作为域名解析的专用工具,DNS服务器是非常关键的网络基础设施,因此即使身陷攻击也不得不为查询提供持续响应。如果外部 DNS 服务器不可用,则整个网络都会脱离Internet。根据Forrester Research测算,网络中断 24 小时的平均经济损失高达 2700 万美元。网站宕机 4 小时的预计成本大约为 210 万美元。此类服务中断的受害者不仅损失收入,丢失客户,同时还会失去品牌价值。
自2012年第一季度以来,面向DNS基础架构的攻击数量增长了200%。是什么导致了这一切?这是因为DNS从其本质上而言很容易被利用。
大多数企业的防火墙都配置成通过53端口提供DNS服务,这给攻击者提供了避开现有防御系统的捷径。
由于DNS查询是非对称的,它们可以产生比查询大很多倍的响应,这意味着DNS系统本身可能被用于放大攻击。黑客可以发送一个数据包,引起一阵放大好几倍的数据响应,有效阻止您业务的运作。
由于DNS协议是无状态的,攻击者可以轻松地隐藏其身份。
大型IT组织和服务提供商别无选择,只能弥补这些漏洞,因为在互联网时代,DNS服务对于现代企业的几乎所有重要职能部门都是不可或缺的。若没有正常运行的DNS,智能手机无法使用,企业无法运营在线业务,团队无法有效沟通,工作效率下滑,客户满意度下降,收入减少,企业声誉也岌岌可危。
当今威胁趋势
为了强调 DNS 攻击为企业带来危害的严重性,我们在下面着重说明几种最常见的威胁。
直接 DNS 放大攻击,通过发送特别定制以生成大量响应的 DNS 查询,拥塞 DNS 服务器出站带宽。
反射攻击,使用 Internet 中的第三方 DNS 服务器(一般为开放式递归域名服务器),通过发送查询到该递归服务器(该服务器会处理来自任何 IP 地址的查询)来传播 DoS 或 DDoS 攻击。攻击者将受害者的 IP 地址作为查询中的源 IP,这样,域名服务器会将所有响应发送到受害者的 IP 地址——很有可能使受害者的服务器宕机。
TCP、UDP 和 ICMP 洪水,利用传输控制协议 (TCP)、用户数据报协议 (UDP) 以及 Internet 控制消息协议 (ICMP),通过大量数据包来消耗网络带宽和资源。
DNS 缓存中毒,将 Internet 域的虚假地址记录插入 DNS 查询。如果 DNS 服务器接受该记录,则响应后续请求时,服务器的地址都将被此攻击者控制,传入的 Web 请求和电子邮件都会传输到攻击者的地址。
协议异常,将格式错误的 DNS 数据包发送到目标服务器,导致服务器线程出现无限循环,从而致使该服务器崩溃或停止响应。
侦查探测器,不是攻击。它们只是试图在发生大规模DDoS攻击或其他类型攻击之前获取有关网络环境的信息。
DNS 隧道,是指通过 DNS 端口 53 挖掘另一个协议隧道(防火墙一般允许使用该端口来传输非 DNS 流量)。这些攻击用于数据渗漏。