幾乎所有網(wǎng)絡(luò)流量都需要標(biāo)準(zhǔn)DNS查詢，這為 DNS 攻擊（例如 DNS 劫持和路徑攻擊）創(chuàng)造了機(jī)會(huì)。這些攻擊可以將網(wǎng)站的入站流量重定向到網(wǎng)站的虛假副本，收集敏感的用戶信息并使企業(yè)承擔(dān)重大責(zé)任。防御 DNS 威脅的最著名方法之一是采用 DNSSEC 協(xié)議。

什么是 DNSSEC？

與許多 Internet協(xié)議一樣，DNS 系統(tǒng)的設(shè)計(jì)并未考慮到安全性，并且包含一些設(shè)計(jì)限制。這些限制與技術(shù)進(jìn)步相結(jié)合，使攻擊者很容易出于惡意目的劫持 DNS 查找，例如將用戶發(fā)送到可以分發(fā)惡意軟件或收集個(gè)人信息的欺詐性網(wǎng)站。

DNS 安全擴(kuò)展 (DNSSEC) 是為緩解此問(wèn)題而創(chuàng)建的安全協(xié)議。DNSSEC 通過(guò)對(duì)數(shù)據(jù)進(jìn)行數(shù)字簽名來(lái)防止攻擊，以幫助確保其有效性。為了確保安全查找，簽名必須在 DNS 查找過(guò)程的每個(gè)級(jí)別進(jìn)行。

這個(gè)簽名過(guò)程類似于某人用筆在法律文件上簽名；該人使用其他人無(wú)法創(chuàng)建的唯一簽名進(jìn)行簽名，法院專家可以查看該簽名并驗(yàn)證該文件是否由該人簽署。這些數(shù)字簽名確保數(shù)據(jù)沒(méi)有被篡改。

DNSSEC 跨 DNS 的所有層實(shí)施分層數(shù)字簽名策略。例如，在“google.com”查找的情況下，根 DNS 服務(wù)器將為.COM 域名服務(wù)器簽署一個(gè)密鑰，然后 .COM 域名服務(wù)器將為 google.com 的權(quán)威域名服務(wù)器簽署一個(gè)密鑰。

雖然始終首選提高安全性，但 DNSSEC 旨在向后兼容，以確保傳統(tǒng) DNS 查找仍然正確解析，盡管沒(méi)有增加安全性。DNSSEC 旨在與SSL / TLS等其他安全措施一起使用，作為整體 Internet 安全策略的一部分。

DNSSEC 創(chuàng)建了一個(gè)一直到根區(qū)域的父子信任鏈。這個(gè)信任鏈不能在 DNS 的任何層受到損害，否則請(qǐng)求將變得容易受到路徑上的攻擊。

要關(guān)閉信任鏈，需要驗(yàn)證根區(qū)本身（證明沒(méi)有篡改或欺詐），而這實(shí)際上是通過(guò)人工干預(yù)來(lái)完成的。有趣的是，在所謂的根區(qū)簽名儀式中，來(lái)自世界各地的選定個(gè)人會(huì)面以公開(kāi)且經(jīng)過(guò)審核的方式簽署根 DNSKEY RRset。

涉及 DNS 的常見(jiàn)攻擊有哪些？

DNSSEC 是一種功能強(qiáng)大的安全協(xié)議，但遺憾的是它目前并未被普遍采用。除了 DNS 是大多數(shù) Internet 請(qǐng)求不可或缺的一部分這一事實(shí)之外，這種缺乏采用加上其他潛在的漏洞，使得 DNS 成為惡意攻擊的主要目標(biāo)。攻擊者已經(jīng)找到了許多針對(duì)和利用 DNS 服務(wù)器的方法。以下是一些最常見(jiàn)的：

