一說到域名系統(tǒng)(DNS)，你可能自然而然地想到域名以及運(yùn)行互聯(lián)網(wǎng)連接的技術(shù)細(xì)節(jié)。你可能在擔(dān)心針對(duì)你網(wǎng)站發(fā)動(dòng)的拒絕服務(wù)攻擊，或者有人劫持、篡改網(wǎng)站。

雖然那些問題無疑很要緊，但是DNS不再僅僅用于查詢網(wǎng)站URL;它還被軟件用來核查許可證，被視頻服務(wù)用來規(guī)避防火墻，而且常常被黑客用來竊取貴公司的數(shù)據(jù)。另外，你的員工可能在給其設(shè)備歡快地添加免費(fèi)的DNS服務(wù)，這至少意味著你沒有完全控制網(wǎng)絡(luò)配置。DNS是你基礎(chǔ)設(shè)施中的一個(gè)根本部分，關(guān)系到企業(yè)生產(chǎn)力，但它又是一個(gè)主要的攻擊途徑，你對(duì)發(fā)生的情況可能知之甚少。

DNS是互聯(lián)網(wǎng)上最常見的協(xié)議，但是它可能也是最容易被忽視的。數(shù)據(jù)泄露防護(hù)(DLP)系統(tǒng)檢查電子郵件、網(wǎng)絡(luò)瀏覽器、P2P軟件、甚至Tor所使用的協(xié)議，卻常常忽視DNS。Cloudmark公司首席技術(shù)官Neil Cook說：“沒人非常關(guān)注DNS數(shù)據(jù)包，盡管DNS是一切系統(tǒng)的基礎(chǔ)。DLP在Web和電子郵件方面做了大量的工作，但是任由DNS躺在那里，門戶大開。”

去年，專業(yè)美容用品公司Sally Beauty泄密事件中丟失的數(shù)據(jù)在偽裝成DNS查詢的數(shù)據(jù)包中外泄出去，不過Cook指出了一些意料不到卻合法的使用;“Sophos使用DNS隧道機(jī)制來獲得病毒特征;我們甚至將它用于許可。”

許多廠商正開始提供DNS工具，從Infoblox的硬件設(shè)備到OpenDNS的安全DNS服務(wù)，不一而足。Palo Alto Networks公司正開始提供DNS檢查服務(wù)，英國域名注冊(cè)機(jī)構(gòu)Nominet剛推出了其Turing DNS可視化工具，幫助公司企業(yè)發(fā)現(xiàn)DNS流量中的異常，而Cloudmark可分析DNS行為模式，幫助發(fā)現(xiàn)電子郵件中通向隱藏有惡意軟件的主機(jī)的鏈接。另外還有眾多面向常見監(jiān)控工具的插件，讓你能夠基本了解情況。

盡管DNS流量是許多攻擊的源頭，但是很少有公司對(duì)DNS流量進(jìn)行任何監(jiān)控。使用DNS隧道機(jī)制的不僅僅是在銷售點(diǎn)系統(tǒng)上運(yùn)行的惡意軟件，它們?cè)谝恍┕糁蝎@取客戶信用卡數(shù)據(jù)，比如針對(duì)Sally Beauty、家得寶和Target的攻擊。DNS對(duì)惡意軟件而言是最常見的指揮與控制渠道，還被用來獲取惡意軟件從貴公司竊取的數(shù)據(jù)。

Infoblox公司的DNS首席架構(gòu)師Cricket Liu說：“DNS經(jīng)常被用作偷偷經(jīng)由隧道讓數(shù)據(jù)滲入公司或從公司外泄數(shù)據(jù)的一條渠道，而編寫惡意軟件的人使用DNS經(jīng)由隧道外泄這種數(shù)據(jù)的原因是，DNS實(shí)在太缺乏監(jiān)控了，大多數(shù)人根本不知道在其DNS基礎(chǔ)設(shè)施上執(zhí)行哪種查詢。”

還有個(gè)問題是，有人使用DNS避開網(wǎng)絡(luò)安全控制;有可能是員工規(guī)避網(wǎng)絡(luò)限制、安全政策或內(nèi)容過濾，也可能是攻擊者避免被人發(fā)現(xiàn)。

DNS攻擊是個(gè)普遍性問題

獨(dú)立研究公司Vanson Bourne最近針對(duì)美國和英國企業(yè)開展了一項(xiàng)調(diào)查，結(jié)果發(fā)現(xiàn)，75%的企業(yè)表示遇到過DNS攻擊(包括因DNS而起的拒絕服務(wù)和DNS劫持以及數(shù)據(jù)竊取)，49%在2014年遇到過攻擊。令人擔(dān)憂的是，44%聲稱很難證明有必要往DNS安全方面投入成本，因?yàn)楦邔庸芾戆嘧記]有認(rèn)識(shí)到這個(gè)問題。

