當(dāng)公司通過(guò)互聯(lián)網(wǎng)訪問(wèn)VoIP和電子郵件時(shí)，都依賴于DNS，所以您必須保證您的DNS服務(wù)器免受DNS欺騙攻擊，可以采取DNSSEC(Domain Name System Security Extensions，DNS安全擴(kuò)展)方案來(lái)解決。

域名系統(tǒng)(DNS)是我們信任的根源，也是互聯(lián)網(wǎng)最重要的一個(gè)組成部分。它是一項(xiàng)關(guān)鍵服務(wù)，一旦它發(fā)生故障，企業(yè)的網(wǎng)絡(luò)必然受到影響。

DNS是名稱和數(shù)字的虛擬數(shù)據(jù)庫(kù)，它是企業(yè)其他關(guān)鍵服務(wù)的支柱，比如：電子郵件、互聯(lián)網(wǎng)站點(diǎn)訪問(wèn)，互聯(lián)網(wǎng)協(xié)議語(yǔ)音(VoIP)和文件管理。

[[242020]]

你希望當(dāng)鍵入域名后，通過(guò)DNS能夠到達(dá)你想去的地方。然而，通常在發(fā)生攻擊之前，很多企業(yè)對(duì)DNS的漏洞沒有過(guò)多的關(guān)注。例如：在2018年4月，管理Myetherwallet域的公共DNS服務(wù)器被劫持，客戶被重定向到網(wǎng)絡(luò)釣魚站點(diǎn)。 許多用戶報(bào)告說(shuō)他們的帳戶中有資金流失，這引起了公眾對(duì)DNS漏洞的關(guān)注。

事實(shí)上，DNS的安全問(wèn)題已存在很長(zhǎng)時(shí)間。根據(jù)設(shè)計(jì)，DNS是網(wǎng)絡(luò)上的開放式服務(wù)，之初沒有得到適當(dāng)?shù)谋O(jiān)控，傳統(tǒng)的安全解決方案無(wú)法有效保護(hù)。

如何保護(hù)您的基礎(chǔ)架構(gòu)免受DNS緩存中毒攻擊

什么是DNS緩存中毒?

DNS服務(wù)器存在漏洞，攻擊者可以利用這些漏洞來(lái)攻擊它們。 DNS緩存中毒攻擊就是黑客最常用的攻擊方法之一。

當(dāng)攻擊者控制DNS服務(wù)器后，他們可以修改緩存信息，這是DNS中毒。通過(guò)垃圾郵件或網(wǎng)絡(luò)釣魚電子郵件發(fā)送的URL中，經(jīng)?？梢哉业紻NS緩存病毒的代碼。這些電子郵件會(huì)嘗試提醒用戶注意，聲稱這是一份重要郵件，是你需要立即引起注意的事件。此時(shí)，用戶只要單擊郵件中的URL，病毒就會(huì)感染用戶電腦。此外，一些橫幅廣告和圖片通常用于將用戶重定向到這些受感染的網(wǎng)站。

然后，當(dāng)用戶通過(guò)請(qǐng)求鏈接重定向到虛假站點(diǎn)，訪問(wèn)金融站點(diǎn)或者其他任何站點(diǎn)時(shí)，攻擊者就可以控制用戶的去向。攻擊者可將用戶發(fā)送到啟動(dòng)腳本的頁(yè)面，該腳本將會(huì)把惡意軟件、密鑰記錄器或者蠕蟲下載到用戶的設(shè)備。

此外，通過(guò)DNS服務(wù)器訪問(wèn)其他DNS服務(wù)器的緩存，這就是它傳播的方式，并且可能是非常大規(guī)模的。

DNS緩存中毒有何風(fēng)險(xiǎn)？

DNS緩存中毒的主要風(fēng)險(xiǎn)是竊取數(shù)據(jù)。 DNS緩存中毒攻擊的最喜歡的目標(biāo)是醫(yī)院，金融機(jī)構(gòu)網(wǎng)站和在線零售商。這些目標(biāo)容易被欺騙，這意味著任何密碼，信用卡或其他個(gè)人信息都可能受到損害。此外，在用戶設(shè)備上安裝密鑰記錄器的風(fēng)險(xiǎn)，可能會(huì)導(dǎo)致用戶訪問(wèn)其他站點(diǎn)時(shí)暴露其用戶名和密碼。

