当DNS被攻击时,可能发生各种情况,不过,攻击者经常使用两种方法来利用被攻击的DNS服务器。
DNS服务器能够将IP地址翻译成域名,这就是为什么你可以在浏览器输入cnw.com.cn来访问我们的网站,而不需要记住IP地址。
当DNS被攻击时,可能发生各种情况,不过,攻击者经常使用两种方法来利用被攻击的DNS服务器。首先,攻击者可以做的第一件事情是重定向所有入站流量到他们选择的服务器。这使他们能够发动更多的攻击,或者收集包含敏感信息的流量日志。
攻击者可以做的第二件事情是捕捉所有入站电子邮件。更重要的是,第二种做法还允许攻击者发送电子邮件,利用受害者企业的域名以及其良好的声誉。让事情更糟的是,攻击者还可以选择同时做上述两种攻击行为。
专注于流量管理和DNS的Dyn公司首席技术官Cory von Wallenstein在一篇博客文章中介绍了三种常见的DNS攻击类型以及应对方法。
第一种DNS攻击类型被称为缓存中毒攻击,这种攻击发生在攻击者成功将恶意DNS数据注入到递归DNS服务器(由很多ISP运作)之后。从网络拓扑的角度来看,这行类型的DNS服务器是最接近用户的服务器,因此,对这些服务器的攻击将会直接影响到连接这些服务器的特定用户。
我们有阻止这种攻击的有效办法,并且,DNSSEC等标准能够提供额外的保护。如果DNSSEC不可行,另一种解决方法就是限制需要保护的名称服务器上的递归。递归用来确定服务器是仅处理其保存在缓存中的数据,还是服务器会到互联网与其他服务器通信来找出最佳答案。
第二种类型的DNS攻击需要攻击者掌控一个或多个授权DNS服务器。授权DNS托管是Dyn公司向Twitter提供的服务类型。不过,Dyn没有成为黑客集团叙利亚电子军队(SEA)的目标,所以其向Twitter提供的服务在周二的事件中没有受到影响。
如果攻击者能够攻击授权DNS服务器,这种攻击的影响将是全球性的。虽然SEA最近的一次攻击中没有这样做,但此前出现过。
在2009年,Twitter遭受了伊朗网络军队的攻击。该组织修改了DNS记录,并重定向流量到他们控制的服务器。该组织之所以能够修改DNS设置,是因为他们攻击了一个Twitter员工的电子邮件账户,然后使用该账户来授权DNS更改。
抵御这些类型的攻击的方法通常包括:高强度密码,以及基于IP的ACL(可接受访问控制列表)。此外,还应该对员工进行彻底的培训,来防止社会工程学。
第三种类型的DNS攻击也是很棘手的问题。这种攻击是攻击者攻击域本身的注册,然后使用这种访问来更改分配到它的DNS服务器。
这也正是SEA攻击的做法,在攻击Twitter和纽约时报时,他们获得了MelbourneIT的访问权,该注册机构负责这两个目标域名,然后,攻击者把授权DNS服务器改为他们自己的服务器。企业最好将授权服务器托管在企业内部,从而对其完全控制。
