事件響應必備：DNS攻擊與防御矩陣

攻擊者采用了哪些DNS攻擊技術，哪些組織可以幫助事件響應團隊檢測、緩解和預防這些技術？FIRST近日發布的DNS攻擊與防御矩陣提供了答案。

DNS作為互聯網基礎架構的一項核心服務，安全問題嚴峻，各種攻擊層出不窮。F5發布的數據顯示，DNS/DDoS攻擊已經成為主要網絡安全威脅之一。并且攻擊手段逐漸變得復雜和隱蔽，如DNS隧道、DNS流量劫持攻擊等，對網絡安全和數據隱私提出了更高的要求。

不僅是攻擊技術的多樣化和復雜化，DNS攻擊的檢測、緩解和預防所涉及的實體和措施同樣趨于復雜化，這給處理DNS攻擊事件的企業事件響應團隊帶來不小難度。

面對以上挑戰，由來自政府、商業和教育組織的計算機安全事件響應團隊(CSIRT)組成的協會FIRST推出了DNS攻擊與防御矩陣。

FIRST目前在全球擁有600多名成員。在眾多特殊興趣小組(SIG)中，DNS濫用興趣小組負責編制了DNS攻擊與防御矩陣。

“CERT不斷接到雪片般飛來的DNS濫用報告，同時又嚴重依賴DNS分析和基礎設施來保護網絡。”DNS濫用興趣小組指出：“DNS攻擊與防御矩陣從全球事件響應社區的角度解讀檢測和緩解DNS濫用的國際習慣規范，這對于開放互聯網的穩定性、安全性和彈性至關重要。”

21種DNS攻擊技術

DNS攻防矩陣定義了21種DNS濫用技術，包括DNS欺騙、本地遞歸解析器劫持、DNS作為拒絕服務攻擊載體或命令控制通信通道、二級域名惡意注冊等。

為幫助用戶、事件響應團隊和不同利益相關者提升DNS安全事件響應效率，DNS攻擊防御矩陣提供了“檢測”、“緩解”和“預防”三個版本。例如，在DNS緩存中毒事件中，事件響應團隊可以通過“緩解矩陣”查看哪些實體可以幫助緩解事件。”

以下為三個版本的局部截圖：

檢測：

緩解：

預防：

DNS攻防矩陣涉及的實體（利益相關者）包括從注冊商、注冊管理機構和各種提供商（托管、應用程序服務、威脅情報）到CSIRT和ISAC（信息共享和分析中心）以及執法和公共安全機構的所有DNS安全利益相關者。

值得注意的是，DNS攻防矩陣目前不包括攻擊者可能與DNS攻擊技術結合使用的其它技術，也沒有涵蓋事件響應者在處理DNS攻擊時可以探索的相關政策、政府和司法途徑。

DNS安全五大趨勢

未來，DNS安全將呈現以下五大發展趨勢：

（1）全球化趨勢：DNS安全問題是全球性問題，需要全球范圍內的安全協作和共享，未來DNS安全將更多呈現國際化、全球化的趨勢。

（2）多維度保護：未來DNS安全需要多種技術手段的協同應用，例如DNSSEC、HTTPS等，將多個安全點的保護形成全面地多維度保護。

（3）智能化趨勢：隨著人工智能和機器學習技術的不斷發展，未來DNS安全將更加智能化、自適應和自我防御。

（4）DANE與DoH趨勢：新興的DNS技術DANE和DoH，它們可以幫助解決DNS緩存污染、欺騙、劫持等問題，未來會越來越多地應用到實際領域。

（5）強調人員教育：未來DNS安全也將越來越重視人員教育，為管理員和用戶提供更好的安全意識和知識，使他們能夠更好地應對DNS安全挑戰。

DNS安全是互聯網安全的重點之一，隨著互聯網快速發展，未來DNS將更加全球化、多維度、智能化，DNS安全防御也需要不斷引入新技術、新手段，加強協作和共享，本文介紹的DNS攻擊與防御矩陣也將隨之更新和擴展，是事件響應團隊必備的參考工具之一。