Nominet的首席技術(shù)官Simon McCalla表示，那是由于，他們認(rèn)為DNS是一種實(shí)用工具。“對(duì)大多數(shù)CIO來說，DNS是在后面運(yùn)行的系統(tǒng)，對(duì)他們來說不是優(yōu)先事項(xiàng)。只要DNS在正常運(yùn)行，他們就很高興。然而，大多數(shù)CIO沒有認(rèn)識(shí)到這點(diǎn)，DNS里面有大量的信息可以向他們表明其網(wǎng)絡(luò)內(nèi)部發(fā)生的情況。”

Liu直言不諱：“讓我覺得驚訝的是，很少有企業(yè)組織肯花心思對(duì)其DNS基礎(chǔ)設(shè)施進(jìn)行任何一種監(jiān)控。DNS根本沒有引起重視，可是TCP/IP網(wǎng)絡(luò)離開了DNS就無法正常運(yùn)行。這是不為人知的關(guān)鍵。”Liu堅(jiān)稱：“落實(shí)監(jiān)控DNS基礎(chǔ)設(shè)施的機(jī)制并不深?yuàn)W;現(xiàn)在外面有許多機(jī)制可以幫助了解DNS服務(wù)器在處理哪些查詢以及響應(yīng)。你其實(shí)應(yīng)該進(jìn)行監(jiān)控，因?yàn)镈NS基礎(chǔ)設(shè)施與負(fù)責(zé)在網(wǎng)絡(luò)上實(shí)際傳送數(shù)據(jù)包的路由和交換基礎(chǔ)設(shè)施一樣重要。”

他發(fā)現(xiàn)，演示這種威脅通常足以引起管理層的注意。“一旦大多數(shù)CIO看到如何借助網(wǎng)絡(luò)里面的一臺(tái)中招機(jī)器，就能在該端點(diǎn)設(shè)備與互聯(lián)網(wǎng)上的服務(wù)器之間建立起一條雙向通道，就會(huì)認(rèn)識(shí)到對(duì)此需要采取一些措施。這實(shí)際上就是面對(duì)這個(gè)嚴(yán)峻現(xiàn)實(shí)的問題。”

處理DNS安全

首先，你不要再把DNS想成單單涉及網(wǎng)絡(luò)，而是想成它是“管道的一部分”(part of the plumbing)，OpenDNS首席執(zhí)行官David Ulevitch說(思科正在收購該公司)。

“過去網(wǎng)絡(luò)操作人員運(yùn)行你的DNS，他們?cè)陉P(guān)注DNS時(shí)著眼于確保防火墻開著，沒有阻止他們認(rèn)為是連接關(guān)鍵部分的對(duì)象，而不是將DNS視作是安全政策、訪問控制和審計(jì)的關(guān)鍵部分。但是如今我們生活每個(gè)網(wǎng)絡(luò)操作人員必須是安全從業(yè)人員的環(huán)境下。”

如果你積極主動(dòng)地管理DNS，可以在員工(和攻擊者)無法規(guī)避的層面來實(shí)施網(wǎng)絡(luò)控制措施。你在DNS層面可以比使用Web代理系統(tǒng)或者進(jìn)行深層數(shù)據(jù)包檢查更有效地發(fā)現(xiàn)網(wǎng)絡(luò)釣魚攻擊及惡意軟件指揮和控制系統(tǒng)，你還能在第一時(shí)間發(fā)現(xiàn)攻擊，而不是幾天之后才發(fā)覺。

Liu說：“DNS是一種很好的預(yù)警系統(tǒng)。眼下你基本上可以假定，你的網(wǎng)絡(luò)上就有被感染的設(shè)備。DNS是拉設(shè)絆網(wǎng)(tripwire)的好地方，那樣當(dāng)惡意軟件及其他惡意程序潛入到你的網(wǎng)絡(luò)上，你很容易發(fā)現(xiàn)它的存在及其活動(dòng)，可以采取一些措施盡量減小它造成的破壞。”你甚至只要尋找類似的行為模式，就可以查看感染的傳播范圍有多廣。

OpenDNS和Infoblox之類的服務(wù)還能查看你網(wǎng)絡(luò)之外的情況。Ulevitch說：“很容易建立一個(gè)基準(zhǔn)，了解正?；顒?dòng)是什么樣子，然后進(jìn)行異常檢測(cè)。假設(shè)你是得克薩斯州的一家石油天然氣企業(yè)，亞洲某國出現(xiàn)的一個(gè)新域名指向歐洲的IP地址，又沒有其他石油公司關(guān)注該域名。為什么你就應(yīng)該是試驗(yàn)品呢?”

