2018年的主流DNS攻擊,你中招了嗎?

2020-12-20 帝恩思DNS

在2017年初,即使已經使用了數十年,域名系統(DNS)仍然是網際網路的致命弱點。 這是因為網際網路上幾乎所有東西都需要DNS,但DNS服務依賴的協議既不可靠又容易被冒充。出於這兩個原因,攻擊者將DNS定位為直接攻擊或顛覆以支持其他攻擊。

現在已經是年底,我們都好奇在2018年中看到DNS威脅發生了什麼。對此有相關安全企業對2018年進行深入研究,注意到各種類型的DNS攻擊及其作為拒絕服務武器的使用。在整個一年中,看到的DNS事件主要分為三類。

DNS water torture拒絕服務攻擊

有相關客戶報告偽隨機子域或「DNS water torture attacks」每秒有50萬個連接攻擊他們的網絡。 即使網絡不是攻擊的直接目標,也會發生中斷。 例如,服務提供商仍然感受到DNS water torture通過他們的網絡並使他們的管道飽和的影響。

為了實施DNS water torture攻擊,攻擊者利用殭屍網絡(或thingbot)針對權威名稱伺服器發出數千個針對虛假子域的DNS請求。因為請求是針對不存在的子域或主機,所以請求消耗主解析器上的內存和處理資源。如果內聯中間DNS解析器,他們也會被這些虛假請求堵塞。對於合法的最終用戶,所有這些資源消耗意味著一切運行緩慢甚至停止,從而導致拒絕服務。

客戶看到數百、數千或在某些情況下數百萬個不存在域的DNS請求。仔細檢查後,每個請求似乎都是偽隨機生成的無意義字符串,機器人儘可能快地生成請求,然後將它們充分填滿。

您可以做些什麼呢

第一步是了解您的DNS環境:了解您擁有的解析器,它們的位置以及組織的正常流量負載。這意味著主動監控DNS伺服器,不僅是為了正常運行時間,還包括負載和資源使用情況。如果遭受DNS water torture攻擊,您能多快將其識別為DDoS攻擊而不是操作事故?如果沒有適當的監控和安全培訓,您的團隊可能會失去寶貴的幾分鐘或幾小時的寶貴正常運行時間,試圖找出客戶無法訪問您網站的原因。令人震驚的是,關閉DNS的攻擊也可以取出入站電子郵件(因為客戶無法解析DNS MX記錄),因此即使客戶投訴也可能無法聯繫到您。

下一步是確保您擁有DDoS響應策略,其中包括確保DNS伺服器的彈性,DDoS抓取/限制技術解決方案,和/或為您的團隊制定警報/升級計劃。由於這些攻擊對大多數組織來說都是一個可信的威脅,因此DNS中斷的影響應根據預期損失進行量化,並與業務領導一起進行審核。

反射DNS DDoS攻擊

還有客戶看到使用欺騙性DNS數據包的舊式反射DDoS攻擊。 由於DNS使用非有狀態UDP協議,因此攻擊者可以「反映」開放DNS解析器的虛假DNS請求,以生成DNS請求的風暴,以淹沒受害者,如圖1所示:

DNS反射攻擊如何工作

當發生這種情況時,客戶會看到來自各種前所未見的地址的大量DNS查詢。這些請求通常用於無意義的域甚至是「localhost」地址,因為它們是由DNS water torture攻擊引起的機器人生成的。有時攻擊者會使用像雅虎或谷歌這樣的大型網際網路DNS解析器來反射他們的攻擊,因此源地址可能來自那裡。

如果阻止您Internet連接的DNS請求未登錄實時地址,您可能會看到返回ICMP目標無法訪問的消息從網絡中彈回,這也會增加流量堵塞。在這些類型的攻擊中,DNS反射攻擊的行為類似於網絡容量DDoS,旨在通過流量填充管道,而不是針對特定服務或主機。

您可以做些什麼呢

如前所述,準備對拒絕服務攻擊的響應對任何依賴於Internet的組織都是謹慎的。同樣重要的是不要成為問題的一部分。 您應該確保沒有可用於反射DDoS攻擊的任何可通過Internet訪問的資源。這包括DNS解析器,但也可以包括從不受信任的來源(如memcached伺服器)或簡單服務發現協議(SSDP)、網絡時間協議(NTP)或字符生成器協議(CharGEN)等服務接受不受限制的可欺騙流量的任何服務。

過期域名接管和重定向

一些客戶報告了他們的一些網站突然開始重定向到奇怪的、聲名狼藉的網站這樣的一系列攻擊。 正常的目標網頁或電子商務網站已成為賭博網站、虛假購物網站甚至惡意軟體推送的廣告頁面。 攻擊者註冊了客戶舊的過期域名,並建立虛假網站以劫持正常的客戶流量。由於這些網站中的許多網站已經擁有大量訪問者,因此對於詐騙者來說,這是一種半合法的方式來挖掘免費網站流量。

不幸的是,攻擊者對流量所做的事情遠非合法。原始域的用戶在不知情下被提供惱人的廣告、騙局消息、點擊欺詐站點或惡意軟體。更糟糕的情況就是,詐騙者會放置原始網站的冒名頂替版本以竊取客戶的登錄憑據或支付卡信息等。

