随着俄烏沖突中(zhōng)網絡戰的升級，DNS安全成爲業界關注的焦點。 無論是去(qù)年3月份NSA發布的保護性DNS（PDNS）推薦指南(nán)，還是俄羅斯主權互聯網的核心——DNS服務在戰争期間的大(dà)規模啓用，都表明DNS安全威脅在不斷升級。

DNS記錄着全球域名與IP地址的一(yī)一(yī)映射關系，是互聯網中(zhōng)最基礎的服務之一(yī)。由于其在互聯網中(zhōng)的重要性以及DNS體(tǐ)系的先天局限性，DNS很容易成爲網絡攻擊的重要目标。

根據IDC和Efficient IP最近的一(yī)項研究數據顯示，在北(běi)美、歐洲和亞太地區的1100多家受訪公司中(zhōng)，有87%的公司表示曾受到DNS攻擊的影響。

據分(fēn)析師稱，DNS攻擊造成的平均損失約爲95萬美元。研究人員(yuán)還注意到通過DNS竊取數據的案件也急劇增加：26%的受訪者曾以這種方式竊取敏感的客戶數據——這一(yī)數字在2020年僅爲16%。

爲避免DNS攻擊導緻的重大(dà)損失，我(wǒ)(wǒ)們總結了以下(xià)五種最常見的DNS攻擊類型以及相應的對策。

一(yī)、五種常見的DNS攻擊類型

1.DNS劫持

DNS劫持又(yòu)稱域名劫持，是攻擊者利用缺陷對用戶的DNS進行篡改，将域名由正常IP指向攻擊者控制的IP，從而導緻訪客被劫持到一(yī)個不可達或者假冒的網站，以此達到非法竊取用戶信息或者破壞正常網絡服務的目的。

DNS劫持可用于DNS域欺騙（攻擊者通常目的是爲了顯示不需要的廣告以産生(shēng)收入）或用于網絡釣魚（爲了讓用戶訪問虛假網站并竊取用戶的數據和憑據）。互聯網服務提供商(shāng)（ISP）也可能通過DNS劫持來接管用戶的DNS請求，收集統計數據并在用戶訪問未知(zhī)域名時返回廣告或者屏蔽對特定網站的訪問。

2.DNS放(fàng)大(dà)攻擊

DNS放(fàng)大(dà)攻擊是一(yī)種流行的DDoS攻擊形式，其中(zhōng)目标系統被來自公共DNS服務器的查詢響應淹沒。攻擊者向公共DNS服務器發送DNS名稱查詢，使用受害者的地址作爲源地址，導緻公共DNS服務器的響應都被發送到目标系統。

攻擊者通常會查詢盡可能多的域名信息，以最大(dà)限度地發揮放(fàng)大(dà)效果。通過使用僵屍網絡，攻擊者也可以毫不費(fèi)力地生(shēng)成大(dà)量虛假DNS查詢。此外(wài)，由于響應是來自有效服務器的合法數據，因此很難防止DNS放(fàng)大(dà)攻擊。

3.DNS緩存投毒

DNS緩存投毒又(yòu)稱DNS欺騙，是一(yī)種通過查找并利用DNS系統中(zhōng)存在的漏洞，将流量從合法服務器引導至虛假服務器上的攻擊方式。

在實際的DNS解析過程中(zhōng)，用戶請求某個網站，浏覽器首先會查找本機中(zhōng)的DNS緩存，如果DNS緩存中(zhōng)記錄了該網站和IP的映射關系，就會直接将結果返回給用戶，用戶對所得的IP地址發起訪問。如果緩存中(zhōng)沒有相關記錄，才會委托遞歸服務器發起遞歸查詢。

這種查詢機制，縮短了全球查詢的時間，可以讓用戶獲得更快的訪問體(tǐ)驗，但也存在一(yī)定的安全風險。如果攻擊者通過控制用戶的主機或者使用惡意軟件攻擊用戶的DNS緩存，就可以對DNS緩存中(zhōng)的域名映射關系進行篡改，将域名解析結果指向一(yī)個虛假IP。

