DNS:加强最薄弱的环节
时间 : 2018-09-26 编辑 : DNS智能解析专家 来源 : DNS.COM
遭受DDoS攻击的组织中有三分之一遭受了针对其DNS服务器的攻击。那为什么DNS这样一个有吸引力的目标?DNS安全有哪些挑战?
域名系统(DNS)被类比作互联网的电话簿,将人类可读的主机名映射到机器可读的IP地址。用户或连接的设备执行的任何Internet请求都使用DNS。当DNS服务降级或停止时,在线业务中断,不仅带来收入的损失,亦或是失去信誉。
攻击者的技术既可以利用递归DNS服务器(为最终用户寻找IP地址),也可以利用权威DNS服务器(为递归DNS服务器提供IP地址答案)。服务提供商通常拥有并管理自己的权威和递归DNS服务器。一些企业还拥有和管理权威的DNS服务器。而中小型企业通常会将此转移到托管DNS服务。
最近的攻击表明,针对DNS基础架构的攻击都可能对服务造成破坏,当下必须实施DNS保护以确保服务可用性和正常通信。
DNS安全挑战
DNS专为其核心操作而设计,侧重于性能和可扩展性。在互联网发展的早期,安全和隐私不是首要任务,因为它们不像今天那样重要。结果,DNS的固有特性使其成为持续的安全挑战。
这些特征包括:
1、无状态协议:由于DNS服务必须非常快,因此它被设计为无状态协议。这使得攻击者可以轻松隐藏自己的身份以通过DNS发起攻击。
2、无需身份验证:DNS无法验证请求源或验证响应的正确性。换句话说,DNS无法评估它连接用户或设备的IP地址是“好”还是“坏”。攻击者利用这种无保护的基础设施并使用虚假查询和/或虚假响应设计复杂的攻击。
3、开放访问:在大多数情况下,防火墙不会检查DNS端口53.这样可以向所有人(包括攻击者)提供开放访问权限。
4、扩增效果:DNS查询可能会产生较大的响应,有时甚至会大10倍。攻击者使用此设计来放大对DNS的攻击并实现更高的攻击量。
5、缺乏验证:DNS无法验证查询以确保其合法。只要查询名称符合RFC,DNS就会进行转发。攻击者利用此设计并使用虚假DNS查询来发起攻击,例如缓存中毒,隧道攻击和随机子域攻击以获取更多信息)。大多数安全解决方案无法准确区分合法和虚假的DNS查询。
即使运营商和服务提供商部署了更新的安全解决方案,DNS基础架构仍然容易受到越来越多的攻击。 DNS可能保持不变,但这些攻击变得非常复杂,高度集中并且越来越难以检测和缓解。
攻击趋势
在过去,大型DDoS攻击,特别是大型DNS攻击,通常通过放大和反射技术来实现。最近物联网的激增使得攻击者能够控制不安全的设备以形成大型物联网僵尸网络。黑客可以利用这些僵尸网络投资复杂的应用层攻击,特别是在DNS中。
一个著名的例子就是Mirai僵尸网络,它在2016年10月21日用于大规模DDoS攻击。Mirai是一种多矢量恶意软件,感染物联网设备(主要是IP摄像机)以形成僵尸网络。人们普遍认为Mirai僵尸网络被用于使用称为DNS Water Torture的DNS攻击媒介发起协调的DNS DDoS攻击。 DNS Water Torture本质上是一种递归的随机子域攻击技术,可以淹没目标的权威名称服务器。尽管正常运行,但这种DNS泛滥导致热门网站无法访问数小时。
自Mirai以来,不断有新的或改进的物联网僵尸网络。据Gartner预测,到2020年连接设备的数量将超过200亿。由于互联网基础设施容量没有以同样的速度增长,这是一个严峻的挑战。因此,可预见到DNS和其他应用程序中的高级和复杂攻击,并相信随着僵尸网络规模和覆盖范围的扩大,攻击事件将更加频繁。
为什么当前的防护失效(怎么做)
2005年定义了新规范,以解决DNS缺乏安全性的问题。 DNS安全扩展(DNSSEC3)提供原始身份验证,数据完整性和经过身份验证的拒绝存在。但是,规范并未涉及可用性或机密性。 DNSSEC的主要目标是排除DNS欺骗或DNS缓存中毒。
DNSSEC的采用仍然是一项长期挑战,实施进展缓慢。根据ISOC4,.com中仅有约0.5%的区域已签署。这是因为与DNS相比,DNSSEC很复杂,会给DNS带来计算和通信开销,并且需要对组织进行重大的基础架构更改。
由于DNS协议中缺少内置的安全机制,所以应该首先考虑DNS基础结构保护。具体而言,DNS安全性需要重新考虑周边安全性。许多组织通过配置DNS防火墙和/或可行的DNS服务器来解决DNS安全问题,使得外围无人看管。
但由于以下原因,这种方法是不够的:
1、容量DDoS攻击。正如Mirai所证明的那样,这些攻击威胁到整个基础设施,并可能使互联网管道饱和。在网络内部配置安全解决方案对这些威胁毫无用处。一个可行的周边安全解决方案是保护网络的关键。
2、有状态设备的风险。DNS防火墙和DNS服务器跟踪会话状态,因此无法承受和处理消耗其所有资源并导致故障的大量攻击。无状态周边安全解决方案可以防止体积泛滥。
3、是时候缓解了。DNS防火墙或DNS服务器需要双向部署,因为它们跟踪DNS请求和DNS操作的响应。他们通常依靠错误的DNS响应进行攻击检测,这可能导致更长的缓解时间。在此期间,允许不良请求进入受保护的服务器。在某些情况下,表示攻击的错误响应只需要很长时间。对于因错误请求而过载的递归DNS服务器尤其如此。周边安全解决方案基于Ingress的检测和缓解可防止请求的DNS被输入DNS服务器。
没有正确保护DNS基础设施就像为网络罪犯留下一个开放的窗口,让他们可以免费访问您的网络和资源,并冒着在线业务可用性的风险。 DNS始终是安全性中最薄弱的环节吗?如果您了解风险并实施正确的保护措施,就不用担心。
作者:Radware
来源:https://blog.radware.com/security/2018/08/dns-attack-security-challenges/