簡析DNS攻擊的常見類型、危害與防護建議 - 網安 - 專業的網絡安全產業、社區、知識平臺

域名系統（DNS）是一種結構化的命名系統，是Internet基礎結構的關鍵部分。目前，針對DNS的攻擊已經成為網絡安全中的一個嚴重問題，每年都有數千個網站成為此類攻擊的受害者。為了保護網絡免受此類攻擊，重要的是要了解不同類型的DNS攻擊，并找到相對應的緩解方法。

拒絕服務（DoS）類攻擊

從DoS這個描述性就可以看出這類DNS網絡攻擊的特點，旨在通過耗盡機器或網絡的資源將其服務關閉，阻止用戶訪問機器或網絡。需要強調的是，這種攻擊的目的主要用于隱藏蹤跡或阻礙受害者恢復工作。

DoS攻擊通常被不法分子用來追蹤采用高級網絡保護的高價值目標， 其主要類型包括：

DNS放大

DNS放大是DoS攻擊中用于利用域名系統并加大目標網站流量的一種技術。這種攻擊方法利用的主要技術包括DNS反射和地址偽造。不法分子實施這種攻擊的手法是，向域名系統服務器發送偽造的IP數據包，請求目標的域名，使用目標的IP地址代替自己的IP地址。

所有這些查詢都由DNS服務器用目標機器的IP地址來答復。然后，受害者的服務器向每個請求發送相同的答復。這導致龐大的數據流量從受害者網絡的端口80或25流入。

資源耗盡

資源耗盡DoS攻擊是指，攻擊者旨在通過耗盡設備的資源池（CPU、內存、磁盤和網絡），在受害者的機器中觸發DoS類型的響應。內存耗盡是另一種資源耗盡DoS攻擊，比如針對電子郵件代理，威脅分子只需將數十萬個附件上傳到草稿郵件，即可觸發內存耗盡攻擊。

緩沖區溢出

緩沖區溢出攻擊（BOA）是一種漏洞或限制利用攻擊，旨在迫使系統將內存寫入錯誤的緩沖區而不是預期的位置。當內存寫入緩沖區而不是常規位置時，這會導致利用該內存的應用程序崩潰。這個問題是用C語言編寫的應用程序所特有的。

緩沖區溢出攻擊也可用于DoS之外的目的。比如說，攻擊者可能會篡改或替換基址指針或指標指針中的值，以執行惡意代碼。

ICMP洪水

這種DoS攻擊又叫ping洪水，它濫用常見的連接測試來導致目標系統崩潰、宕機、重啟或無法運行。工作原理是，一臺機器向另一臺機器發送ICMP回應請求。反過來，接收端發回答復。只要測量往返，即可確定連接強度。而攻擊者可以濫用ICMP回應答復機制使受害者的網絡不堪重負。不過攻擊者必須知道受害者的IP地址才能明確攻擊的重點。此外，攻擊者還要了解受害者路由器的相關信息。

SYN洪水

SYN洪水又叫“半開”攻擊，它濫用了TCP/IP三次握手機制。三次握手機制的工作原理是，攻擊者將通過重復發送SYN數據包，并忽略服務器端的SYN-ACK數據包，從而觸發服務器的拒絕用戶響應。

DoS類DNS攻擊防護建議：

使用合法的云托管服務；
實施系統可用性監控；
及時鎖定注冊表；
部署應用IDS/IPS工具；
定期開展自動化靜態和動態分析；
定期使用模糊測試技術；
實施數據執行預防措施；
對網頁代碼進行安全性檢查；
關注編譯器報警，并準確查找原因；
添加預警機制，并對入站ICMP消息進行處理限制；
使用邊界防火墻微調；
一旦積壓隊列已滿，使用最舊的半開TCP/IP連接。

分布式拒絕服務（DDoS）類攻擊

與簡單的DoS攻擊相比，DDoS攻擊發生的頻率更高。因為僵尸機器和僵尸網絡在暗網上很容易獲得；與DoS相比，DDoS類攻擊得逞的概率更高。

以下是DDoS類DNS攻擊的主要技術方式：

UDP洪水

這種DDoS與SYN洪水攻擊非常相似，利用用戶數據報協議（UDP）和UDP數據包。攻擊者向用戶已打開端口發送大量的垃圾 UDP數據包。主機以為這些是合法的UDP通信嘗試，試圖在該端口上偵聽，如果沒找到數據包，主機將別無選擇的回復ICMP無法抵達。這種情況會一直持續下去，直至主機的網絡資源被耗盡。

NTP放大

在網絡時間協議（NTP）攻擊中，威脅分子會向NTP服務器發送大量的UDP數據包，以達到DoS的目的。當NTP服務器的資源無法支撐解析所收到的查詢請求時，它就會崩潰。

