域名系統(tǒng)（DNS）是一種結構化的命名系統(tǒng)，是Internet基礎結構的關鍵部分。目前，針對DNS的攻擊已經成為網絡安全中的一個嚴重問題，每年都有數(shù)千個網站成為此類攻擊的受害者。為了保護網絡免受此類攻擊，重要的是要了解不同類型的DNS攻擊，并找到相對應的緩解方法。

　　01 拒絕服務（DoS）類攻擊

　　從DoS這個描述性就可以看出這類DNS網絡攻擊的特點，旨在通過耗盡機器或網絡的資源將其服務關閉，阻止用戶訪問機器或網絡。需要強調的是，這種攻擊的目的主要用于隱藏蹤跡或阻礙受害者恢復工作。

　　DoS攻擊通常被不法分子用來追蹤采用高級網絡保護的高價值目標，其主要類型包括：

　　DNS放大

　　DNS放大是DoS攻擊中用于利用域名系統(tǒng)并加大目標網站流量的一種技術。這種攻擊方法利用的主要技術包括DNS反射和地址偽造。不法分子實施這種攻擊的手法是，向域名系統(tǒng)服務器發(fā)送偽造的IP數(shù)據(jù)包，請求目標的域名，使用目標的IP地址代替自己的IP地址。

　　所有這些查詢都由DNS服務器用目標機器的IP地址來答復。然后，受害者的服務器向每個請求發(fā)送相同的答復。這導致龐大的數(shù)據(jù)流量從受害者網絡的端口80或25流入。

　　資源耗盡

　　資源耗盡DoS攻擊是指，攻擊者旨在通過耗盡設備的資源池（CPU、內存、磁盤和網絡），在受害者的機器中觸發(fā)DoS類型的響應。內存耗盡是另一種資源耗盡DoS攻擊，比如針對電子郵件代理，威脅分子只需將數(shù)十萬個附件上傳到草稿郵件，即可觸發(fā)內存耗盡攻擊。

　　緩沖區(qū)溢出

　　緩沖區(qū)溢出攻擊（BOA）是一種漏洞或限制利用攻擊，旨在迫使系統(tǒng)將內存寫入錯誤的緩沖區(qū)而不是預期的位置。當內存寫入緩沖區(qū)而不是常規(guī)位置時，這會導致利用該內存的應用程序崩潰。這個問題是用C語言編寫的應用程序所特有的。

　　緩沖區(qū)溢出攻擊也可用于DoS之外的目的。比如說，攻擊者可能會篡改或替換基址指針或指標指針中的值，以執(zhí)行惡意代碼。

　　ICMP洪水

　　這種DoS攻擊又叫ping洪水，它濫用常見的連接測試來導致目標系統(tǒng)崩潰、宕機、重啟或無法運行。工作原理是，一臺機器向另一臺機器發(fā)送ICMP回應請求。反過來，接收端發(fā)回答復。只要測量往返，即可確定連接強度。而攻擊者可以濫用ICMP回應答復機制使受害者的網絡不堪重負。不過攻擊者必須知道受害者的IP地址才能明確攻擊的重點。此外，攻擊者還要了解受害者路由器的相關信息。

　　SYN洪水

　　SYN洪水又叫“半開”攻擊，它濫用了TCP/IP三次握手機制。三次握手機制的工作原理是，攻擊者將通過重復發(fā)送SYN數(shù)據(jù)包，并忽略服務器端的SYN-ACK數(shù)據(jù)包，從而觸發(fā)服務器的拒絕用戶響應。

　　DoS類DNS攻擊防護建議：

　　使用合法的云托管服務；

　　實施系統(tǒng)可用性監(jiān)控；

　　及時鎖定注冊表；

　　部署應用IDS/IPS工具；

　　定期開展自動化靜態(tài)和動態(tài)分析；

　　定期使用模糊測試技術；

　　實施數(shù)據(jù)執(zhí)行預防措施；

　　對網頁代碼進行安全性檢查；

　　關注編譯器報警，并準確查找原因；

　　添加預警機制，并對入站ICMP消息進行處理限制；

　　使用邊界防火墻微調；

　　一旦積壓隊列已滿，使用最舊的半開TCP/IP連接。

　　02 分布式拒絕服務（DDoS）類攻擊

　　與簡單的DoS攻擊相比，DDoS攻擊發(fā)生的頻率更高。因為僵尸機器和僵尸網絡在暗網上很容易獲得；與DoS相比，DDoS類攻擊得逞的概率更高。

　　以下是DDoS類DNS攻擊的主要技術方式：

　　UDP洪水

　　這種DDoS與SYN洪水攻擊非常相似，利用用戶數(shù)據(jù)報協(xié)議（UDP）和UDP數(shù)據(jù)包。攻擊者向用戶已打開端口發(fā)送大量的垃圾 UDP數(shù)據(jù)包。主機以為這些是合法的UDP通信嘗試，試圖在該端口上偵聽，如果沒找到數(shù)據(jù)包，主機將別無選擇的回復ICMP無法抵達。這種情況會一直持續(xù)下去，直至主機的網絡資源被耗盡。

　　NTP放大

　　在網絡時間協(xié)議（NTP）攻擊中，威脅分子會向NTP服務器發(fā)送大量的UDP數(shù)據(jù)包，以達到DoS的目的。當NTP服務器的資源無法支撐解析所收到的查詢請求時，它就會崩潰。

