这个专栏可以在名为IT最佳实践的每周通讯中找到。点击这里订阅。
全球域名系统(DNS)在互联网上无处不在。这绝对是我们工作方式的基础。打开浏览器输入www.Google.com要比记住更复杂的地址http://74.125.224.72/容易得多。
DNS是如此重要,以至于我们倾向于将其视为互联网管道:它无处不在,它通过了所有的防火墙,在我们需要它的时候它就在那里——通常情况下。不幸的是,DNS还具有安全性差的特点,这可能会导致各种问题。
就像金属窃贼发现老房子里的铜管有报废的价值一样,网络攻击者也认识到使用DNS攻击基础设施和窃取数据的价值。
2013年3月,反垃圾邮件组织Spamhaus遭受了一次300Gbps的DNS反射(或DNS放大)DDoS攻击,我们大多数人都强烈地意识到DNS是如何被滥用为攻击工具的。据CloudFlare称,受命拯救Spamhaus免受攻击的安全公司称,DNS反射已成为他们所见的最大的第三层DDoS攻击的源头,其中许多攻击速度超过了100Gbps。
在一篇详细描述Spamhaus案例的博客文章中, CloudFlare解释了DNS反射攻击的工作原理:
DNS反射攻击的基本技术是向大量打开的DNS解析器发送一个对大型DNS区域文件的请求,并将源IP地址欺骗为目标。解析器然后响应请求,将大的DNS区域响应发送给预期的受害者。攻击者的请求本身只是响应大小的一小部分,这意味着攻击者可以有效地将其攻击扩大到他们自己控制的带宽资源大小的许多倍。
在那次攻击之后,世界各地的网络管理员被建议锁定他们开放的DNS解析器。关于如何做到这一点的好信息可以在这篇Infoblox博客文章。
另一种攻击称为资源耗尽,经常针对isp及其DNS解析器基础设施。安全供应商Cloudmark描述了这种类型的攻击白皮书:
为了执行此攻击,攻击者首先必须注册一个域并将预期目标的名称服务器指定为该域的权威服务器,或者使用其权威服务器已经是预期目标的现有域。
然后,攻击者利用被攻击机器组成的僵尸网络,引导这些机器通过被攻击机器的isp递归名称服务器发送大量请求。此外,攻击者可能通过任何已知的开放解析器发送大量请求,这些解析器可能驻留在ISP的网络中。每个请求将包含先前注册域名(例如kbsruxixqf.www.500sf.com, adujqzutahyp.www.500sf.com)的一个唯一的、随机的、不存在的子域名。
由于子域的唯一性,每个请求都会触发针对目标名称服务器的递归查找。随着攻击规模的增长,命中目标名称服务器的请求数量也会增长。最终,目标的DNS基础设施将在负载下崩溃,要么是系统资源耗尽,要么是网络饱和,或者两者兼而有之。
一旦ISP的DNS解析器基础设施瘫痪,该提供商的用户基本上就无法访问互联网。这就强调了isp需要部署一个基于DDoS的解决方案来抵御这种攻击和其他类型的攻击。
另一种滥用DNS的威胁被称为DNS劫持。这种类型的恶意攻击会覆盖计算机的TCP/IP设置,将其指向一个恶意的DNS服务器,从而使默认的DNS设置无效。这种攻击经常涉及到被黑客控制的家庭路由器,因此你的电脑现在被定向到一个由黑客拥有和维护的流氓DNS服务器,而不是去你的ISP的合法DNS解析器。当你输入你想要的网站的域名时,恶意服务器会将这些域名转换为你可能受到恶意软件或不想要的广告攻击的恶意网站的IP地址。
家庭路由器并不是唯一受到DNS劫持影响的设备。ARS Technica这么说一个谷歌DNS服务器被劫持到委内瑞拉这一事件发生在2014年3月,时长约23分钟,表明即使是最精明的互联网公司也可能会时不时地受到攻击。
Cloudmark的工作人员报告说,还有另一种DNS滥用,服务提供商、企业和任何运行敏感网络安全的人都应该关注:未经授权的DNS隧道,通常是为了窃取数据。Cloudmark的关于DNS隧道的白皮书解释它是如何做到的:
DNS隧道使用DNS查询和响应发送传统网络连接无法发送的数据。该隧道由受限网络中的客户机和作为权威DNS服务器的服务器组成。为了将数据从客户端发送到服务器,客户端在特定构造的DNS请求的主机名部分编码数据。要从服务器向客户机发送数据,服务器将在DNS响应记录的有效负载或对原始请求的CNAME响应中编码数据。
根据所使用的隧道软件,客户端和服务器要么创建一个点对点虚拟网络接口,任何流量都可以通过该接口,要么将客户端的本地端口号映射到服务器端的特定地址和端口号。
因为DNS是无处不在的,它可以通过防火墙,而且流量几乎从不被检查。想要从组织中窃取数据的攻击者实际上可以在真正的DNS包中对数据进行编码,因此很难被检测到。停止这种活动需要彻底的数据包分析,这是Cloudmark为DNS提供的新的Cloudmark安全平台。
DNS可能绝对是互联网工作方式的基础,但它的设计从来没有考虑到安全。具有安全意识的组织将需要自己填补这些漏洞。