域名解析系統（DNS）仍在不斷受到攻擊，而且威脅變得越來越復雜，勢頭絲毫也未減弱。

IDC報告稱，過去一年，全球82%的企業都面臨著DNS攻擊。IDC最近發布了其第五期年度《全球DNS威脅報告》，該報告是基于IDC代表DNS安全供應商EfficientIP在2019年上半年對全球904家機構進行的一項調查得出的。

據IDC的研究，與一年前相比，DNS攻擊造成的平均成本上升了49%。在美國，DNS攻擊的平均成本超過了127萬美元。近一半的受訪者（48%）承認，他們經歷一次DNS攻擊就會損失50多萬美元，近10%的受訪者表示，他們每一次泄露事件都會損失500多萬美元。此外，很多美國企業也承認，他們要花一天多的時間來解決DNS攻擊問題。

IDC寫道：“令人擔憂的是，內部應用程序和云應用程序都遭到了破壞，內部應用程序停機時間增長了100%以上，是目前最常見的受損方式。DNS攻擊正從純粹暴力攻擊轉向更老練的內部網絡攻擊。這將迫使企業使用智能緩解工具來應對內部威脅。”

“海龜”DNS劫持行動

“海龜”是一種正瘋狂蔓延的DNS劫持行動，也是當今DNS威脅形勢下出現的一個實例。

思科Talos安全研究人員指出，藏在“海龜”行動背后的人正忙于利用新的基礎設施改造他們的攻擊，尋找新的受害者。

今年4月，Talos發布了一份詳細描述“海龜”的報告，稱其為“已知的第一起域名注冊機構因網絡間諜活動而被攻破的案例”。Talos介紹說，正在進行的DNS威脅行動是由國家發起的攻擊，濫用DNS來獲取訪問敏感網絡和系統所需的證書，受害者檢測不到這種攻擊方式，這說明犯罪分子在怎樣操縱DNS方面有其獨到之處。

Talos報道說，通過獲得對受害者DNS的控制權，攻擊者可以更改或者偽造互聯網上的任何數據，并非法修改DNS域名記錄，將用戶指向犯罪分子控制的服務器；而訪問這些站點的用戶永遠都不會知道。

在Talos 4月份的報告之后，“海龜”背后的黑客們似乎重整旗鼓，變本加厲地建設新的基礎設施——Talos研究人員發現這一舉動不同尋常，因此在7月份報道說：“很多攻擊者一般在被發現后都會放慢攻擊，而這一群體卻異乎尋常的厚顏無恥，一直毫不在乎地往前沖。”

此外，Talos聲稱，他們還發現了一種新的DNS劫持技術，我們對這種技術的評估相當有信心，它與“海龜”背后的犯罪分子有關。這種新技術類似于犯罪分子破壞域名服務器記錄，并用偽造的A記錄響應DNS請求。

Talos寫道：“這種新技術只在一些非常有針對性的攻擊行動中被觀察到過。我們還發現了一批新的受害者，包括一個國家代碼頂級域（ccTLD）注冊中心，它負責管理使用該國代碼的每個域的DNS記錄；然后，將這些受害者作為跳板再去攻擊其他的政府機構。不幸的是，除非做出重大改進，讓DNS更安全，否則這類攻擊還會繼續下去。”

DNSpionage攻擊鳥槍換炮

DNS面臨的另一種新威脅是名為DNSpionage的攻擊行動。

DNSpionage最初利用了兩個包含招聘信息的惡意網站，通過嵌入宏精心制作的Microsoft Office文檔來攻擊目標。惡意軟件支持與攻擊者進行HTTP和DNS通信。攻擊者正在繼續開發新的攻擊技術。

Talos寫道，“犯罪分子對DNSpionage惡意軟件的持續開發表明，攻擊者一直在尋找新方法來避免被發現。DNS隧道是一些犯罪分子常用的一種防探測方法，最近的DNSpionage實例表明，我們必須保證DNS與企業的正常代理或者網絡日志一樣受到密切監視。DNS本質上是互聯網電話簿，當它被篡改后，任何人都很難辨別他們在網上看到的內容是否合法。”

