域名系统(DNS)是我们信任的根源,是互联网最关键的组成部分之一。这是一个关键任务服务,因为如果它下降,业务的网站存在会下降。
DNS是一个名称和数字的虚拟数据库。它是对组织至关重要的其他服务的骨干。这包括电子邮件、互联网站点访问、通过互联网协议(VoIP)的语音和文件管理。
你希望当你输入一个域名时,你真的是要去你应该去的地方。DNS漏洞并没有得到太多的关注,直到真正的攻击发生并成为新闻。例如,2018年4月,管理myyetherwallet域名的公共DNS服务器被劫持,客户被重定向到一个钓鱼网站。许多用户报告说,他们的帐户损失了资金,这引起了公众对DNS漏洞的关注。
DNS已经存在了很长一段时间,这一事实导致了它的安全问题。从设计上看,它是网络上的开放服务,没有得到适当的监控,传统的安全解决方案也无法有效地保护它。
什么是DNS缓存中毒?
DNS服务器有漏洞,攻击者可以利用这些漏洞来接管它们。DNS缓存投毒攻击是黑客最常用的攻击方式之一。
当攻击者有控制DNS服务器时,他们可以修改缓存信息;这是DNS中毒。DNS缓存中毒的代码通常在通过垃圾邮件或网络钓鱼电子邮件发送的URL中找到。这些电子邮件尝试提醒用户需要立即关注的事件,这需要点击所提供的URL,这反过来会感染他们的计算机。横幅广告和图像通常用于将用户重定向到这些受感染的网站。
然后,当你试图访问一个金融网站或任何其他网站时,攻击者可以通过将你重定向到一个虚假网站来控制你去哪里。攻击者可以将你发送到一个页面,该页面会启动一个脚本,该脚本可以将恶意软件、密钥记录器或蠕虫下载到你的设备上。
DNS服务器访问其他DNS服务器的缓存,这就是它传播的方式——可能是非常大规模的传播。
DNS缓存中毒的风险
DNS中毒的主要风险是数据盗窃。医院,金融机构网站和在线零售商是流行的目标,轻松欺骗,这意味着任何密码,信用卡或其他个人信息可能会受到损害。此外,您的设备上安装了一个密钥记录器的风险可能导致您访问的其他网站是否已曝光其用户名和密码。
另一个重大风险是,如果互联网安全供应商的网站被欺骗,那么用户的计算机可能暴露于额外的威胁,如病毒或木马,因为事实是,合法的安全更新将不会执行。
根据EfficientIP,每年DNS攻击的平均成本为223.6万美元,其中23%的攻击来自DNS缓存投毒。
防止DNS缓存中毒攻击
有几个措施组织应该采取,以防止DNS缓存中毒攻击。一个是DNS服务器应该配置为与其他DNS服务器的信任关系依赖于尽可能少。配置此方法将使攻击者使用自己的DNS服务器损坏目标服务器更加困难。
应该采取的另一种措施是应该设置DNS服务器,以便只有所需的服务是允许运行的服务。在DNS服务器上运行的其他服务仅增加攻击矢量大小。
安全人员还应确保正在使用最新版本的DNS。较新版本的绑定具有加密安全的事务ID和端口随机化等功能,可以帮助防止缓存中毒攻击。
终端用户教育对于防止这些攻击也非常重要。终端用户应接受识别可疑网站的培训,如果他们在连接到某个网站之前收到SSL警告,则不要点击“忽略”按钮。他们还应该不断接受识别钓鱼邮件或社交媒体账户钓鱼的教育。
为了防止缓存中毒攻击,应该采取的其他措施是只存储与被请求域相关的数据,并限制您的响应仅提供有关被请求域的信息。
DNSSEC是一个解决方案
缓存中毒工具可以帮助组织防止这些攻击。最广泛使用的缓存中毒预防工具是DNSSEC(域名系统安全扩展)。它由互联网工程任务组开发,提供安全的DNS数据认证。
部署后,计算机将能够确认DNS响应是否合法,而目前还无法确定真实或虚假的响应。它还具有验证域名根本不存在的能力,有助于防止中间人攻击。
DNSSEC将验证根域或有时被称为“签署root”。当最终用户尝试访问站点时,其计算机上的存根解析器请求站点的IP地址从递归名称服务器请求。在服务器请求记录后,它还将请求区域DNSEC键。然后将用于验证IP地址记录与权威服务器上的记录相同。
接下来,递归名称服务器将验证地址记录来自权威名称服务器。然后,它将验证是否已被修改并解析正确的域源。如果对源进行了修改,则递归名称服务器将不允许连接到站点。
DNSSEC正变得越来越普遍。许多政府机构和金融机构都将DNSSEC作为一项要求,因为发布无签名区域会忽略DNS的弱点,使您的系统容易受到各种欺骗攻击。对于组织来说,考虑部署它来保护他们的数据是很重要的。