【51CTO.com快譯】域名系統(tǒng)(DNS)是我們的信任根源，也是互聯(lián)網(wǎng)最重要的部分之一。它是一項關(guān)鍵任務(wù)服務(wù)，因為如果它發(fā)生故障，企業(yè)的網(wǎng)站隨之宕機。

DNS是含有名稱和數(shù)字的虛擬數(shù)據(jù)庫。它是對企業(yè)來說很關(guān)鍵的其他服務(wù)的基石。這包括電子郵件、網(wǎng)站訪問、IP語音(VoIP)和文件管理。

你希望鍵入域名后，確實進(jìn)入到預(yù)期的目的地。只有在實際攻擊發(fā)生、成為新聞，DNS漏洞才備受關(guān)注。比如在2018年4月，為Myetherwallet管理域名的公共DNS服務(wù)器被劫持，客戶被重定向到網(wǎng)絡(luò)釣魚網(wǎng)站。許多用戶稱賬戶中金額變少，這才引起了公眾對DNS漏洞的極大關(guān)注。

DNS已存在很長時間導(dǎo)致了安全問題。按照設(shè)計，它是網(wǎng)絡(luò)上的一項開放服務(wù)，未得到適當(dāng)?shù)谋O(jiān)控，傳統(tǒng)的安全解決方案也無法提供有效的保護(hù)。

[[240977]]

DNS緩存中毒是什么?

DNS服務(wù)器存在著漏洞，攻擊者可以鉆空子來接管服務(wù)器。DNS緩存中毒攻擊是黑客最常用的攻擊方法之一。

攻擊者控制DNS服務(wù)器后，可以篡改緩存信息，這就是DNS中毒。通過垃圾郵件或網(wǎng)絡(luò)釣魚電子郵件發(fā)送的URL中經(jīng)常能找到DNS緩存中毒的代碼。這類電子郵件會試圖提醒用戶注意需要立即引起注意的事件，因而需要點擊所附的URL，進(jìn)而感染計算機。橫幅廣告和圖片常用于將用戶重定向到這些受感染的網(wǎng)站。

然后你試圖訪問金融網(wǎng)站或任何其他網(wǎng)站時，攻擊者可以通過將你重定向到虛假網(wǎng)站，控制你訪問的網(wǎng)站。攻擊者可以將你引到某個網(wǎng)頁，該網(wǎng)頁啟動腳本，可以將惡意軟件、擊鍵記錄程序或蠕蟲下載到你的設(shè)備上。

DNS服務(wù)器訪問其他DNS服務(wù)器的緩存，這就是它傳播的方式，規(guī)?？赡芊浅｝嫶?。

DNS緩存中毒的風(fēng)險

DNS中毒的主要風(fēng)險是竊取數(shù)據(jù)。醫(yī)院、金融機構(gòu)網(wǎng)站和在線零售商是常見的目標(biāo)，很容易被欺騙，這意味著任何密碼、信用卡或其他個人信息都可能受到危及。此外，在你的設(shè)備上安裝擊鍵記錄程序的風(fēng)險可能導(dǎo)致你訪問的其他網(wǎng)站暴露用戶名和密碼。

另一個重大風(fēng)險是，如果互聯(lián)網(wǎng)安全提供商的網(wǎng)站被欺騙，那么用戶的計算機可能暴露在病毒或特洛伊木馬等另外的威脅面前，這是由于不會執(zhí)行有效的安全更新。

據(jù)EfficientIP聲稱，DNS攻擊每年的平均成本是2236萬美元，其中23%的攻擊來自DNS緩存中毒。

防止DNS緩存中毒攻擊

企業(yè)可以采取多個措施來防止DNS緩存中毒攻擊。一個措施是，DNS服務(wù)器應(yīng)該配置成盡量少依賴與其他DNS服務(wù)器的信任關(guān)系。采用這種配置方式將使攻擊者極難使用他們自己的DNS服務(wù)器來破壞目標(biāo)服務(wù)器。

應(yīng)該采取的另一個措施是應(yīng)將DNS服務(wù)器設(shè)置成只有所需的服務(wù)才被允許運行。不需要的額外服務(wù)在DNS服務(wù)器上運行只會增加攻擊途徑。

安全人員還應(yīng)確保使用的是最新版本的DNS。較新版本的BIND具有加密安全事務(wù)ID和端口隨機化等功能，有助于防止緩存中毒攻擊。

對最終用戶進(jìn)行教育對于防止這種攻擊也很重要。最終用戶應(yīng)接受培訓(xùn)，學(xué)會識別可疑網(wǎng)站，如果在連接到網(wǎng)站之前收到SSL警告，不點擊“忽略”按鈕。他們還應(yīng)接受相應(yīng)的教育，學(xué)會識別通過社交媒體帳戶發(fā)來的網(wǎng)絡(luò)釣魚郵件或網(wǎng)絡(luò)釣魚活動。

為防止緩存中毒攻擊應(yīng)采取的其他措施還有：只存儲與請求的域名有關(guān)的數(shù)據(jù)，并限制響應(yīng)，只提供關(guān)于請求的域名的信息。

DNSSEC是解決方案

緩存中毒工具可用于幫助企業(yè)防止這種攻擊。最廣泛使用的緩存中毒預(yù)防工具是DNSSEC(域名系統(tǒng)安全擴(kuò)展)。它由互聯(lián)網(wǎng)工程任務(wù)組開發(fā)，提供安全的DNS數(shù)據(jù)身份驗證。

部署后，計算機將能夠確認(rèn)DNS響應(yīng)是否合法，而目前無法確定響應(yīng)是真還是假。它還能夠驗證域名根本不存在，這有助于防止中間人攻擊。

DNSSEC將驗證根域名，這有時稱為“簽署根”。最終用戶試圖訪問網(wǎng)站時，其計算機上的stub解析器從遞歸名稱服務(wù)器請求該網(wǎng)站的IP地址。服務(wù)器請求該記錄后，它還請求區(qū)域DNSEC密鑰。然后，密鑰將用于驗證IP地址記錄與權(quán)威服務(wù)器上的記錄相同。

接下來，遞歸名稱服務(wù)器將驗證地址記錄來自權(quán)威名稱服務(wù)器。然后，它將驗證該記錄是否已被篡改，并解析正確的域名來源。如果來源被人篡改，那么遞歸名稱服務(wù)器將不允許連接到該網(wǎng)站。

DNSSEC正變得越來越普遍。許多政府機構(gòu)和金融機構(gòu)都要求使用DNSSEC，因為發(fā)布未簽名區(qū)域無視DNS弱點，并使你的系統(tǒng)易遭到各種欺騙攻擊。企業(yè)考慮部署它以保護(hù)數(shù)據(jù)非常重要。

原文標(biāo)題：How to protect your infrastructure from DNS cache poisoning，作者：Mark Dargin

【51CTO譯稿，合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】