DNSpionage行動的目標是中東以及阿聯酋政府領域的各類企業。

Talos拓展主管Craig Williams介紹說：“DNS被攻擊或者說缺乏防范措施最大的問題就是自滿。”企業認為DNS是穩定的，不需要擔心。“但是，我們所看到的DNSpionage和“海龜”等攻擊恰恰相反，因為攻擊者已經知道怎樣利用這方面的漏洞來發揮其優勢——怎樣以某種方式破壞證書，對于“海龜”的情形，受害者甚至永遠不知道發生了什么。這才真有可能出問題。”

例如，如果你知道自己的域名服務器已被攻破，那么你可以強制所有人更改密碼。Williams指出，但是如果轉而去追查注冊機構，而注冊機構則指向了犯罪分子的網站，那么，你就永遠不會知道發生過什么，因為你的任何東西都沒有被碰過——這就是為什么這類新威脅如此邪惡的原因所在。

DNS物聯網風險

還有一個日益嚴重的風險是越來越多的物聯網設備。互聯網域名與數字地址分配機構（ICANN）曾經就物聯網給DNS帶來的風險撰寫過一篇論文。

ICANN指出：“物聯網之所以給DNS帶來了風險，是因為各種評估研究表明，物聯網設備可能會以我們以前從未見過的方式對DNS基礎設施造成壓力。例如，一臺支持IP的常用物聯網設備進行軟件更新，會使該設備更頻繁地使用DNS（例如，定期查找隨機域名以檢查網絡可用性），當數百萬臺設備同時自動安裝更新時，就會對某個網絡中的DNS造成壓力。”

雖然從單臺設備的角度來看，這是一個編程錯誤，但從DNS基礎設施運營商的角度來看，這可能是一種重要的攻擊途徑。ICANN稱，已經出現了小規模的類似事件，但由于制造商生產的異構物聯網設備在不斷增長，而且這些物聯網設備配備了使用DNS的控制器，因此，未來此類事件可能會更頻繁地發生。

ICANN還指出，物聯網僵尸網絡對DNS運營商的威脅會越來越大。更加難以根除由物聯網僵尸機器造成的大規模的DDoS攻擊。目前僵尸網絡的規模大約為數十萬臺機器。最著名的例子是Mirai僵尸網絡，它控制了40萬（穩態）到60萬（峰值）臺受感染的物聯網設備。Hajime僵尸網絡控制了大約40萬臺受感染的物聯網設備，但尚未發起任何DDoS攻擊。隨著物聯網的發展，這些攻擊可能會涉及數以百萬計的僵尸機器，從而導致更大規模的DDoS攻擊。

日益頻繁的DNS安全警告

英國國家網絡安全中心（NCSC）今年8月發出了關于正在進行的DNS攻擊的警告，特別強調了DNS劫持。該中心列舉了與越來越多的DNS劫持相關的一些風險，包括：

創建惡意DNS記錄。例如，可以使用惡意DNS記錄在企業熟悉的域中創建網絡釣魚網站。這可以用于對員工或者客戶進行釣魚攻擊。

獲取SSL證書。域驗證SSL證書是基于DNS記錄的創建而頒發的。例如，攻擊者可以獲取域名的有效SSL證書，該證書可用于創建旨在看起來像真實網站的網絡釣魚網站。

透明代理。最近出現的一個非常嚴重的風險涉及到透明地代理數據流來攔截數據。攻擊者修改企業的已配置域區域條目（例如，“A”或者“CNAME”記錄），把數據流指向他們自己的IP地址，而這是他們管理的基礎設施。

NCSC寫道：“一家企業可能會失去對其域的完全控制，攻擊者通常會更改域所有權的詳細信息，使其難以恢復。”

這些新威脅，以及其他的危險，導致美國政府在今年早些時候發布了關于聯邦機構可能遭受DNS攻擊的警告。

國土安全部的網絡安全和基礎設施安全局（CISA）提醒所有聯邦機構，在面對一系列全球黑客活動時必須關閉DNS。

CISA在其緊急指令中說，它正在跟蹤一系列針對DNS基礎設施的事件。CISA寫道，“已經知道多個行政分支機構的域名受到了篡改活動的影響，并通知了維護這些域名的機構。”

