【51CTO.com快譯】當公司通過互聯(lián)網(wǎng)訪問VoIP和電子郵件時，都依賴于DNS，所以您必須保證您的DNS服務(wù)器免受DNS欺騙攻擊，可以采取DNSSEC(Domain Name System Security Extensions，DNS安全擴展)方案來解決。

域名系統(tǒng)(DNS)是我們信任的根源，也是互聯(lián)網(wǎng)最重要的一個組成部分。它是一項關(guān)鍵服務(wù)，一旦它發(fā)生故障，企業(yè)的網(wǎng)絡(luò)必然受到影響。

DNS是名稱和數(shù)字的虛擬數(shù)據(jù)庫，它是企業(yè)其他關(guān)鍵服務(wù)的支柱，比如：電子郵件、互聯(lián)網(wǎng)站點訪問，互聯(lián)網(wǎng)協(xié)議語音(VoIP)和文件管理。

你希望當鍵入域名后，通過DNS能夠到達你想去的地方。然而，通常在發(fā)生攻擊之前，很多企業(yè)對DNS的漏洞沒有過多的關(guān)注。例如：在2018年4月，管理Myetherwallet域的公共DNS服務(wù)器被劫持，客戶被重定向到網(wǎng)絡(luò)釣魚站點。 許多用戶報告說他們的帳戶中有資金流失，這引起了公眾對DNS漏洞的關(guān)注。

事實上，DNS的安全問題已存在很長時間。根據(jù)設(shè)計，DNS是網(wǎng)絡(luò)上的開放式服務(wù)，之初沒有得到適當?shù)谋O(jiān)控，傳統(tǒng)的安全解決方案無法有效保護。

[[241020]]

什么是DNS緩存中毒?

DNS服務(wù)器存在漏洞，攻擊者可以利用這些漏洞來攻擊它們。 DNS緩存中毒攻擊就是黑客最常用的攻擊方法之一。

當攻擊者控制DNS服務(wù)器后，他們可以修改緩存信息，這是DNS中毒。通過垃圾郵件或網(wǎng)絡(luò)釣魚電子郵件發(fā)送的URL中，經(jīng)?？梢哉业紻NS緩存病毒的代碼。這些電子郵件會嘗試提醒用戶注意，聲稱這是一份重要郵件，是你需要立即引起注意的事件。此時，用戶只要單擊郵件中的URL，病毒就會感染用戶電腦。此外，一些橫幅廣告和圖片通常用于將用戶重定向到這些受感染的網(wǎng)站。

然后，當用戶通過請求鏈接重定向到虛假站點，訪問金融站點或者其他任何站點時，攻擊者就可以控制用戶的去向。攻擊者可將用戶發(fā)送到啟動腳本的頁面，該腳本將會把惡意軟件、密鑰記錄器或者蠕蟲下載到用戶的設(shè)備。

此外，通過DNS服務(wù)器訪問其他DNS服務(wù)器的緩存，這就是它傳播的方式，并且可能是非常大規(guī)模的。

DNS緩存中毒有何風險？

DNS緩存中毒的主要風險是竊取數(shù)據(jù)。 DNS緩存中毒攻擊的最喜歡的目標是醫(yī)院，金融機構(gòu)網(wǎng)站和在線零售商。這些目標容易被欺騙，這意味著任何密碼，信用卡或其他個人信息都可能受到損害。此外，在用戶設(shè)備上安裝密鑰記錄器的風險，可能會導致用戶訪問其他站點時暴露其用戶名和密碼。

另一個重大風險是，如果互聯(lián)網(wǎng)安全提供商的網(wǎng)站被欺騙，那么用戶的計算機可能會受到其他威脅(如：病毒或特洛伊木馬)的影響，因為一旦被攻擊用戶則不會執(zhí)行合法的安全更新。

據(jù)EfficientIP稱，DNS攻擊的年平均成本為223.6萬美元，其中23%的攻擊來自DNS緩存中毒。

如何防止DNS緩存中毒攻擊？

那么，企業(yè)究竟該如何防止DNS緩存中毒攻擊?筆者認為要從以下幾點出發(fā)：

第一，DNS服務(wù)器應(yīng)該配置為盡可能少地依賴與其他DNS服務(wù)器的信任關(guān)系。以這種方式配置將使攻擊者更難以使用他們自己的DNS服務(wù)器來破壞目標服務(wù)器。

第二，企業(yè)應(yīng)該設(shè)置DNS服務(wù)器，只允許所需的服務(wù)運行。因為在DNS服務(wù)器上運行不需要的其他服務(wù)，只會增加攻擊向量大小。

第三，安全人員還應(yīng)確保使用最新版本的DNS。較新版本的BIND具有加密安全事務(wù)ID和端口隨機化等功能，可以幫助防止緩存中毒攻擊。

第四，用戶的安全教育對于防止這些攻擊也非常重要。最終用戶應(yīng)接受有關(guān)識別可疑網(wǎng)站的培訓，如果他們在連接到網(wǎng)站之前收到SSL警告，則不會單擊“忽略”按鈕。 他們還應(yīng)始終接受有關(guān)通過社交媒體帳戶識別網(wǎng)絡(luò)釣魚電子郵件或網(wǎng)絡(luò)釣魚的教育。

除此以外，為防止緩存中毒攻擊，還應(yīng)采取的其他措施，比如：僅存儲與請求的域相關(guān)的數(shù)據(jù)，并限制您的響應(yīng)僅提供有關(guān)請求的域的信息。

解決方案——DNSSEC

緩存中毒工具可用于幫助組織防止這些攻擊。 最廣泛使用的緩存中毒預防工具是DNSSEC(域名系統(tǒng)安全擴展)。 它由Internet工程任務(wù)組開發(fā)，提供安全的DNS數(shù)據(jù)身份驗證。

部署后，計算機將能夠確認DNS響應(yīng)是否合法，而目前無法確定真實或虛假的響應(yīng)。 它還能夠驗證域名根本不存在，這有助于防止中間人攻擊。

DNSSEC將驗證根域或稱為“簽署根”。當最終用戶嘗試訪問站點時，其計算機上的存根解析程序，將從遞歸名稱服務(wù)器請求站點的IP地址。在服務(wù)器請求記錄之后，它還將請求區(qū)域DNSEC密鑰。然后，密鑰將用于驗證IP地址記錄是否與權(quán)威服務(wù)器上的記錄相同。接下來，遞歸名稱服務(wù)器將驗證地址記錄是否來自權(quán)威名稱服務(wù)器。然后，它將驗證是否已修改并解析正確的域源。如果對源進行了修改，則遞歸名稱服務(wù)器將不允許對站點進行連接。

DNSSEC正變得越來越普遍。許多政府機構(gòu)和金融機構(gòu)都在提出DNSSEC要求，因為發(fā)布未簽名區(qū)域會忽略DNS弱點，并使企業(yè)的系統(tǒng)對各種欺騙攻擊開放。企業(yè)需考慮部署DNSSEC，從而保護數(shù)據(jù)。

原文地址：https://www.networkworld.com/article/3298160/internet/how-to-protect-your-infrastructure-from-dns-cache-poisoning.html

作者：Mark Dargin

【51CTO譯稿，合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】