五种常见的 DNS 攻击类型及应对方式

DNS 记录着全球域名与 IP 地址的一一映射关系，是互联网中最基础的服务之一。由于其在互联网中的重要性以及 DNS 体系的先天局限性，DNS 很容易成为网络攻击的重要目标。

根据 IDC 和 Efficient IP 最近的一项研究数据显示，在北美、欧洲和亚太地区的 1100 多家受访公司中，有 87%的公司表示曾受到 DNS 攻击的影响。

据分析师称，DNS 攻击造成的平均损失约为 95 万美元。研究人员还注意到通过 DNS 窃取数据的案件也急剧增加：26%的受访者曾以这种方式窃取敏感的客户数据——这一数字在 2020 年仅为 16%。

为避免 DNS 攻击导致的重大损失，我们总结了以下五种最常见的 DNS 攻击类型以及相应的对策。

1.DNS 劫持

又称域名劫持，是攻击者利用缺陷对用户的 DNS 进行篡改，将域名由正常 IP 指向攻击者控制的 IP，从而导致访客被劫持到一个不可达或者假冒的网站，以此达到非法窃取用户信息或者破坏正常网络服务的目的。

DNS 劫持可用于 DNS 域欺骗（攻击者通常目的是为了显示不需要的广告以产生收入）或用于网络钓鱼（为了让用户访问虚假网站并窃取用户的数据和凭据）。互联网服务提供商（ISP）也可能通过 DNS 劫持来接管用户的 DNS 请求，收集统计数据并在用户访问未知域名时返回广告或者屏蔽对特定网站的访问。

2.DNS 放大攻击

DNS 放大攻击是一种流行的 DDoS 攻击形式，其中目标系统被来自公共 DNS 服务器的查询响应淹没。攻击者向公共 DNS 服务器发送 DNS 名称查询，使用受害者的地址作为源地址，导致公共 DNS 服务器的响应都被发送到目标系统。

攻击者通常会查询尽可能多的域名信息，以最大限度地发挥放大效果。通过使用僵尸网络，攻击者也可以毫不费力地生成大量虚假 DNS 查询。此外，由于响应是来自有效服务器的合法数据，因此很难防止 DNS 放大攻击。

3.DNS 缓存投毒

又称 DNS 欺骗，是一种通过查找并利用 DNS 系统中存在的漏洞，将流量从合法服务器引导至虚假服务器上的攻击方式。

在实际的 DNS 解析过程中，用户请求某个网站，浏览器首先会查找本机中的 DNS 缓存，如果 DNS 缓存中记录了该网站和 IP 的映射关系，就会直接将结果返回给用户，用户对所得的 IP 地址发起访问。如果缓存中没有相关记录，才会委托递归服务器发起递归查询。

这种查询机制，缩短了全球查询的时间，可以让用户获得更快的访问体验，但也存在一定的安全风险。如果攻击者通过控制用户的主机或者使用恶意软件攻击用户的 DNS 缓存，就可以对 DNS 缓存中的域名映射关系进行篡改，将域名解析结果指向一个虚假 IP。

4.DNS 隧道

另一种流行且经验丰富的攻击模式是 DNS 隧道。这种攻击主要利用客户端-服务器模型注入恶意软件和其他数据。利用这些数据的有效负载，网络犯罪分子可以接管 DNS 服务器，然后可能访问其管理功能和驻留在其上的应用程序。

DNS 隧道通过 DNS 解析器在攻击者和目标之间创建隐藏连接，可绕过防火墙，用于实施数据泄露等攻击。在大多数情况下，DNS 隧道需要借助能够连接外网的受感染系统作为跳板，来访问具有网络访问权限的内部 DNS 服务器。

5.僵尸网络反向代理（Fast Flux）

Fast Flux 是一种 DNS 规避技术，攻击者使用僵尸网络隐藏其网络钓鱼和恶意软件活动，逃避安全扫描。攻击者会使用受感染主机的动态 IP 地址充当后端僵尸网络主机的反向代理。Fast Flux 也可通过组合使用点对点网络、分布式命令和控制、基于 Web 的负载平衡和代理重定向等方法，使恶意软件网络更难被检测到。

1.采用更严格的访问控制

企业应采用更严格的网络访问控制策略，使用双因素或多因素身份验证，以更好地控制哪些用户可以访问他们的网络。

CISA 建议公司定期更改所有可用于更改 DNS 记录的帐户的密码，包括公司管理的DNS服务器软件上的帐户、管理该软件的系统、DNS 运营商的管理面板和 DNS 注册商帐户，DNS 管理平台尽量避免采用与其他平台相同和类似的账号密码，以防止黑客采用遍历手段获取 DNS 解析和管理权限。

2.部署零信任方案

零信任方法越来越受欢迎，部分原因在于许多组织已经采用了混合和远程工作模式。零信任还可以帮助缓解 DNS 威胁。

Gartner 建议安全和风险领导者实施两个与网络相关的关键零信任项目以降低风险：一个是零信任网络访问(ZTNA)，它根据用户及其设备的身份、时间和日期、地理位置、历史使用模式和设备运行状况等其他因素授予访问权限。根据 Gartner 的说法，零信任能提供一个安全且有弹性的环境，具有更大的灵活性和更好的监控。第二个是基于身份的网络分段，这也是一种久经考验的方法，可以限制攻击者在网络中横向移动的能力。

3.检查/验证 DNS 记录

建议企业及时检查拥有和管理的所有域名，确保名称服务器引用正确的 DNS 服务器，这一点至关重要；检查所有权威和辅助 DNS 服务器上的所有 DNS 记录，发现任何差异和异常，将其视为潜在的安全事件，及时查找原因并解决。