CISA說，攻擊者已經成功攔截和重定向了網絡和郵件數據流，并可能瞄準其他網絡服務。該機構稱，攻擊首先會破壞一個可以更改DNS記錄賬戶的用戶證書。然后，攻擊者更改DNS記錄，例如，地址、郵件交換器或者域名服務器記錄，將服務的合法地址替換為攻擊者控制的地址。

通過這些操作，攻擊者把用戶數據流引導到自己的基礎設施，以便在將其傳送給合法服務之前進行操作或者檢查（只要他們愿意）。CISA指出，這就帶來了風險，這種風險在數據流重定向之后仍然存在。

CISA稱：“由于攻擊者能夠設置DNS記錄值，他們還可以獲取企業域名的有效加密證書。這允許對重定向的數據流進行解密，從而暴露用戶提交的所有數據。由于證書對域有效，因此，最終用戶不會收到錯誤警告。”

跟上DNSSEC大潮

DNS安全供應商NS1的聯合創始人兼首席執行官Kris Beevers評論說：“對于有可能成為攻擊目標的企業，特別是那些通過其應用程序采集或者公開用戶和公司數據的企業，應向其DNS和注冊機構供應商施壓，以方便實施DNSSEC（域名系統安全擴展）和其他域安全最佳實踐，并進行標準化。他們可以利用當今市場上的技術輕松實施DNSSEC簽名和其他域安全最佳實踐。至少，他們應該與供應商和安全部門一起審核其實施。”

DNSSEC今年年初出現在新聞中，當時為了應對越來越多的DNS攻擊，ICANN呼吁社區加強工作，安裝更強大的DNS安全技術。

具體來說，ICANN希望在所有不安全的域名上全面部署DNSSEC。DNSSEC在DNS之上添加了一個安全層。ICANN說，DNSSEC的全面部署可確保最終用戶連接到真實網站或者與特定域名相對應的其他服務。ICANN稱，“盡管這并不能解決互聯網的所有安全問題，但它確實保護了互聯網的一個關鍵環節——目錄查找，加強了其他技術，例如，保護‘對話’的SSL（https:），提供平臺以便于進一步開發安全措施等。”

據亞太區域互聯網地址注冊中心（APNIC）的數據，自2010年起，DNSSEC技術就已經出現了，但尚未得到廣泛部署，只有不到20%的全球DNS注冊機構部署了該技術。

NS1的Beevers說，DNSSEC的應用一直滯后，因為它被視為是可選的，需要在安全性和功能性之間進行權衡。

傳統的DNS威脅

盡管DNS劫持可能是一線攻擊方法，但其他更傳統的威脅仍然存在。

IDC/EfficientIP的研究發現，最流行的DNS威脅與去年相比已經有所變化。網絡釣魚（47%）現在比去年最流行的基于DNS的惡意軟件（39%）更受攻擊者歡迎，其次是DDoS攻擊（30%）、誤報觸發（26%）和鎖定域攻擊（26%）。

專家指出，DNS緩存中毒，以及DNS欺騙，也是相當常見的。利用緩存中毒，攻擊者把惡意數據注入DNS解析程序的緩存系統，試圖把用戶重定向到攻擊者的網站。然后他們就可以竊取個人信息或者其他情報。

DNS隧道是另一種攻擊威脅，它使用DNS提供隱藏的通信通道，然后繞過防火墻。

Palo Alto網絡公司第42部的安全研究人員詳細描述了最著名的DNS隧道攻擊：OilRig。

OilRig至少從2016年5月便開始提供特洛伊木馬，在攻擊中使用DNS隧道發出命令并進行控制，用于竊取數據。根據第42部關于OilRig的博客文章，從那時起，犯罪團伙已經在其工具集中引入了使用不同隧道協議的新工具。

第42部稱：“Oilrig團伙不停地使用DNS隧道作為他們的C2服務器和許多工具之間通信的通道。”

