域名解析系统（DNS）仍在不断受到攻击，而且威胁变得越来越复杂，势头丝毫也未减弱。

IDC报告称，过去一年，全球82%的企业都面临着DNS攻击。IDC最近发布了其第五期年度《全球DNS威胁报告》，该报告是基于IDC代表DNS安全供应商EfficientIP在2019年上半年对全球904家机构进行的一项调查得出的。

据IDC的研究，与一年前相比，DNS攻击造成的平均成本上升了49%。在美国，DNS攻击的平均成本超过了127万美元。近一半的受访者（48%）承认，他们经历一次DNS攻击就会损失50多万美元，近10%的受访者表示，他们每一次泄露事件都会损失500多万美元。此外，很多美国企业也承认，他们要花一天多的时间来解决DNS攻击问题。

IDC写道：“令人担忧的是，内部应用程序和云应用程序都遭到了破坏，内部应用程序停机时间增长了100%以上，是目前最常见的受损方式。DNS攻击正从纯粹暴力攻击转向更老练的内部网络攻击。这将迫使企业使用智能缓解工具来应对内部威胁。”

“海龟”DNS劫持行动

“海龟”是一种正疯狂蔓延的DNS劫持行动，也是当今DNS威胁形势下出现的一个实例。

思科Talos安全研究人员指出，藏在“海龟”行动背后的人正忙于利用新的基础设施改造他们的攻击，寻找新的受害者。

今年4月，Talos发布了一份详细描述“海龟”的报告，称其为“已知的第一起域名注册机构因网络间谍活动而被攻破的案例”。Talos介绍说，正在进行的DNS威胁行动是由国家发起的攻击，滥用DNS来获取访问敏感网络和系统所需的证书，受害者检测不到这种攻击方式，这说明犯罪分子在怎样操纵DNS方面有其独到之处。

Talos报道说，通过获得对受害者DNS的控制权，攻击者可以更改或者伪造互联网上的任何数据，并非法修改DNS域名记录，将用户指向犯罪分子控制的服务器；而访问这些站点的用户永远都不会知道。

在Talos 4月份的报告之后，“海龟”背后的黑客们似乎重整旗鼓，变本加厉地建设新的基础设施——Talos研究人员发现这一举动不同寻常，因此在7月份报道说：“很多攻击者一般在被发现后都会放慢攻击，而这一群体却异乎寻常的厚颜无耻，一直毫不在乎地往前冲。”

此外，Talos声称，他们还发现了一种新的DNS劫持技术，我们对这种技术的评估相当有信心，它与“海龟”背后的犯罪分子有关。这种新技术类似于犯罪分子破坏域名服务器记录，并用伪造的A记录响应DNS请求。

Talos写道：“这种新技术只在一些非常有针对性的攻击行动中被观察到过。我们还发现了一批新的受害者，包括一个国家代码顶级域（ccTLD）注册中心，它负责管理使用该国代码的每个域的DNS记录；然后，将这些受害者作为跳板再去攻击其他的政府机构。不幸的是，除非做出重大改进，让DNS更安全，否则这类攻击还会继续下去。”

DNSpionage攻击鸟枪换炮

DNS面临的另一种新威胁是名为DNSpionage的攻击行动。

DNSpionage最初利用了两个包含招聘信息的恶意网站，通过嵌入宏精心制作的Microsoft Office文档来攻击目标。恶意软件支持与攻击者进行HTTP和DNS通信。攻击者正在继续开发新的攻击技术。

Talos写道，“犯罪分子对DNSpionage恶意软件的持续开发表明，攻击者一直在寻找新方法来避免被发现。DNS隧道是一些犯罪分子常用的一种防探测方法，最近的DNSpionage实例表明，我们必须保证DNS与企业的正常代理或者网络日志一样受到密切监视。DNS本质上是互联网电话簿，当它被篡改后，任何人都很难辨别他们在网上看到的内容是否合法。”

DNSpionage行动的目标是中东以及阿联酋政府领域的各类企业。

Talos拓展主管Craig Williams介绍说：“DNS被攻击或者说缺乏防范措施最大的问题就是自满。”企业认为DNS是稳定的，不需要担心。“但是，我们所看到的DNSpionage和“海龟”等攻击恰恰相反，因为攻击者已经知道怎样利用这方面的漏洞来发挥其优势——怎样以某种方式破坏证书，对于“海龟”的情形，受害者甚至永远不知道发生了什么。这才真有可能出问题。”

