域名系統(tǒng)（DNS）是一種結(jié)構(gòu)化的命名系統(tǒng)，是Internet基礎(chǔ)結(jié)構(gòu)的關(guān)鍵部分,。目前,，針對DNS的攻擊已經(jīng)成為網(wǎng)絡(luò)安全中的一個嚴(yán)重問題,，每年都有數(shù)千個網(wǎng)站成為此類攻擊的受害者。為了保護(hù)網(wǎng)絡(luò)免受此類攻擊,，重要的是要了解不同類型的DNS攻擊,，并找到相對應(yīng)的緩解方法。

　　01 拒絕服務(wù)（DoS）類攻擊

　　從DoS這個描述性就可以看出這類DNS網(wǎng)絡(luò)攻擊的特點,，旨在通過耗盡機(jī)器或網(wǎng)絡(luò)的資源將其服務(wù)關(guān)閉,，阻止用戶訪問機(jī)器或網(wǎng)絡(luò)。需要強(qiáng)調(diào)的是,，這種攻擊的目的主要用于隱藏蹤跡或阻礙受害者恢復(fù)工作,。

　　DoS攻擊通常被不法分子用來追蹤采用高級網(wǎng)絡(luò)保護(hù)的高價值目標(biāo)，其主要類型包括：

　　DNS放大

　　DNS放大是DoS攻擊中用于利用域名系統(tǒng)并加大目標(biāo)網(wǎng)站流量的一種技術(shù),。這種攻擊方法利用的主要技術(shù)包括DNS反射和地址偽造,。不法分子實施這種攻擊的手法是，向域名系統(tǒng)服務(wù)器發(fā)送偽造的IP數(shù)據(jù)包,，請求目標(biāo)的域名,，使用目標(biāo)的IP地址代替自己的IP地址。

　　所有這些查詢都由DNS服務(wù)器用目標(biāo)機(jī)器的IP地址來答復(fù),。然后,，受害者的服務(wù)器向每個請求發(fā)送相同的答復(fù)。這導(dǎo)致龐大的數(shù)據(jù)流量從受害者網(wǎng)絡(luò)的端口80或25流入。

　　資源耗盡

　　資源耗盡DoS攻擊是指,，攻擊者旨在通過耗盡設(shè)備的資源池（CPU,、內(nèi)存、磁盤和網(wǎng)絡(luò)）,，在受害者的機(jī)器中觸發(fā)DoS類型的響應(yīng),。內(nèi)存耗盡是另一種資源耗盡DoS攻擊，比如針對電子郵件代理,，威脅分子只需將數(shù)十萬個附件上傳到草稿郵件,，即可觸發(fā)內(nèi)存耗盡攻擊。

　　緩沖區(qū)溢出

　　緩沖區(qū)溢出攻擊（BOA）是一種漏洞或限制利用攻擊,，旨在迫使系統(tǒng)將內(nèi)存寫入錯誤的緩沖區(qū)而不是預(yù)期的位置,。當(dāng)內(nèi)存寫入緩沖區(qū)而不是常規(guī)位置時，這會導(dǎo)致利用該內(nèi)存的應(yīng)用程序崩潰,。這個問題是用C語言編寫的應(yīng)用程序所特有的,。

　　緩沖區(qū)溢出攻擊也可用于DoS之外的目的。比如說,，攻擊者可能會篡改或替換基址指針或指標(biāo)指針中的值,，以執(zhí)行惡意代碼。

　　ICMP洪水

　　這種DoS攻擊又叫ping洪水,，它濫用常見的連接測試來導(dǎo)致目標(biāo)系統(tǒng)崩潰,、宕機(jī)、重啟或無法運(yùn)行,。工作原理是,，一臺機(jī)器向另一臺機(jī)器發(fā)送ICMP回應(yīng)請求。反過來,，接收端發(fā)回答復(fù),。只要測量往返，即可確定連接強(qiáng)度,。而攻擊者可以濫用ICMP回應(yīng)答復(fù)機(jī)制使受害者的網(wǎng)絡(luò)不堪重負(fù),。不過攻擊者必須知道受害者的IP地址才能明確攻擊的重點。此外,，攻擊者還要了解受害者路由器的相關(guān)信息,。

　　SYN洪水

　　SYN洪水又叫“半開”攻擊,，它濫用了TCP/IP三次握手機(jī)制,。三次握手機(jī)制的工作原理是，攻擊者將通過重復(fù)發(fā)送SYN數(shù)據(jù)包,，并忽略服務(wù)器端的SYN-ACK數(shù)據(jù)包,，從而觸發(fā)服務(wù)器的拒絕用戶響應(yīng)。