DNS攻擊緩解

專家指出，企業可以采取很多措施來阻止這些攻擊。

Talos的Williams說，用戶最好的措施就是實施雙重身份驗證。“這很容易實現，所有人都明白它是什么，沒有人會對此感到驚訝。企業還應該給任何面向公眾的網站打上補丁——我們絕不應該說，‘好吧，但愿他們找不到我們’，這是不行的。”

還有很多其他建議的DNS安全最佳實踐。我們在這里匯編了一些，美國國土安全部的網絡安全和基礎設施安全局（CISA）也提供了一些。

CISA DNS最佳安全實踐包括以下建議：

?更新DNS賬戶密碼。這將終止未經授權的犯罪分子對當前可能擁有的賬戶的訪問權限。

?驗證DNS記錄，以確保它們按預期進行解析，而不是重定向到其他地方。這將有助于發現任何活動的DNS劫持。

?審核公共DNS記錄，以驗證它們是否被解析到了預期的地方。

?搜索與域相關的加密證書，吊銷任何欺詐性請求的證書。

?對于代理未請求的已頒發證書，監視證書透明日志。這將幫助防御者注意到是否有人試圖模仿他們或者監視他們的用戶。

DNS安全供應商NS1建議在注冊中心/注冊機構中采取以下步驟：

?確保在所有注冊機構或者注冊中心賬戶中啟用雙重因素身份驗證，并且密碼不容易被猜到，安全的存儲密碼，不在服務之間重復使用密碼。

?攻擊者可能會嘗試利用賬戶恢復過程來獲取對域管理的訪問權限，因此，應確保聯系詳細信息準確而且最新。這與DNS特別相關，因為在企業電子郵件賬戶可用之前注冊域名是很常見的。

?很多注冊機構和注冊中心提供“鎖定”服務，需要額外的安全增強步驟才能進行更改。了解自己可以使用的任何“鎖定”服務，并考慮應用它們，尤其是應用于高價值域名。

?確保啟用了任何可用的日志記錄，以便能夠查看所做的更改。

DNS托管的步驟：

?確保在所有DNS托管賬戶中啟用雙重因素身份驗證，并且密碼不容易被猜到，不在服務之間重復使用密碼。

?確保對關鍵DNS域進行了備份，以便在出現泄露事件后進行恢復。

?考慮使用“配置即代碼”方法來管理對DNS域的更改。

?確保啟用了任何可用的日志記錄，以便能夠查看所做的更改。

EfficientIP指出：

?對DNS數據流進行實時行為威脅檢測，把合格的安全事件而不是日志發送到SIEM。

?使用實時DNS分析有助于檢測并阻止高級攻擊，例如，DGA惡意軟件和零日惡意域等。

?在網絡安全編排過程中，把DNS與IP地址管理（IPAM）集成起來有助于實現管理安全策略的自動執行，使其保持最新、一致和可審核。

ICANN的DNS安全檢查條目如下：

?確保所有系統安全補丁均已通過審查并已應用；

?審查未經授權訪問系統的日志文件，尤其是管理員訪問；

?審查對管理員（“根”）訪問的內部控制措施；

?驗證每條DNS記錄的完整性，以及這些記錄的更改歷史；

?·強制讓密碼足夠復雜，特別是密碼長度；

?確保不與其他用戶共享密碼；

?確保從未以明文形式存儲或者傳輸密碼；

?強制定期更改密碼；

?強制執行密碼鎖定策略；

? 確保DNS區域記錄已由DNSSEC簽名，并且你的DNS解析程序執行了DNSSEC驗證；

?理想情況下，確保電子郵件域具有基于域的消息身份驗證策略（使用SPF和/或DKIM），并在電子郵件系統上強制執行其他域提供的此類策略。

作者：Michael Cooney是《網絡世界》的高級編輯，25年來一直在撰寫IT領域的文章。

編譯：Charles

原文網址：https://www.networkworld.com/article/3409719/worst-dns-attacks-and-how-to-mitigate-them.html?nsdr=true

責任編輯：周星如