當(dāng)DNS被攻擊時,可能發(fā)生各種情況,不過,攻擊者經(jīng)常使用兩種方法來利用被攻擊的DNS服務(wù)器。首先,攻擊者可以做的第一件事情是重定向所有入站流量到他們選擇的服務(wù)器。這使他們能夠發(fā)動更多的攻擊,或者收集包含敏感信息的流量日志。
當(dāng)DNS被攻擊時,可能發(fā)生各種情況,不過,攻擊者經(jīng)常使用兩種方法來利用被攻擊的DNS服務(wù)器。首先,攻擊者可以做的第一件事情是重定向所有入站流量到他們選擇的服務(wù)器。這使他們能夠發(fā)動更多的攻擊,或者收集包含敏感信息的流量日志。
攻擊者可以做的第二件事情是捕捉所有入站電子郵件。更重要的是,第二種做法還允許攻擊者發(fā)送電子郵件,利用受害者企業(yè)的域名以及其良好的聲譽(yù)。讓事情更糟的是,攻擊者還可以選擇同時做上述兩種攻擊行為。
專注于流量管理和DNS的Dyn公司首席技術(shù)官Cory von Wallenstein在一篇博客文章中介紹了三種常見的DNS攻擊類型以及應(yīng)對方法。
第一種類型的DNS攻擊也是很棘手的問題。
這種攻擊是攻擊者攻擊域本身的注冊,然后使用這種訪問來更改分配到它的DNS服務(wù)器。這也正是SEA攻擊的做法,在攻擊Twitter和紐約時報(bào)時,他們獲得了MelbourneIT的訪問權(quán),該注冊機(jī)構(gòu)負(fù)責(zé)這兩個目標(biāo)域名,然后,攻擊者把授權(quán)DNS服務(wù)器改為他們自己的服務(wù)器。企業(yè)最好將授權(quán)服務(wù)器托管在企業(yè)內(nèi)部,從而對其完全控制。
第二種DNS攻擊類型被稱為緩存中毒攻擊。
這種攻擊發(fā)生在攻擊者成功將惡意DNS數(shù)據(jù)注入到遞歸DNS服務(wù)器(由很多ISP運(yùn)作)之后。從網(wǎng)絡(luò)拓?fù)涞慕嵌葋砜?,這行類型的DNS服務(wù)器是最接近用戶的服務(wù)器,因此,對這些服務(wù)器的攻擊將會直接影響到連接這些服務(wù)器的特定用戶。我們有阻止這種攻擊的有效辦法,并且,DNSSEC等標(biāo)準(zhǔn)能夠提供額外的保護(hù)。如果DNSSEC不可行,另一種解決方法就是限制需要保護(hù)的名稱服務(wù)器上的遞歸。遞歸用來確定服務(wù)器是僅處理其保存在緩存中的數(shù)據(jù),還是服務(wù)器會到互聯(lián)網(wǎng)與其他服務(wù)器通信來找出最佳答案。
第三種類型的DNS攻擊需要攻擊者掌控一個或多個授權(quán)DNS服務(wù)器。
授權(quán)DNS托管是Dyn公司向Twitter提供的服務(wù)類型。不過,Dyn沒有成為黑客集團(tuán)敘利亞電子軍隊(duì)(SEA)的目標(biāo),所以其向Twitter提供的服務(wù)在周二的事件中沒有受到影響。如果攻擊者能夠攻擊授權(quán)DNS服務(wù)器,這種攻擊的影響將是全球性的。雖然SEA最近的一次攻擊中沒有這樣做,但此前出現(xiàn)過。
在2009年,Twitter遭受了伊朗網(wǎng)絡(luò)軍隊(duì)的攻擊。該組織修改了DNS記錄,并重定向流量到他們控制的服務(wù)器。該組織之所以能夠修改DNS設(shè)置,是因?yàn)樗麄児袅艘粋€Twitter員工的電子郵件賬戶,然后使用該賬戶來授權(quán)DNS更改。
抵御這些類型的攻擊的方法通常包括:高強(qiáng)度密碼,以及基于IP的ACL(可接受訪問控制列表)。此外,還應(yīng)該對員工進(jìn)行徹底的培訓(xùn),來防止社會工程學(xué)。
河南億恩科技股份有限公司(mszdt.com)始創(chuàng)于2000年,專注服務(wù)器托管租用,是國家工信部認(rèn)定的綜合電信服務(wù)運(yùn)營商。億恩為近五十萬的用戶提供服務(wù)器托管、服務(wù)器租用、機(jī)柜租用、云服務(wù)器、網(wǎng)站建設(shè)、網(wǎng)站托管等網(wǎng)絡(luò)基礎(chǔ)服務(wù),另有網(wǎng)總管、名片俠網(wǎng)絡(luò)推廣服務(wù),使得客戶不斷的獲得更大的收益。
服務(wù)器/云主機(jī) 24小時售后服務(wù)電話:
0371-60135900
虛擬主機(jī)/智能建站 24小時售后服務(wù)電話:
0371-55621053
網(wǎng)絡(luò)版權(quán)侵權(quán)舉報(bào)電話:
0371-60135995
服務(wù)熱線:
0371-60135900