DNS服務(wù)器如何解決網(wǎng)絡(luò)攻擊

責(zé)任編輯:editor03

2014-03-21 14:43:05

摘自:暢享網(wǎng)

作為域名解析的專用工具,DNS服務(wù)器是非常關(guān)鍵的網(wǎng)絡(luò)基礎(chǔ)設(shè)施,因此即使身陷攻擊也不得不為查詢提供持續(xù)響應(yīng)。如果外部 DNS 服務(wù)器不可用,則整個(gè)網(wǎng)絡(luò)都會(huì)脫離Internet。

作為域名解析的專用工具,DNS服務(wù)器是非常關(guān)鍵的網(wǎng)絡(luò)基礎(chǔ)設(shè)施,因此即使身陷攻擊也不得不為查詢提供持續(xù)響應(yīng)。如果外部 DNS 服務(wù)器不可用,則整個(gè)網(wǎng)絡(luò)都會(huì)脫離Internet。根據(jù)Forrester Research測(cè)算,網(wǎng)絡(luò)中斷 24 小時(shí)的平均經(jīng)濟(jì)損失高達(dá) 2700 萬美元。網(wǎng)站宕機(jī) 4 小時(shí)的預(yù)計(jì)成本大約為 210 萬美元。此類服務(wù)中斷的受害者不僅損失收入,丟失客戶,同時(shí)還會(huì)失去品牌價(jià)值。

自2012年第一季度以來,面向DNS基礎(chǔ)架構(gòu)的攻擊數(shù)量增長了200%。是什么導(dǎo)致了這一切?這是因?yàn)镈NS從其本質(zhì)上而言很容易被利用。

大多數(shù)企業(yè)的防火墻都配置成通過53端口提供DNS服務(wù),這給攻擊者提供了避開現(xiàn)有防御系統(tǒng)的捷徑。

由于DNS查詢是非對(duì)稱的,它們可以產(chǎn)生比查詢大很多倍的響應(yīng),這意味著DNS系統(tǒng)本身可能被用于放大攻擊。黑客可以發(fā)送一個(gè)數(shù)據(jù)包,引起一陣放大好幾倍的數(shù)據(jù)響應(yīng),有效阻止您業(yè)務(wù)的運(yùn)作。

由于DNS協(xié)議是無狀態(tài)的,攻擊者可以輕松地隱藏其身份。

大型IT組織和服務(wù)提供商別無選擇,只能彌補(bǔ)這些漏洞,因?yàn)樵诨ヂ?lián)網(wǎng)時(shí)代,DNS服務(wù)對(duì)于現(xiàn)代企業(yè)的幾乎所有重要職能部門都是不可或缺的。若沒有正常運(yùn)行的DNS,智能手機(jī)無法使用,企業(yè)無法運(yùn)營在線業(yè)務(wù),團(tuán)隊(duì)無法有效溝通,工作效率下滑,客戶滿意度下降,收入減少,企業(yè)聲譽(yù)也岌岌可危。

當(dāng)今威脅趨勢(shì)

為了強(qiáng)調(diào) DNS 攻擊為企業(yè)帶來危害的嚴(yán)重性,我們?cè)谙旅嬷卣f明幾種最常見的威脅。

直接 DNS 放大攻擊,通過發(fā)送特別定制以生成大量響應(yīng)的 DNS 查詢,擁塞 DNS 服務(wù)器出站帶寬。

反射攻擊,使用 Internet 中的第三方 DNS 服務(wù)器(一般為開放式遞歸域名服務(wù)器),通過發(fā)送查詢到該遞歸服務(wù)器(該服務(wù)器會(huì)處理來自任何 IP 地址的查詢)來傳播 DoS 或 DDoS 攻擊。攻擊者將受害者的 IP 地址作為查詢中的源 IP,這樣,域名服務(wù)器會(huì)將所有響應(yīng)發(fā)送到受害者的 IP 地址——很有可能使受害者的服務(wù)器宕機(jī)。

TCP、UDP 和 ICMP 洪水,利用傳輸控制協(xié)議 (TCP)、用戶數(shù)據(jù)報(bào)協(xié)議 (UDP) 以及 Internet 控制消息協(xié)議 (ICMP),通過大量數(shù)據(jù)包來消耗網(wǎng)絡(luò)帶寬和資源。

DNS 緩存中毒,將 Internet 域的虛假地址記錄插入 DNS 查詢。如果 DNS 服務(wù)器接受該記錄,則響應(yīng)后續(xù)請(qǐng)求時(shí),服務(wù)器的地址都將被此攻擊者控制,傳入的 Web 請(qǐng)求和電子郵件都會(huì)傳輸?shù)焦粽叩牡刂贰?/p>

協(xié)議異常,將格式錯(cuò)誤的 DNS 數(shù)據(jù)包發(fā)送到目標(biāo)服務(wù)器,導(dǎo)致服務(wù)器線程出現(xiàn)無限循環(huán),從而致使該服務(wù)器崩潰或停止響應(yīng)。

偵查探測(cè)器,不是攻擊。它們只是試圖在發(fā)生大規(guī)模DDoS攻擊或其他類型攻擊之前獲取有關(guān)網(wǎng)絡(luò)環(huán)境的信息。

DNS 隧道,是指通過 DNS 端口 53 挖掘另一個(gè)協(xié)議隧道(防火墻一般允許使用該端口來傳輸非 DNS 流量)。這些攻擊用于數(shù)據(jù)滲漏。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)