您可以做些什麼呢

發生這種情況的原因之一是有些公司企業會忘記他們擁有的域名以及其何時到期。域名清單流程的所有權應集中到一個團隊或角色,並分配用於跟蹤和管理續訂的職責。還應對域名所有權執行強身份驗證和最小權限原則。當某個域名準備棄用時,應該有一個計劃的去平臺化過程,該過程可能涉及轉發到新的域名一段時間,直到遷移所有用戶。

保持警惕

DNS安全仍然對Internet的服務存在威脅。 因此,它需要注意和保護。 這些是我們目前常見的DNS攻擊,因此您應該確保您的IT和安全團隊了解它們。記住DNS是如何工作的,並且安全性需要評估三個主要組件:DNS伺服器、域名所有權和DNS客戶端流量。攻擊者知道這些是關鍵的弱點,且沒有得到足夠的審查。各個企業需要為此做好一切安全準備。

相關焦點

  • 深入了解最近普遍存在的DNS劫持攻擊
    通過控制域,黑客能夠生成有效的TLS證書,允許他們發起攔截敏感憑證和其他數據的中間人攻擊。在2018年11月27日,思科的Talos研究部門發表了一篇文章,概述了一項名為「 DNSpionage 」 的複雜網絡間諜活動的輪廓。
  • EfficientIP:2018年全球DNS威脅報告 77%的組織遭受DNS攻擊
    DNS-DHCP-IPAM 供應商 EfficientIP 發布了《全球 DNS 威脅報告 2018》白皮書,報告指出,2018 年有 77% 的組織至少經歷過一次基於 DNS 的網絡攻擊。當前網絡攻擊形式越來越複雜,越來越難以發現和預防,不斷增加的網絡攻擊頻率和種類,以及具有全球影響力的最新法規,使得 2018 年成為網絡安全十分重要的一年。
  • 攻擊從200w到4000w QPS, 我選擇了這樣的DNS應對方式…….
    不久前,某企業的DNSQuery查詢攻擊持續兩周,期間最大流量從200wQPS 到400wQPS再到4000wQPS,查詢攻擊數量持續大幅度地提升。針對短期內野蠻生長的DNS攻擊,此企業做出了一連串的防禦措施,帝恩思有幸參與其中,總結了整個過程並分享給廣大用戶,給大家提供一些參考。
  • dns優選是什麼意思? 為你科普dns優選以及如何選擇適合自己的DNS
    dns優選是什麼意思? 為你科普dns優選以及如何選擇適合自己的DNS時間:2018-03-27 07:49   來源:三聯   責任編輯:沫朵 川北在線核心提示:原標題:dns優選是什麼意思?為你科普dns優選以及如何選擇適合自己的DNS 很多人可能是第一次聽到dns優選這個詞,表示有點不明白,小編能理解,平時我們在上網的時候會發現無法打開網頁或者網頁打開緩慢,這其實都跟DNS有關係的。如果你還不知道的話接下來就由小編來給   原標題:dns優選是什麼意思?
  • 常見的DDOS攻擊及原理-應用層
    隨著計算機與網絡技術的發展,計算機的處理能力迅速增長,內存大大增加,同時也出現了千兆、萬兆、百級級別的網絡,這使得DoS攻擊的困難程度加大了-目標對惡意攻擊包的"消化能力"加強了不少,例如你的攻擊軟體每秒鐘可以發送3,000個攻擊包,但我的主機與網絡帶寬每秒鐘可以處理10,000個攻擊包,這樣一來攻擊就不會產生什麼效果。
  • 全面提升BINDDNS伺服器安全
    (3)利用這臺主機作為攻擊其他機器的「跳板」。應對以上這些安全隱患方法有兩個最有效的原則:1.選擇安全沒有缺陷的DNS版本:BIND主要分為三個版本:(1)v4,1998年多數UNIX捆綁的是BIND4,已經被多數廠商拋棄了,除了OpenBSD還在使用。
  • 誰動了站長的奶酪 Dns.la專治網絡「蝸牛病」
    據調查發現,七月份很多DNS提供商被攻擊的直接原因就是因為利益而默許了大量的私服、棋牌類網站接入,這無疑是給安裝了個定時炸彈,隨時都有可能被引爆,為此DNSLA自主研發了域名安全審核機制,杜絕一切非法網站的接入,給用戶提供一個乾淨穩定的DNS解析平臺。
  • 國外一域名註冊商停止中國DNS服務
    主題: 終止DNS區域解析服務(僅中國代理商) - 將於2011年8月1日生效尊敬的代理商,在過去的幾個月HEXONET處理了若干大規模的來自中國的DDoS的攻擊,針對國內代理商管理的域名。雖然HEXONET的系統設計有很強的可擴展性系統性能和一些同業最好的系統工程,但是這些DDoS攻擊的規模和強度開始影響到我們其他國家的客戶服 務。
  • 詳解DNS 與 CoreDNS 的實現原理
    方法:funcNextOrFailure(name string, next Handler, ctx context.Context, w dns.ResponseWriter, r *dns.Msg)(int, error) {if next !
