如今的防護(hù)設(shè)備越來(lái)越多，曾經(jīng)作為主流攻擊點(diǎn)的對(duì)象都逐漸被各種防火墻、入侵防御系統(tǒng)、沙箱等各種技術(shù)手段保護(hù)起來(lái)。

然而，對(duì)于攻擊者而言，不斷嘗試尋找現(xiàn)有主流目標(biāo)的新漏洞固然是一種方式；從尚未被建立保護(hù)措施的有效目標(biāo)中找到新的攻擊點(diǎn)也很重要。近年來(lái)，針對(duì)http協(xié)議的漏洞逐漸被挖掘殆盡，攻擊者的目光也早已轉(zhuǎn)向了其他互聯(lián)網(wǎng)關(guān)鍵協(xié)議——其中之一就是DNS。

DNS的威脅

DNS是網(wǎng)絡(luò)連接的重要一環(huán)。其任務(wù)是將域名轉(zhuǎn)化為網(wǎng)絡(luò)地址，然后根據(jù)轉(zhuǎn)化后的地址進(jìn)行連接。然而，在這一過(guò)程中，攻擊者卻有豐富多樣的攻擊手段，各種常見(jiàn)攻擊手法都能在DNS協(xié)議上做到復(fù)制。

以下是幾種極其常見(jiàn)的針對(duì)DNS的攻擊方式：

1. DDoS攻擊

攻擊者可以偽造自己的DNS服務(wù)器地址，同時(shí)發(fā)送大量請(qǐng)求給其他服務(wù)器。其他服務(wù)器的回復(fù)會(huì)被發(fā)送到被偽造服務(wù)器的真實(shí)地址，造成該服務(wù)器無(wú)法處理請(qǐng)求而崩潰。攻擊者同樣可以通過(guò)利用DNS協(xié)議中存在的漏洞，惡意創(chuàng)造一個(gè)載荷過(guò)大的請(qǐng)求，造成目標(biāo)DNS服務(wù)器崩潰。

2.DNS緩存中毒

攻擊者可以通過(guò)攻破DNS服務(wù)器，對(duì)服務(wù)器中的地址緩存進(jìn)行修改、偽造。將域名重新導(dǎo)向一個(gè)不正確的地址，從而可以實(shí)行釣魚(yú)攻擊、網(wǎng)站木馬等其他攻擊方式。這種攻擊極具傳播性：如果其他DNS服務(wù)器從該服務(wù)器中獲取緩存信息，那么錯(cuò)誤的信息會(huì)傳播到其他DNS服務(wù)器上，擴(kuò)大受害范圍。

3.DNS劫持

區(qū)別于DNS緩存中毒，DNS劫持不修改DNS服務(wù)器的緩存記錄，而是直接將請(qǐng)求導(dǎo)向偽造的惡意DNS服務(wù)器，從而實(shí)現(xiàn)將域名地址導(dǎo)向惡意IP地址的目的。

4.DNS嗅探

一旦DNS配置不當(dāng)，攻擊者可以對(duì)DNS的配置信息獲取網(wǎng)絡(luò)環(huán)境的信息，為之后的攻擊做好的準(zhǔn)備。

顯然，無(wú)論攻擊者是直接利用DNS發(fā)起攻擊，造成業(yè)務(wù)的中斷又或者是對(duì)企業(yè)內(nèi)部人員進(jìn)行釣魚(yú)攻擊；還是僅僅利用DNS對(duì)整個(gè)網(wǎng)絡(luò)環(huán)境嗅探，來(lái)為下次更有威脅性的攻擊行為收集情報(bào)，都會(huì)對(duì)企業(yè)帶來(lái)巨大的利益損失。

然而，面對(duì)這樣一個(gè)威脅，很多企業(yè)卻并沒(méi)有對(duì)DNS服務(wù)器進(jìn)行保護(hù)——究其原因，除了市面上缺乏對(duì)DNS的防護(hù)設(shè)備之外，企業(yè)本身也對(duì)于DNS存在的安全隱患了解較少。對(duì)于大部分企業(yè)而言，對(duì)于DNS的了解依然停留在了“能用就行”的地步，忽略了不安全的DNS會(huì)給自己帶來(lái)的巨大損失。

對(duì)DNS服務(wù)器需要采取特別的安全保護(hù)措施 

DNS服務(wù)器可為互聯(lián)網(wǎng)提供域名解析服務(wù)，對(duì)任何網(wǎng)絡(luò)應(yīng)用都十分關(guān)鍵。同時(shí)在其中也包括了非常重要的網(wǎng)絡(luò)配置信息，如用戶主機(jī)名和IP地址等。正因如此，對(duì)DNS服務(wù)器要采取特別的安全保護(hù)措施。

