什么是 DNS 安全?

安全资讯 小布 304浏览 0评论

大多数人在使用 Internet 时,都会使用域名来指定要访问的网站。但是,计算机使用 IP 地址来识别连接到 Internet 的不同系统并通过 Internet 路由流量。该域名系统(DNS)是一种通过允许使用域名使互联网使用的协议。

DNS 受到组织的广泛信任,并且通常允许 DNS 流量自由通过网络防火墙。然而,它经常受到网络犯罪分子的攻击和滥用。因此,DNS 的安全性是网络安全的重要组成部分。

DNS 在攻击中的使用方式

DNS 可以以不同的方式使用。一些威胁包括对基础设施的攻击:

 

  • 分布式拒绝服务 (DDoS): DNS 基础设施对于互联网的运行至关重要。针对 DNS 的 DDoS 攻击可以通过使网络充满看似合法的流量而使为其提供服务的 DNS 服务器不可用,从而使网站无法访问。一个典型的例子是2016 年针对 Dyn 的 DDoS 攻击,其中托管在 Internet 连接摄像头上的一大群机器人导致许多主要网站中断,包括亚马逊、Netflix、Spotify 和 Twitter。
  • DNS DDoS 放大: DNS 使用 UDP 进行传输,这意味着攻击者可以欺骗 DNS 请求的源地址并将响应发送到他们选择的 IP 地址。此外,DNS 响应可能比相应的请求大得多。DDoS 攻击者利用这些因素通过向 DNS 服务器发送小请求并将大量响应传输到目标来放大他们的攻击。
  • 拒绝服务 (DoS) 攻击:除了基于网络的 DDoS 攻击之外,在 DNS 服务器上运行的应用程序也可能成为 DoS 攻击的目标。这些攻击旨在利用系统中的漏洞,使其无法响应合法请求。

 

DNS 也可能被滥用并用于网络攻击。滥用 DNS 的例子包括:

 

  • DNS 劫持: DNS 劫持是指任何一种攻击,它诱使用户认为他们连接到合法域,而实际上连接到恶意域。这可以使用受损或恶意的 DNS 服务器或通过欺骗 DNS 服务器存储不正确的 DNS 数据(称为缓存中毒的攻击)来实现。
  • DNS 隧道由于 DNS 是一种受信任的协议,大多数组织都允许它自由进入和离开他们的网络。网络犯罪分子利用 DNS 进行数据泄露,恶意软件的 DNS 请求包含被泄露的数据。由于目标 DNS 服务器通常由目标网站的所有者控制,因此攻击者确保数据到达可以由他们处理的服务器并在 DNS 响应数据包中发送响应。

DNS 安全的重要性

DNS 是一个旧协议,它的构建没有任何集成的安全性。已经开发了多种解决方案来帮助保护 DNS,包括:

 

  • 信誉过滤:与任何其他 Internet 用户一样,大多数恶意软件需要发出 DNS 请求才能找到它正在访问的站点的 IP 地址。组织可以根据威胁情报阻止或重定向 DNS 请求到已知恶意域,以阻止用户访问危险站点或恶意软件与其运营商进行通信。
  • DNS 检查:可以通过集成到下一代防火墙 (NGFW) 中的入侵防御系统 (IPS) 检测和阻止使用 DNS 进行数据泄露(通过 DNS 隧道)和其他恶意活动。这有助于阻止滥用 DNS 进行恶意软件命令和控制以及其他攻击。
  • 保护协议: DNSSEC 是一种包括对 DNS 响应进行身份验证的协议。由于经过身份验证的响应无法被欺骗或修改,因此攻击者无法使用 DNS 将用户发送到恶意站点。
  • 保护通道: DNS over TLS (DoT) 和 DoH(DNS over HTTPS)为不安全的协议添加了一个安全层。与传统 DNS 不同,这可确保请求经过加密和身份验证。通过使用 DoH 和 DoT,用户可以确保 DNS 响应的隐私并阻止对其 DNS 请求的窃听(这会揭示他们正在访问的站点)。

分析、威胁情报和威胁搜寻

监控您的 DNS 流量可为您的安全运营中心 (SOC)团队提供丰富的数据来源,因为他们可以监控和分析您公司的安全状况。除了监控防火墙和 IPS 系统的 DNS 妥协指标 (IoC)、受感染的主机或 DNS 隧道尝试之外,SOC 团队还可以寻找相似的域。

 

转载请注明:布尔云安的博客 » 什么是 DNS 安全?

头像
发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址