表示在LAN上发生了拦截。这很重要，因为缓解技术不同于在本地网络之外发生的重定向。查询拦截也可能发生在本地网络之外的递归查询上。

查询或请求重定向防御策略：

可以通过使用DNSSEC来缓解在本地网络之外发生的查询重定向。递归解析器必须在名称守护程序配置文件中打开DNSSEC启用标志。在区域数据签名时，启用DNSSEC的验证检查有效; 并非所有公共区域都已签名。在LAN拦截或无符号响应的情况下，需要进行流量监控。新地址应与黑名单和whois注册进行最低限度的比较。

• 2.DNS缓存中毒攻击：

这些攻击已经存在很长时间并且可能导致高级别的攻击，因为当用户输入正确的名称时，这些攻击会导致用户被发送到恶意站点。最近值得注意的缓存中毒攻击是 Kaminsky漏洞。由研究员 Dan Kaminsky发现，当事务ID和源端口的随机值很容易被猜到时，就会导致错误，从而允许攻击者插入“中毒”值。

DNS缓存中毒攻击防御策略：
当首次发现Kaminsky攻击时，注意到运行DNSSEC且启用DNSSEC验证的站点对攻击免疫。这一事实对增加DNSSEC部署的数量起了很大作用。这个问题的补丁使得返回端口的随机数变得更强。目前，这个修复也有效，但考虑到随机数突破和摩尔定律的历史，更安全的策略是部署DNSSEC并启用DNSSEC验证。

• 3.区域枚举：

当用户针对站点调用DNS诊断命令（例如dig或nslookup）以尝试获取有关站点网络体系结构的信息时，会发生区域数据的枚举。通常这种行为先于攻击的尝试。  

区域枚举防御策略：
缓解区域枚举威胁要求站点管理员确定站点希望向Internet通告的内容。如果站点也在运行DNSSEC，则可能需要一些额外的计划，因为只能签署一个区域。许多站点通过运行内部和外部DNS服务器来拆分DNS视图。

• 4.隧道：

支持DNS安全的大部分注意力都集中在DNS查询和响应事务上。此事务是UDP事务; 但是，DNS使用UDP和TCP传输机制。DNS TCP事务用于辅助区域传输和某些DNSSEC流量。Andreas Gohr详细介绍了如何通过端口53隧道传输任何TCP流量。

隧道防御策略：
缓解DNS隧道流量依赖于流量监控和服务器配置的组合。区域传输应仅在权威服务器和辅助服务器之间进行。这应该相当简单，因为辅助服务器是一个已知实体，应该在白名单中。处理DNSSEC流量时，事情变得更有趣。利用TXT记录的 DNSSEC流量需要监控和比较外部源。除了检查外部地址之外，还应监视交易数量，因为这可能表明DNS被滥用。

• 5.DNS快速通量：

 快速通量表示能够将连接到Internet的一台或多台计算机上的Web，电子邮件，DNS或任何Internet或分布式服务的位置快速移动到另一组计算机，以延迟或逃避检测。

DNS快速通量防御策略：
防御快速通量站点需要监控和阻塞技术。在某些情况下，存在与快速通量行为相关联的已知IP地址范围，因此可以阻止这些地址。但是，这些网站的动态特性使得监控与阻止一样重要。突然出现新的目的地地址需要调查，以确定该站点是合法的还是潜在的快速通量站点。

网络钓鱼和域欺骗是网络犯罪的一项重要业务，部分依赖于DNS攻击。当在目标电子邮件中插入到快速通量地址的链接时，网络钓鱼会利用快速通量行为。域欺骗与中毒的DNS缓存记录或DNS重定向相关联，当用户输入合法的目标地址但请求被重定向到恶意站点时，会发生此问题。 

DNS防御策略结论

DNS是一个具有吸引力的攻击目标，因为DNS是一个充当基础结构服务的应用程序。当今使用的DNS攻击类型众多，复杂且流行。缓解DNS风险依赖于DNSSEC，流量监控和分离（和隔离）各种DNS功能的配置。关于DNS安全性还有更多方面，威胁形势也在不断发展。 

推荐阅读：

DNS放大攻击原理及解决方法