另一個(gè)重大風(fēng)險(xiǎn)是，如果互聯(lián)網(wǎng)安全提供商的網(wǎng)站被欺騙，那么用戶的計(jì)算機(jī)可能會(huì)受到其他威脅(如：病毒或特洛伊木馬)的影響，因?yàn)橐坏┍还粲脩魟t不會(huì)執(zhí)行合法的安全更新。

據(jù)EfficientIP稱，DNS攻擊的年平均成本為223.6萬(wàn)美元，其中23%的攻擊來(lái)自DNS緩存中毒。

如何防止DNS緩存中毒攻擊？

那么，企業(yè)究竟該如何防止DNS緩存中毒攻擊?筆者認(rèn)為要從以下幾點(diǎn)出發(fā)：

第一，DNS服務(wù)器應(yīng)該配置為盡可能少地依賴與其他DNS服務(wù)器的信任關(guān)系。以這種方式配置將使攻擊者更難以使用他們自己的DNS服務(wù)器來(lái)破壞目標(biāo)服務(wù)器。

第二，企業(yè)應(yīng)該設(shè)置DNS服務(wù)器，只允許所需的服務(wù)運(yùn)行。因?yàn)樵贒NS服務(wù)器上運(yùn)行不需要的其他服務(wù)，只會(huì)增加攻擊向量大小。

第三，安全人員還應(yīng)確保使用最新版本的DNS。較新版本的BIND具有加密安全事務(wù)ID和端口隨機(jī)化等功能，可以幫助防止緩存中毒攻擊。

第四，用戶的安全教育對(duì)于防止這些攻擊也非常重要。最終用戶應(yīng)接受有關(guān)識(shí)別可疑網(wǎng)站的培訓(xùn)，如果他們?cè)谶B接到網(wǎng)站之前收到SSL警告，則不會(huì)單擊“忽略”按鈕。 他們還應(yīng)始終接受有關(guān)通過(guò)社交媒體帳戶識(shí)別網(wǎng)絡(luò)釣魚電子郵件或網(wǎng)絡(luò)釣魚的教育。

除此以外，為防止緩存中毒攻擊，還應(yīng)采取的其他措施，比如：僅存儲(chǔ)與請(qǐng)求的域相關(guān)的數(shù)據(jù)，并限制您的響應(yīng)僅提供有關(guān)請(qǐng)求的域的信息。

解決方案——DNSSEC

緩存中毒工具可用于幫助組織防止這些攻擊。 最廣泛使用的緩存中毒預(yù)防工具是DNSSEC(域名系統(tǒng)安全擴(kuò)展)。 它由Internet工程任務(wù)組開發(fā)，提供安全的DNS數(shù)據(jù)身份驗(yàn)證。

部署后，計(jì)算機(jī)將能夠確認(rèn)DNS響應(yīng)是否合法，而目前無(wú)法確定真實(shí)或虛假的響應(yīng)。 它還能夠驗(yàn)證域名根本不存在，這有助于防止中間人攻擊。

DNSSEC將驗(yàn)證根域或稱為“簽署根”。當(dāng)最終用戶嘗試訪問(wèn)站點(diǎn)時(shí)，其計(jì)算機(jī)上的存根解析程序，將從遞歸名稱服務(wù)器請(qǐng)求站點(diǎn)的IP地址。在服務(wù)器請(qǐng)求記錄之后，它還將請(qǐng)求區(qū)域DNSEC密鑰。然后，密鑰將用于驗(yàn)證IP地址記錄是否與權(quán)威服務(wù)器上的記錄相同。接下來(lái)，遞歸名稱服務(wù)器將驗(yàn)證地址記錄是否來(lái)自權(quán)威名稱服務(wù)器。然后，它將驗(yàn)證是否已修改并解析正確的域源。如果對(duì)源進(jìn)行了修改，則遞歸名稱服務(wù)器將不允許對(duì)站點(diǎn)進(jìn)行連接。

DNSSEC正變得越來(lái)越普遍。許多政府機(jī)構(gòu)和金融機(jī)構(gòu)都在提出DNSSEC要求，因?yàn)榘l(fā)布未簽名區(qū)域會(huì)忽略DNS弱點(diǎn)，并使企業(yè)的系統(tǒng)對(duì)各種欺騙攻擊開放。企業(yè)需考慮部署DNSSEC，從而保護(hù)數(shù)據(jù)。