　　DoS類DNS攻擊防護(hù)建議：

　　使用合法的云托管服務(wù)；

　　實施系統(tǒng)可用性監(jiān)控,；

　　及時鎖定注冊表,；

　　部署應(yīng)用IDS/IPS工具；

　　定期開展自動化靜態(tài)和動態(tài)分析,；

　　定期使用模糊測試技術(shù),；

　　實施數(shù)據(jù)執(zhí)行預(yù)防措施；

　　對網(wǎng)頁代碼進(jìn)行安全性檢查,；

　　關(guān)注編譯器報警,，并準(zhǔn)確查找原因；

　　添加預(yù)警機(jī)制,，并對入站ICMP消息進(jìn)行處理限制,；

　　使用邊界防火墻微調(diào)；

　　一旦積壓隊列已滿,，使用最舊的半開TCP/IP連接,。

　　02 分布式拒絕服務(wù)（DDoS）類攻擊

　　與簡單的DoS攻擊相比，DDoS攻擊發(fā)生的頻率更高,。因為僵尸機(jī)器和僵尸網(wǎng)絡(luò)在暗網(wǎng)上很容易獲得,；與DoS相比，DDoS類攻擊得逞的概率更高,。

　　以下是DDoS類DNS攻擊的主要技術(shù)方式：

　　UDP洪水

　　這種DDoS與SYN洪水攻擊非常相似,，利用用戶數(shù)據(jù)報協(xié)議（UDP）和UDP數(shù)據(jù)包。攻擊者向用戶已打開端口發(fā)送大量的垃圾 UDP數(shù)據(jù)包,。主機(jī)以為這些是合法的UDP通信嘗試,，試圖在該端口上偵聽，如果沒找到數(shù)據(jù)包,，主機(jī)將別無選擇的回復(fù)ICMP無法抵達(dá),。這種情況會一直持續(xù)下去，直至主機(jī)的網(wǎng)絡(luò)資源被耗盡,。

　　NTP放大

　　在網(wǎng)絡(luò)時間協(xié)議（NTP）攻擊中,，威脅分子會向NTP服務(wù)器發(fā)送大量的UDP數(shù)據(jù)包，以達(dá)到DoS的目的,。當(dāng)NTP服務(wù)器的資源無法支撐解析所收到的查詢請求時,，它就會崩潰。

　　HTTP洪水

　　這是一種非常有效的DDoS攻擊方式,，利用了GET或POST響應(yīng)機(jī)制,。攻擊者向服務(wù)器發(fā)送盡可能多的合法GET或POST查詢，迫使服務(wù)器回答每一個查詢,。這種資源密集型回復(fù)過程會耗盡服務(wù)器資源,，從而導(dǎo)致服務(wù)中斷,。

　　Fast Flux

　　Fast Flux攻擊目的主要用于掩蓋僵尸網(wǎng)絡(luò)，嚴(yán)格上來講它不是一種攻擊,，而是僵尸網(wǎng)絡(luò)運(yùn)營商用來逃避檢測的一種規(guī)避方法,。借助Fast Flux，威脅分子可以在受感染的主機(jī)之間快速切換,，從而使他們無法被檢測工具發(fā)覺,。

　　反射式跨站點腳本（XSS）

　　在反射式跨站點腳本攻擊（XSS）模式中，威脅分子會濫用由接收請求的應(yīng)用程序發(fā)出的HTPP響應(yīng),。這么做的目的是,，發(fā)現(xiàn)接收HTTP請求的應(yīng)用程序是否在收到查詢時執(zhí)行任何類型的數(shù)據(jù)檢查。一些不安全的網(wǎng)站會原樣返回搜索詞,。威脅分子可以利用這種不當(dāng)?shù)臄?shù)據(jù)處理做法在URL中附加惡意參數(shù),，實施XSS攻擊。