4.DNS隧道

另一(yī)種流行且經驗豐富的攻擊模式是DNS隧道。這種攻擊主要利用客戶端-服務器模型注入惡意軟件和其他數據。利用這些數據的有效負載，網絡犯罪分(fēn)子可以接管DNS服務器，然後可能訪問其管理功能和駐留在其上的應用程序。

DNS隧道通過DNS解析器在攻擊者和目标之間創建隐藏連接，可繞過防火(huǒ)牆，用于實施數據洩露等攻擊。在大(dà)多數情況下(xià)，DNS隧道需要借助能夠連接外(wài)網的受感染系統作爲跳闆，來訪問具有網絡訪問權限的内部DNS服務器。

5.僵屍網絡反向代理（Fast Flux）

Fast Flux是一(yī)種DNS規避技術，攻擊者使用僵屍網絡隐藏其網絡釣魚和惡意軟件活動，逃避安全掃描。攻擊者會使用受感染主機的動态IP地址充當後端僵屍網絡主機的反向代理。Fast Flux也可通過組合使用點對點網絡、分(fēn)布式命令和控制、基于Web的負載平衡和代理重定向等方法，使惡意軟件網絡更難被檢測到。

二、DNS攻擊應對方式

1.采用更嚴格的訪問控制

企業應采用更嚴格的網絡訪問控制策略，使用雙因素或多因素身份驗證，以更好地控制哪些用戶可以訪問他們的網絡。

CISA建議公司定期更改所有可用于更改DNS記錄的帳戶的密碼，包括公司管理的DNS服務器軟件上的帳戶、管理該軟件的系統、DNS運營商(shāng)的管理面闆和DNS注冊商(shāng)帳戶，DNS管理平台盡量避免采用與其他平台相同和類似的賬号密碼，以防止黑客采用遍曆手段獲取DNS解析和管理權限。

2.部署零信任方案

零信任方法越來越受歡迎，部分(fēn)原因在于許多組織已經采用了混合和遠程工(gōng)作模式。零信任還可以幫助緩解DNS威脅。

Gartner建議安全和風險領導者實施兩個與網絡相關的關鍵零信任項目以降低風險：一(yī)個是零信任網絡訪問(ZTNA)，它根據用戶及其設備的身份、時間和日期、地理位置、曆史使用模式和設備運行狀況等其他因素授予訪問權限。根據Gartner的說法，零信任能提供一(yī)個安全且有彈性的環境，具有更大(dà)的靈活性和更好的監控。第二個是基于身份的網絡分(fēn)段，這也是一(yī)種久經考驗的方法，可以限制攻擊者在網絡中(zhōng)橫向移動的能力。

3.檢查/驗證DNS記錄

建議企業及時檢查擁有和管理的所有域名，确保名稱服務器引用正确的DNS服務器，這一(yī)點至關重要；檢查所有權威和輔助DNS服務器上的所有DNS記錄，發現任何差異和異常，将其視爲潛在的安全事件，及時查找原因并解決。

4.接入高防服務

在做好以上常規網絡安全措施基礎之上，廣大(dà)企業還需要接入更專業的DNS高防服務。雲解析支持高防DNS，可有效應對DDoS攻擊、DNS query查詢等常見的網絡攻擊，實時監測域名安全狀況，避免因DNS劫持、DNS污染對網站域名帶來的影響。

雲盾可實時攔截OWASP、CVE、CNVD、0day/1day等各種漏洞，支持智能備源，針對源服務器内容被篡改、破壞、甚至宕機的情況，代替源服務器向訪客提供業務系統備份數據，全方位阻斷各種網絡攻擊，保護企業網絡安全。

…

随着技術的發展，DNS攻擊數量快速增加，攻擊手段愈發多樣，對廣大(dà)政企的威脅日益凸顯，因此網站管理者和運營者一(yī)定要提高警惕，選擇正規專業的域名解析服務商(shāng)，定期檢查域名解析情況，發現問題及時與服務商(shāng)聯系，才能有效應對各種DNS攻擊類型，保障廣大(dà)政企網站業務的正常開(kāi)展。