為了安全起見(jiàn)，建議在防火墻網(wǎng)絡(luò)中，對(duì)內(nèi)部DNS服務(wù)器和外部DNS服務(wù)器進(jìn)行分開(kāi)放置。為互聯(lián)網(wǎng)服務(wù)的外部DNS服務(wù)器不應(yīng)該包含對(duì)外禁止訪問(wèn)的內(nèi)部網(wǎng)絡(luò)系統(tǒng)的相關(guān)服務(wù)，它需要專門放置在內(nèi)部DNS服務(wù)器上。

如果將內(nèi)部網(wǎng)絡(luò)的相關(guān)服務(wù)放置在外部DNS服務(wù)器上，則會(huì)為非法攻擊者提供攻擊對(duì)象目標(biāo)信息。這種將內(nèi)部DNS服務(wù)器和外部DNS服務(wù)器分隔開(kāi)的網(wǎng)絡(luò)配置方案通常稱之為分割DNS。

​在這種DNS服務(wù)器配置網(wǎng)絡(luò)結(jié)構(gòu)中，內(nèi)部DNS服務(wù)器專用來(lái)為內(nèi)部網(wǎng)絡(luò)系統(tǒng)進(jìn)行名稱解析，使得內(nèi)部網(wǎng)絡(luò)用戶可以通過(guò)它連接到其他內(nèi)部系統(tǒng)，其中就包括內(nèi)部防火墻和內(nèi)部DMZ;外部DNS使得外部網(wǎng)絡(luò)能夠解析出主防火墻、外部DNS服務(wù)器、外部DMZ區(qū)的主機(jī)名字，但不能解析出內(nèi)部網(wǎng)絡(luò)系統(tǒng)主機(jī)的名字。

天下數(shù)據(jù)DNS的安全防護(hù)方案

針對(duì)于DNS面臨的這些威脅，天下數(shù)據(jù)有自己的一套高級(jí)DNS防護(hù)方案，主要有四大特點(diǎn)：

1. 基于特征的DNS攻擊檢測(cè)

針對(duì)已知的攻擊模式，天下數(shù)據(jù)的防護(hù)方案采取針對(duì)特征進(jìn)行檢測(cè)，對(duì)攻擊進(jìn)行攔截和響應(yīng)。確保在面對(duì)已知威脅時(shí)，DNS服務(wù)器能夠維持運(yùn)作，并且不被篡改。

2.威脅情報(bào)

面對(duì)不斷變化和更新的攻擊手段，天下數(shù)據(jù)的Threat Adapt（威脅適應(yīng)）技術(shù)借助威脅情報(bào)進(jìn)行防御。通過(guò)對(duì)新技術(shù)的研究和分析，以及客戶自身的網(wǎng)絡(luò)環(huán)境的變化，Threat Adapt可以自動(dòng)升級(jí)來(lái)應(yīng)對(duì)新的攻擊。重要的是，Threat Adapt的安全升級(jí)是不需要進(jìn)行補(bǔ)丁或者下線才能做到，極大保證了業(yè)務(wù)的連續(xù)性。

3.可視化的中心管理

天下數(shù)據(jù)為客戶提供了一套可視化的威脅管理平臺(tái)。安全人員可以從這和個(gè)平臺(tái)中，通過(guò)圖表查看整個(gè)網(wǎng)絡(luò)環(huán)境的攻擊方向以及攻擊趨勢(shì)來(lái)把握情況。同時(shí)，安全人員可以使用內(nèi)置或者自定義的報(bào)告框架來(lái)更快速地對(duì)事件進(jìn)行追溯排查。

4.硬件防護(hù)

天下數(shù)據(jù)也提供硬件形態(tài)的數(shù)據(jù)包檢測(cè)系統(tǒng)，在攻擊抵達(dá)DNS服務(wù)器前進(jìn)行攔截。

我們常說(shuō)：攻擊只需要一個(gè)點(diǎn)，而安全要做到整個(gè)面。面對(duì)越來(lái)越多的攻擊，我們不僅不能習(xí)慣于防護(hù)的手段，更不能習(xí)慣于防護(hù)的對(duì)象上。攻擊者在不斷地尋找新的攻擊點(diǎn)，而我們對(duì)于防御是否也需要更多地思考防御的對(duì)象？天下數(shù)據(jù)的特點(diǎn)其實(shí)并不在于給DNS提供了一套安全解決方案；對(duì)他們而言，他們更偏向于他們提供了一套優(yōu)秀的DNS系統(tǒng)——高效、易管理，而在這之上，安全——只是他們DNS系統(tǒng)的一個(gè)很重要特點(diǎn)。他們的理念，不是給一個(gè)產(chǎn)品附加了安全的能力，而是他們的產(chǎn)品本身就具有強(qiáng)大的安全能力。

本文鏈接：http://m.51huadong.com/cloundnews/11004147.html