　　HTTP洪水

　　這是一種非常有效的DDoS攻擊方式，利用了GET或POST響應機制。攻擊者向服務器發(fā)送盡可能多的合法GET或POST查詢，迫使服務器回答每一個查詢。這種資源密集型回復過程會耗盡服務器資源，從而導致服務中斷。

　　Fast Flux

　　Fast Flux攻擊目的主要用于掩蓋僵尸網絡，嚴格上來講它不是一種攻擊，而是僵尸網絡運營商用來逃避檢測的一種規(guī)避方法。借助Fast Flux，威脅分子可以在受感染的主機之間快速切換，從而使他們無法被檢測工具發(fā)覺。

　　反射式跨站點腳本（XSS）

　　在反射式跨站點腳本攻擊（XSS）模式中，威脅分子會濫用由接收請求的應用程序發(fā)出的HTPP響應。這么做的目的是，發(fā)現(xiàn)接收HTTP請求的應用程序是否在收到查詢時執(zhí)行任何類型的數(shù)據(jù)檢查。一些不安全的網站會原樣返回搜索詞。威脅分子可以利用這種不當?shù)臄?shù)據(jù)處理做法在URL中附加惡意參數(shù)，實施XSS攻擊。

　　DDoS類DNS攻擊防護建議：

　　執(zhí)行深度數(shù)據(jù)包檢查；

　　應用流量清理過濾器；

　　抑制ICMP數(shù)據(jù)包的系統(tǒng)響應率；

　　執(zhí)行定期流量分析；

　　及時關注IP 的安全聲譽；

　　嚴格執(zhí)行JavaScript解析；

　　驗證IP來源；

　　禁用monlist；

　　實施訪問控制；

　　加強員工網絡安全意識教育，不點擊可疑鏈接和郵件；

　　正確使用Web應用程序防火墻。

　　03 DNS 劫持類攻擊

　　發(fā)生DNS劫持攻擊時，網絡攻擊者會操縱域名查詢的解析服務，導致訪問被惡意定向至他們控制的非法服務器，這也被成為DNS投毒或DNS重定向攻擊。

　　DNS 劫持攻擊在網絡犯罪領域也很常見。DNS劫持活動還可能破壞或改變合規(guī)DNS服務器的工作。除了實施網絡釣魚活動的黑客外，這還可能由信譽良好的實體（比如ISP）完成，其這么做是為了收集信息，用于統(tǒng)計數(shù)據(jù)、展示廣告及其他用途。此外，DNS服務提供商也可能使用流量劫持作為一種審查手段，防止訪問特定頁面。

　　DNS劫持類攻擊主要的技術手段：

　　DNS欺騙

　　DNS欺騙又叫DNS緩存中毒，是網絡犯罪分子用來誘騙用戶連接到他們建立的虛假網站而不是合法網站的一種方法。有人通過域名系統(tǒng)請求訪問網站，而DNS服務器回應不準確的IP地址時，這被認為是DNS欺騙攻擊。然而，不僅僅是網站容易受到這種攻擊。黑客還可以使用這種方法，訪問電子郵件賬戶及其他私密數(shù)據(jù)。

　　DNS隧道

　　網絡流量可以使用DNS隧道的方式繞過網絡過濾器和防火墻等機制，以建立另外的數(shù)據(jù)傳輸通道。啟用DNS隧道后，用戶的連接將通過遠程服務器路由傳輸互聯(lián)網流量。不幸的是，黑客經常將此用于惡意目的。被惡意使用時，DNS隧道是一種攻擊策略，數(shù)據(jù)通過DNS查詢來傳遞。除了通過平常會阻止這類流量的網絡秘密發(fā)送數(shù)據(jù)外，這還可用于欺騙內容、避免過濾或防火墻檢測。

　　DNS重新綁定

　　DNS重新綁定是一種網絡攻擊方法，利用瀏覽器緩存的長期特性，欺騙受害者的瀏覽器在輸入域名時聯(lián)系惡意站點。攻擊者可以使用任何聯(lián)網設備（包括智能手機）來實施攻擊，不需要任何類型的身份驗證。受害者必須禁用瀏覽歷史記錄或打開瀏覽器隱身窗口，才能禁用緩存。利用該漏洞，攻擊者可以將受害者瀏覽器對域名的請求，重新路由到托管有害內容的非法服務器。

　　DNS拼寫仿冒

　　DNS拼寫仿冒是一種受DNS劫持啟發(fā)的社會工程攻擊技術，它使用域名中的錯別字和拼寫錯誤。常見的DNS拼寫仿冒攻擊始于攻擊者注冊一個域名，這個域名和目標的網站域名非常相似。攻擊者隨后搭建一個虛假網站，網站內容旨在說服用戶提供敏感信息，包括登錄密碼、信用卡資料及其他個人信息。

　　DNS劫持類攻擊防護建議：

　　關閉不需要的DNS解析器；

　　在合法的DNS解析器處部署防火墻；

　　將名稱服務器與DNS解析器分開；

　　開展及時有效的漏洞管理和修復工作；

　　對DNS注冊商實施客戶端鎖定；

　　確保使用支持DNSSEC的DNS服務商；

　　始終啟用DNSSEC配置功能；

　　為使用加密的VPN連接；

　　實施路由器密碼安全政策。

更多信息可以來這里獲取==>>電子技術應用-AET<<