　　DDoS類DNS攻擊防護(hù)建議：

　　執(zhí)行深度數(shù)據(jù)包檢查,；

　　應(yīng)用流量清理過濾器,；

　　抑制ICMP數(shù)據(jù)包的系統(tǒng)響應(yīng)率；

　　執(zhí)行定期流量分析,；

　　及時關(guān)注IP 的安全聲譽(yù),；

　　嚴(yán)格執(zhí)行JavaScript解析；

　　驗證IP來源,；

　　禁用monlist,；

　　實施訪問控制；

　　加強(qiáng)員工網(wǎng)絡(luò)安全意識教育,，不點擊可疑鏈接和郵件,；

　　正確使用Web應(yīng)用程序防火墻。

　　03 DNS 劫持類攻擊

　　發(fā)生DNS劫持攻擊時,，網(wǎng)絡(luò)攻擊者會操縱域名查詢的解析服務(wù),，導(dǎo)致訪問被惡意定向至他們控制的非法服務(wù)器，這也被成為DNS投毒或DNS重定向攻擊,。

　　DNS 劫持攻擊在網(wǎng)絡(luò)犯罪領(lǐng)域也很常見,。DNS劫持活動還可能破壞或改變合規(guī)DNS服務(wù)器的工作。除了實施網(wǎng)絡(luò)釣魚活動的黑客外,，這還可能由信譽(yù)良好的實體（比如ISP）完成,，其這么做是為了收集信息，用于統(tǒng)計數(shù)據(jù),、展示廣告及其他用途,。此外，DNS服務(wù)提供商也可能使用流量劫持作為一種審查手段,，防止訪問特定頁面,。

　　DNS劫持類攻擊主要的技術(shù)手段：

　　DNS欺騙

　　DNS欺騙又叫DNS緩存中毒，是網(wǎng)絡(luò)犯罪分子用來誘騙用戶連接到他們建立的虛假網(wǎng)站而不是合法網(wǎng)站的一種方法,。有人通過域名系統(tǒng)請求訪問網(wǎng)站,，而DNS服務(wù)器回應(yīng)不準(zhǔn)確的IP地址時，這被認(rèn)為是DNS欺騙攻擊,。然而,，不僅僅是網(wǎng)站容易受到這種攻擊。黑客還可以使用這種方法,，訪問電子郵件賬戶及其他私密數(shù)據(jù),。

　　DNS隧道

　　網(wǎng)絡(luò)流量可以使用DNS隧道的方式繞過網(wǎng)絡(luò)過濾器和防火墻等機(jī)制，以建立另外的數(shù)據(jù)傳輸通道,。啟用DNS隧道后,，用戶的連接將通過遠(yuǎn)程服務(wù)器路由傳輸互聯(lián)網(wǎng)流量。不幸的是,，黑客經(jīng)常將此用于惡意目的,。被惡意使用時，DNS隧道是一種攻擊策略,，數(shù)據(jù)通過DNS查詢來傳遞,。除了通過平常會阻止這類流量的網(wǎng)絡(luò)秘密發(fā)送數(shù)據(jù)外，這還可用于欺騙內(nèi)容,、避免過濾或防火墻檢測,。

　　DNS重新綁定

　　DNS重新綁定是一種網(wǎng)絡(luò)攻擊方法，利用瀏覽器緩存的長期特性,，欺騙受害者的瀏覽器在輸入域名時聯(lián)系惡意站點,。攻擊者可以使用任何聯(lián)網(wǎng)設(shè)備（包括智能手機(jī)）來實施攻擊，不需要任何類型的身份驗證,。受害者必須禁用瀏覽歷史記錄或打開瀏覽器隱身窗口,，才能禁用緩存。利用該漏洞,，攻擊者可以將受害者瀏覽器對域名的請求,，重新路由到托管有害內(nèi)容的非法服務(wù)器。

　　DNS拼寫仿冒

　　DNS拼寫仿冒是一種受DNS劫持啟發(fā)的社會工程攻擊技術(shù),，它使用域名中的錯別字和拼寫錯誤,。常見的DNS拼寫仿冒攻擊始于攻擊者注冊一個域名，這個域名和目標(biāo)的網(wǎng)站域名非常相似,。攻擊者隨后搭建一個虛假網(wǎng)站,，網(wǎng)站內(nèi)容旨在說服用戶提供敏感信息，包括登錄密碼,、信用卡資料及其他個人信息,。

　　DNS劫持類攻擊防護(hù)建議：

　　關(guān)閉不需要的DNS解析器,；

　　在合法的DNS解析器處部署防火墻；

　　將名稱服務(wù)器與DNS解析器分開,；

　　開展及時有效的漏洞管理和修復(fù)工作,；

　　對DNS注冊商實施客戶端鎖定；

　　確保使用支持DNSSEC的DNS服務(wù)商,；

　　始終啟用DNSSEC配置功能,；

　　為使用加密的VPN連接；

　　實施路由器密碼安全政策,。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<