作為域名解析的專用工具,DNS服務器是非常關鍵的網絡基礎設施,因此即使身陷攻擊也不得不為查詢提供持續響應。如果外部 DNS 服務器不可用,則整個網絡都會脫離Internet。根據Forrester Research測算,網絡中斷 24 小時的平均經濟損失高達 2700 萬美元。網站宕機 4 小時的預計成本大約為 210 萬美元。此類服務中斷的受害者不僅損失收入,丟失客戶,同時還會失去品牌價值。
自2012年第一季度以來,面向DNS基礎架構的攻擊數量增長了200%。是什么導致了這一切?這是因為DNS從其本質上而言很容易被利用。
大多數企業的防火墻都配置成通過53端口提供DNS服務,這給攻擊者提供了避開現有防御系統的捷徑。
由于DNS查詢是非對稱的,它們可以產生比查詢大很多倍的響應,這意味著DNS系統本身可能被用于放大攻擊。黑客可以發送一個數據包,引起一陣放大好幾倍的數據響應,有效阻止您業務的運作。
由于DNS協議是無狀態的,攻擊者可以輕松地隱藏其身份。
大型IT組織和服務提供商別無選擇,只能彌補這些漏洞,因為在互聯網時代,DNS服務對于現代企業的幾乎所有重要職能部門都是不可或缺的。若沒有正常運行的DNS,智能手機無法使用,企業無法運營在線業務,團隊無法有效溝通,工作效率下滑,客戶滿意度下降,收入減少,企業聲譽也岌岌可危。
當今威脅趨勢
為了強調 DNS 攻擊為企業帶來危害的嚴重性,我們在下面著重說明幾種最常見的威脅。
直接 DNS 放大攻擊,通過發送特別定制以生成大量響應的 DNS 查詢,擁塞 DNS 服務器出站帶寬。
反射攻擊,使用 Internet 中的第三方 DNS 服務器(一般為開放式遞歸域名服務器),通過發送查詢到該遞歸服務器(該服務器會處理來自任何 IP 地址的查詢)來傳播 DoS 或 DDoS 攻擊。攻擊者將受害者的 IP 地址作為查詢中的源 IP,這樣,域名服務器會將所有響應發送到受害者的 IP 地址——很有可能使受害者的服務器宕機。
TCP、UDP 和 ICMP 洪水,利用傳輸控制協議 (TCP)、用戶數據報協議 (UDP) 以及 Internet 控制消息協議 (ICMP),通過大量數據包來消耗網絡帶寬和資源。
DNS 緩存中毒,將 Internet 域的虛假地址記錄插入 DNS 查詢。如果 DNS 服務器接受該記錄,則響應后續請求時,服務器的地址都將被此攻擊者控制,傳入的 Web 請求和電子郵件都會傳輸到攻擊者的地址。
協議異常,將格式錯誤的 DNS 數據包發送到目標服務器,導致服務器線程出現無限循環,從而致使該服務器崩潰或停止響應。
偵查探測器,不是攻擊。它們只是試圖在發生大規模DDoS攻擊或其他類型攻擊之前獲取有關網絡環境的信息。
DNS 隧道,是指通過 DNS 端口 53 挖掘另一個協議隧道(防火墻一般允許使用該端口來傳輸非 DNS 流量)。這些攻擊用于數據滲漏。
京公網安備 11010502049343號