HTTP洪水

這是一種非常有效的DDoS攻擊方式，利用了GET或POST響應機制。攻擊者向服務器發送盡可能多的合法GET或POST查詢，迫使服務器回答每一個查詢。這種資源密集型回復過程會耗盡服務器資源，從而導致服務中斷。

Fast Flux

Fast Flux攻擊目的主要用于掩蓋僵尸網絡，嚴格上來講它不是一種攻擊，而是僵尸網絡運營商用來逃避檢測的一種規避方法。借助Fast Flux，威脅分子可以在受感染的主機之間快速切換，從而使他們無法被檢測工具發覺。

反射式跨站點腳本（XSS）

在反射式跨站點腳本攻擊（XSS）模式中，威脅分子會濫用由接收請求的應用程序發出的HTPP響應。這么做的目的是，發現接收HTTP請求的應用程序是否在收到查詢時執行任何類型的數據檢查。一些不安全的網站會原樣返回搜索詞。威脅分子可以利用這種不當的數據處理做法在URL中附加惡意參數，實施XSS攻擊。

DDoS類DNS攻擊防護建議：

執行深度數據包檢查；
應用流量清理過濾器；
抑制ICMP數據包的系統響應率；
執行定期流量分析；
及時關注IP 的安全聲譽；
嚴格執行JavaScript解析；
驗證IP來源；
禁用monlist；
實施訪問控制；
加強員工網絡安全意識教育，不點擊可疑鏈接和郵件；
正確使用Web應用程序防火墻。

DNS 劫持類攻擊

發生DNS劫持攻擊時，網絡攻擊者會操縱域名查詢的解析服務，導致訪問被惡意定向至他們控制的非法服務器，這也被成為DNS投毒或DNS重定向攻擊。

DNS 劫持攻擊在網絡犯罪領域也很常見。DNS劫持活動還可能破壞或改變合規DNS服務器的工作。除了實施網絡釣魚活動的黑客外，這還可能由信譽良好的實體（比如ISP）完成，其這么做是為了收集信息，用于統計數據、展示廣告及其他用途。此外，DNS服務提供商也可能使用流量劫持作為一種審查手段，防止訪問特定頁面。

DNS劫持類攻擊主要的技術手段：

DNS欺騙

DNS欺騙又叫DNS緩存中毒，是網絡犯罪分子用來誘騙用戶連接到他們建立的虛假網站而不是合法網站的一種方法。有人通過域名系統請求訪問網站，而DNS服務器回應不準確的IP地址時，這被認為是DNS欺騙攻擊。然而，不僅僅是網站容易受到這種攻擊。黑客還可以使用這種方法，訪問電子郵件賬戶及其他私密數據。

DNA隧道

網絡流量可以使用DNS隧道的方式繞過網絡過濾器和防火墻等機制，以建立另外的數據傳輸通道。啟用DNS隧道后，用戶的連接將通過遠程服務器路由傳輸互聯網流量。不幸的是，黑客經常將此用于惡意目的。被惡意使用時，DNS隧道是一種攻擊策略，數據通過DNS查詢來傳遞。除了通過平常會阻止這類流量的網絡秘密發送數據外，這還可用于欺騙內容、避免過濾或防火墻檢測。

DNS重新綁定

DNS重新綁定是一種網絡攻擊方法，利用瀏覽器緩存的長期特性，欺騙受害者的瀏覽器在輸入域名時聯系惡意站點。攻擊者可以使用任何聯網設備（包括智能手機）來實施攻擊，不需要任何類型的身份驗證。受害者必須禁用瀏覽歷史記錄或打開瀏覽器隱身窗口，才能禁用緩存。利用該漏洞，攻擊者可以將受害者瀏覽器對域名的請求，重新路由到托管有害內容的非法服務器。

DNS拼寫仿冒

DNS拼寫仿冒是一種受DNS劫持啟發的社會工程攻擊技術，它使用域名中的錯別字和拼寫錯誤。常見的DNS拼寫仿冒攻擊始于攻擊者注冊一個域名，這個域名和目標的網站域名非常相似。攻擊者隨后搭建一個虛假網站，網站內容旨在說服用戶提供敏感信息，包括登錄密碼、信用卡資料及其他個人信息。

DNS劫持類攻擊防護建議：

關閉不需要的DNS解析器；
在合法的DNS解析器處部署防火墻；
將名稱服務器與DNS解析器分開；
開展及時有效的漏洞管理和修復工作；
對DNS注冊商實施客戶端鎖定；
確保使用支持DNSSEC的DNS服務商；
始終啟用DNSSEC配置功能；
為使用加密的VPN連接；
實施路由器密碼安全政策。