你還要監(jiān)控常見地址在你網(wǎng)絡(luò)上是如何解析的――黑客會(huì)試圖將Paypal等網(wǎng)站的鏈接發(fā)往自己的惡意網(wǎng)站，并監(jiān)控你的外部域指向何處。特斯拉公司的網(wǎng)站最近被重向至黑客搭建的欺騙網(wǎng)頁時(shí)，黑客還控制了這家公司的推特帳戶(并利用該帳戶向伊利諾伊州一家小型計(jì)算機(jī)維修店打去洪水般的電話)，攻擊者還更改了用來解析域名的域名服務(wù)器。監(jiān)控其DNS也許可以在用戶開始在推特上發(fā)布被黑網(wǎng)站的圖片之前，給特斯特提個(gè)醒：哪里出了岔子。

Ulevitch指出，至少要記住這一點(diǎn)：DNS是你所有在線服務(wù)的立足之本。“改進(jìn)DNS的門檻很低很低。DNS通常被認(rèn)為是成本中心;人們并不把錢投入到足夠可靠的基礎(chǔ)設(shè)施或性能足夠高的設(shè)備，所以很難應(yīng)對(duì)很大的事務(wù)量。”

不是說只有你被DNS攻擊盯上時(shí)，DNS才顯得重要。“企業(yè)應(yīng)當(dāng)關(guān)注DNS性能，因?yàn)樗鼤?huì)給你在網(wǎng)上開展的一切工作帶來重大影響。每當(dāng)你發(fā)送電子郵件或者打開應(yīng)用程序，其實(shí)就在提出DNS請(qǐng)求。如今，網(wǎng)頁很復(fù)雜，裝入一個(gè)頁面需要提出10多個(gè)DNS請(qǐng)求并不罕見。僅僅為了處理裝入頁面的DNS部分，這個(gè)過程就有可能多出整整1秒或更久。”

處理企業(yè)問題

監(jiān)控DNS還讓你可以獲得大量信息，了解貴企業(yè)網(wǎng)絡(luò)之外的其他信息。Ulevitch指出：“在當(dāng)下，網(wǎng)絡(luò)邊界變得稍縱即逝，服務(wù)輕而易舉就能采用。營銷主管可能注冊(cè)使用Salesforce服務(wù);如果你看一下DNS，就能發(fā)現(xiàn)這個(gè)情況。你能發(fā)現(xiàn)多少員工在使用Facebook。你能發(fā)現(xiàn)出現(xiàn)在網(wǎng)絡(luò)中的設(shè)備，無論設(shè)備是用于核查許可證，還是在偷偷外泄數(shù)據(jù)。就算你有一百個(gè)辦公室，照樣能查明誰在連接設(shè)備。”

他指出，這里的設(shè)備不僅僅指?jìng)€(gè)人電腦;打印機(jī)、電視機(jī)和物聯(lián)網(wǎng)設(shè)備也在日益連接到企業(yè)網(wǎng)絡(luò)上。“我想讓電視機(jī)打電話給大本營嗎?如果你瞧一瞧三星隱私政策，表明電視機(jī)內(nèi)置麥克風(fēng)，可能隨時(shí)聽偵聽;我在企業(yè)董事會(huì)會(huì)議室里果真需要這種設(shè)備嗎?也許我應(yīng)該實(shí)施DNS政策，那樣電視機(jī)無法打電話給大本營。”

Infoblox的Liu同意這一觀點(diǎn)。“物聯(lián)網(wǎng)設(shè)備在設(shè)計(jì)時(shí)常常不是非常關(guān)注安全。你需要確保設(shè)備連接到應(yīng)該連接的地方;要是有人把別的設(shè)備接到你的物聯(lián)網(wǎng)設(shè)備上，它們本該無法訪問你的內(nèi)部網(wǎng)絡(luò)。DNS是一個(gè)有用的節(jié)點(diǎn)，可以監(jiān)控那種訪問。”

Ulevitch指出，又由于你已經(jīng)在使用DNS，監(jiān)控它并不會(huì)干擾什么。“通常在安全領(lǐng)域，大多數(shù)技術(shù)沒有使用的原因是，需要花力氣來確保它們對(duì)用戶績(jī)效沒有產(chǎn)生負(fù)面影響。”

他表示，實(shí)際上需要一個(gè)充分的理由表明沒必要這么做。“安全方面有一些基本的最佳實(shí)踐，其中一條是獲得網(wǎng)絡(luò)可見性。無法查看網(wǎng)絡(luò)上的流量，無異于瞎搞一通。想方設(shè)法檢查DNS流量是確保安全狀況很牢靠的一個(gè)根本要求。不知道網(wǎng)絡(luò)上發(fā)生的情況簡(jiǎn)直就是玩忽職守。”

英文：Why you need to care more about DNS