  • 外媒統計2017年最易被盜網絡密碼 你中招了嗎?
    外媒統計2017年最易被盜網絡密碼 你中招了嗎?外媒統計2017年最易被盜網絡密碼 你中招了嗎? 法國BFMTV電視臺12月20日報導稱,美國安全服務機構Splasha data日前公布了2017年100個最易被盜取的密碼排名,提醒人們提高網絡安全意識。
  • 攻擊仍在持續,你中招了嗎?
    進入5月份畢業答辯季節來臨,不少學生電腦裡的答辯論文也不幸「中招」無法打開。這一消息,給眾多準備畢業正寫畢業論文的大學生們帶來「一萬伏的暴擊」!據悉,病毒是全國性的,疑似通過校園網傳播,十分迅速。不完全統計,已經有幾十所高校發布了防範勒索病毒軟體的通知,上百萬高校生電腦或面臨風險。
  • dns是什麼意思 - 百度經驗
    下面和大家分享dns是什麼;如果你覺得這個分享對你有幫助,請將之分享到朋友圈或微博中,讓更多小夥伴知多點。dns是domain name service的縮寫,它的作用簡單的說,可以理解為:將域名翻譯成ip地址。
  • 國內外免費DNS解析總結
    要使用DnsExit的免費DNS解析服務,需要首先註冊DnsExit帳戶,在登陸之後點擊「Manage Domain」開通免費dns服務,之後才可以添加域名。然後再點「Manage Domain」就可以看到自己添加的域名了。然後再點「Domain DNS」後面的「Edit DNS」可以進入DNS管理界面,你可以在次添加和刪除記錄。
  • 如何評價最新的全球最快DNS1.1.1.1?
    DNS 1.1.1.1是2018年Cloudflare推出的,號稱是更快、更安全以及更注重隱私的公共DNS解析器。清一色的一百8左右的延遲,這個延遲可是比國內的dns要差的多了。目前,我國大陸地區使用的DNS主要有以下幾種:1.
  • ​Kubernetes中Coredns查詢記錄
    解析非常慢,~~~,相信你現在已經無從下手了理解內部的原理相信你可以很快上手工作中那些非常棘手的dns問題在Kubernetes中部署工作負載的主要優勢之一是無縫應用程式發現kubelet將每個Pod配置/etc/resolv.conf為使用coredns pod作為nameserver。你可以看到/etc/resolv.conf任何pod內部的內容,它們的外觀類似於:
  • 【中招】2018年河南中招理化生實驗操作考試4月1日-23日舉行,滿分30分!
    省教育廳日前發布《關於做好2018年全省中招理化生實驗操作考試工作的通知》,2018年全省中招理化生實驗操作考試成績按滿分30分計入中招考試總成績。在中招考試中,理化生實驗操作考試就是我們不可忽視的一個考試內容。2018年全省中招理化生實驗操作考試成績按滿分30分計入中招考試總成績。考試科目為物理、化學、生物三科。
  • 泉州中考2017及2018年市區達標中學錄取分數線 中招控制線
    根據泉州市教育局《關於2019年泉州市初中畢業升學考試和普通高中招生工作的意見》規定,6月12日至6月16日,泉州中考考生將進行網上填報志願!如何科學填報志願?往年錄取分數是重要的參考依據!2017及2018年泉州市中招錄取中化學卷面分數為75分,物理、化學學科分別按考試成績的90%、80%折算後計入錄取總分,即中招錄取總分為600分。2019年泉州中招錄取中化學卷面分數為100分,物理、化學學科分別按卷面考試成績的90%、60%折算後計入錄取總分,體育以滿分20分計入總分,即中招錄取總分為620分!
  • DNS攻擊及緩解措施大盤點
    DNS解析作為域名與網站間的鏈條,面對網絡攻擊時往往首當其衝。劫持、隧道、網絡釣魚、緩存中毒、DDoS攻擊……DNS一直承受著各種攻擊,隨著黑客手段日趨複雜,DNS攻擊似乎永無盡頭。國際數據公司(IDC)受DNS安全供應商EfficientIP委託於最近發布了《2020年全球DNS威脅報告》。報告稱,過去一年中,全球79%的公司遭遇過DNS攻擊。所有行業組織平均遭受9.5次DNS攻擊。
  • Linux DNS 查詢剖析(第一部分) | Linux 中國
    請注意,本系列主題並不是「DNS 工作原理」,而是與查詢 Linux 主機配置的真實 DNS 伺服器(這裡假設查詢了一臺 DNS 伺服器,但後面你會看到有時並不需要)相關的內容,以及如何確定使用哪個查詢結果,或者如何使用其它方式確定 IP 地址。1) 其實並沒有名為「DNS 查詢」的系統調用
  • 本地DNS攻擊原理與實例
    由上可知,DNS 攻擊的關鍵就在於偽造一個 IP 地址,返回給用戶機。對於本地的 DNS 我們可以從兩個方面進行攻擊。說明攻擊成功總結對於 DNS 攻擊,一旦攻擊成功將對用戶的信息和財產安全造成巨大的損害,直接用