• DNS 欺騙/緩存中毒：這是一種攻擊，其中將偽造的 DNS 數(shù)據(jù)引入 DNS 解析器的緩存，導(dǎo)致解析器返回不正確的域IP 地址。流量可以轉(zhuǎn)移到惡意機(jī)器或攻擊者想要的任何其他地方，而不是訪問(wèn)正確的網(wǎng)站；通常這將是用于惡意目的（例如分發(fā)惡意軟件或收集登錄信息）的原始站點(diǎn)的副本。
• DNS 隧道：此攻擊使用其他協(xié)議通過(guò) DNS 查詢和響應(yīng)進(jìn)行隧道傳輸。攻擊者可以使用 SSH、TCP或HTTP將惡意軟件或被盜信息傳遞到 DNS 查詢中，而大多數(shù)防火墻都無(wú)法檢測(cè)到。
• DNS 劫持：在 DNS 劫持中，攻擊者將查詢重定向到不同的域名服務(wù)器。這可以通過(guò)惡意軟件或未經(jīng)授權(quán)修改 DNS 服務(wù)器來(lái)完成。雖然結(jié)果類似于 DNS 欺騙，但這是一種根本不同的攻擊，因?yàn)樗槍?duì)的是域名服務(wù)器上網(wǎng)站的DNS 記錄，而不是解析器的緩存。
• NXDOMAIN 攻擊：這是一種 DNS 泛洪攻擊，攻擊者通過(guò)請(qǐng)求淹沒(méi) DNS 服務(wù)器，請(qǐng)求不存在的記錄，試圖對(duì)合法流量造成拒絕服務(wù)。這可以使用復(fù)雜的攻擊工具來(lái)完成，這些工具可以為每個(gè)請(qǐng)求自動(dòng)生成唯一的子域。NXDOMAIN 攻擊還可以針對(duì)遞歸解析器，目的是用垃圾請(qǐng)求填充解析器的緩存。
• 幻域攻擊：幻域攻擊與對(duì) DNS 解析器的 NXDOMAIN 攻擊具有相似的結(jié)果。攻擊者設(shè)置了一堆“幻象”域服務(wù)器，它們要么響應(yīng)非常慢，要么根本不響應(yīng)請(qǐng)求。然后解析器受到對(duì)這些域的大量請(qǐng)求的沖擊，解析器被捆綁等待響應(yīng)，導(dǎo)致性能下降和拒絕服務(wù)。
• 隨機(jī)子域攻擊：在這種情況下，攻擊者向一個(gè)合法站點(diǎn)的多個(gè)隨機(jī)、不存在的子域發(fā)送 DNS 查詢。目標(biāo)是為域的權(quán)威名稱服務(wù)器創(chuàng)建拒絕服務(wù)，使其無(wú)法從名稱服務(wù)器查找網(wǎng)站。作為副作用，為攻擊者服務(wù)的 ISP 也可能受到影響，因?yàn)樗麄兊倪f歸解析器的緩存將加載錯(cuò)誤的請(qǐng)求。
• 域鎖定攻擊：攻擊者通過(guò)設(shè)置特殊域和解析器來(lái)與其他合法解析器創(chuàng)建 TCP 連接來(lái)編排這種形式的攻擊。當(dāng)目標(biāo)解析器發(fā)送請(qǐng)求時(shí)，這些域會(huì)發(fā)回緩慢的隨機(jī)數(shù)據(jù)包流，從而占用解析器的資源。
• 基于僵尸網(wǎng)絡(luò)的 CPE 攻擊：這些攻擊是使用 CPE 設(shè)備（客戶駐地設(shè)備；這是服務(wù)提供商提供給客戶使用的硬件，例如調(diào)制解調(diào)器、路由器、有線電視盒等）進(jìn)行。攻擊者破壞 CPE，設(shè)備成為僵尸網(wǎng)絡(luò)的一部分，用于對(duì)一個(gè)站點(diǎn)或域執(zhí)行隨機(jī)子域攻擊。

防御基于 DNS 的攻擊的最佳方法是什么？

除了 DNSSEC，DNS 區(qū)域的運(yùn)營(yíng)商還可以采取進(jìn)一步措施來(lái)保護(hù)其服務(wù)器。過(guò)度配置基礎(chǔ)設(shè)施是克服DDoS 攻擊的一種簡(jiǎn)單策略。簡(jiǎn)而言之，如果您的名稱服務(wù)器可以處理比您預(yù)期多幾倍的流量，那么基于容量的攻擊就更難壓倒您的服務(wù)器。

Anycast 路由是另一個(gè)可以破壞 DDoS 攻擊的便捷工具。Anycast 允許多臺(tái)服務(wù)器共享一個(gè) IP 地址，因此即使一臺(tái) DNS 服務(wù)器關(guān)閉，仍然會(huì)有其他服務(wù)器啟動(dòng)并提供服務(wù)。另一種保護(hù) DNS 服務(wù)器的流行策略是 DNS 防火墻。

什么是 DNS 防火墻？

DNS 防火墻是一種工具，可以為 DNS 服務(wù)器提供許多安全和性能服務(wù)。DNS 防火墻位于用戶的遞歸解析器和他們?cè)噲D訪問(wèn)的網(wǎng)站或服務(wù)的權(quán)威名稱服務(wù)器之間。防火墻可以提供速率限制服務(wù)來(lái)關(guān)閉試圖壓倒服務(wù)器的攻擊者。如果服務(wù)器確實(shí)因攻擊或任何其他原因而停機(jī)，DNS 防火墻可以通過(guò)提供來(lái)自緩存的 DNS 響應(yīng)來(lái)保持運(yùn)營(yíng)商的站點(diǎn)或服務(wù)正常運(yùn)行。

除了其安全功能外，DNS 防火墻還可以提供性能解決方案，例如更快的 DNS 查找和降低 DNS 運(yùn)營(yíng)商的帶寬成本。

DNS 作為安全工具

DNS 解析器也可以配置為為其最終用戶（瀏覽 Internet 的人）提供安全解決方案。一些 DNS 解析器提供內(nèi)容過(guò)濾等功能，可以阻止已知分發(fā)惡意軟件和垃圾郵件的網(wǎng)站，以及阻止與已知僵尸網(wǎng)絡(luò)通信的僵尸網(wǎng)絡(luò)保護(hù)。許多這些安全的 DNS 解析器都是免費(fèi)使用的，用戶可以通過(guò)更改其本地路由器中的單個(gè)設(shè)置來(lái)切換到這些遞歸 DNS服務(wù)之一。

DNS 查詢是私有的嗎？

另一個(gè)重要的 DNS 安全問(wèn)題是用戶隱私。DNS 查詢未加密。即使用戶使用像1.1.1.1這樣不跟蹤他們活動(dòng)的 DNS 解析器，DNS 查詢也會(huì)以明文形式在 Internet 上傳輸。這意味著攔截查詢的任何人都可以看到用戶正在訪問(wèn)哪些網(wǎng)站。

缺乏隱私會(huì)影響安全，在某些情況下還會(huì)影響人權(quán)；如果 DNS 查詢不是私人的，那么政府審查互聯(lián)網(wǎng)和攻擊者跟蹤用戶的在線行為變得更容易。DNS over TLS 和 DNS over HTTPS是加密 DNS 查詢的兩個(gè)標(biāo)準(zhǔn)，以防止外部各方能夠讀取它們。還與其他組織合作以幫助提高 DNS 安全性——例如，幫助 Mozilla 在其 Firefox 瀏覽器中啟用 DNS over HTTPS 以保護(hù)用戶。