例如，如果你知道自己的域名服务器已被攻破，那么你可以强制所有人更改密码。Williams指出，但是如果转而去追查注册机构，而注册机构则指向了犯罪分子的网站，那么，你就永远不会知道发生过什么，因为你的任何东西都没有被碰过——这就是为什么这类新威胁如此邪恶的原因所在。

DNS物联网风险

还有一个日益严重的风险是越来越多的物联网设备。互联网域名与数字地址分配机构（ICANN）曾经就物联网给DNS带来的风险撰写过一篇论文。

ICANN指出：“物联网之所以给DNS带来了风险，是因为各种评估研究表明，物联网设备可能会以我们以前从未见过的方式对DNS基础设施造成压力。例如，一台支持IP的常用物联网设备进行软件更新，会使该设备更频繁地使用DNS（例如，定期查找随机域名以检查网络可用性），当数百万台设备同时自动安装更新时，就会对某个网络中的DNS造成压力。”

虽然从单台设备的角度来看，这是一个编程错误，但从DNS基础设施运营商的角度来看，这可能是一种重要的攻击途径。ICANN称，已经出现了小规模的类似事件，但由于制造商生产的异构物联网设备在不断增长，而且这些物联网设备配备了使用DNS的控制器，因此，未来此类事件可能会更频繁地发生。

ICANN还指出，物联网僵尸网络对DNS运营商的威胁会越来越大。更加难以根除由物联网僵尸机器造成的大规模的DDoS攻击。目前僵尸网络的规模大约为数十万台机器。最著名的例子是Mirai僵尸网络，它控制了40万（稳态）到60万（峰值）台受感染的物联网设备。Hajime僵尸网络控制了大约40万台受感染的物联网设备，但尚未发起任何DDoS攻击。随着物联网的发展，这些攻击可能会涉及数以百万计的僵尸机器，从而导致更大规模的DDoS攻击。

日益频繁的DNS安全警告

英国国家网络安全中心（NCSC）今年8月发出了关于正在进行的DNS攻击的警告，特别强调了DNS劫持。该中心列举了与越来越多的DNS劫持相关的一些风险，包括：

创建恶意DNS记录。例如，可以使用恶意DNS记录在企业熟悉的域中创建网络钓鱼网站。这可以用于对员工或者客户进行钓鱼攻击。

获取SSL证书。域验证SSL证书是基于DNS记录的创建而颁发的。例如，攻击者可以获取域名的有效SSL证书，该证书可用于创建旨在看起来像真实网站的网络钓鱼网站。

透明代理。最近出现的一个非常严重的风险涉及到透明地代理数据流来拦截数据。攻击者修改企业的已配置域区域条目（例如，“A”或者“CNAME”记录），把数据流指向他们自己的IP地址，而这是他们管理的基础设施。

NCSC写道：“一家企业可能会失去对其域的完全控制，攻击者通常会更改域所有权的详细信息，使其难以恢复。”

这些新威胁，以及其他的危险，导致美国政府在今年早些时候发布了关于联邦机构可能遭受DNS攻击的警告。

国土安全部的网络安全和基础设施安全局（CISA）提醒所有联邦机构，在面对一系列全球黑客活动时必须关闭DNS。

CISA在其紧急指令中说，它正在跟踪一系列针对DNS基础设施的事件。CISA写道，“已经知道多个行政分支机构的域名受到了篡改活动的影响，并通知了维护这些域名的机构。”

CISA说，攻击者已经成功拦截和重定向了网络和邮件数据流，并可能瞄准其他网络服务。该机构称，攻击首先会破坏一个可以更改DNS记录账户的用户证书。然后，攻击者更改DNS记录，例如，地址、邮件交换器或者域名服务器记录，将服务的合法地址替换为攻击者控制的地址。

通过这些操作，攻击者把用户数据流引导到自己的基础设施，以便在将其传送给合法服务之前进行操作或者检查（只要他们愿意）。CISA指出，这就带来了风险，这种风险在数据流重定向之后仍然存在。

CISA称：“由于攻击者能够设置DNS记录值，他们还可以获取企业域名的有效加密证书。这允许对重定向的数据流进行解密，从而暴露用户提交的所有数据。由于证书对域有效，因此，最终用户不会收到错误警告。”

跟上DNSSEC大潮

DNS安全供应商NS1的联合创始人兼首席执行官Kris Beevers评论说：“对于有可能成为攻击目标的企业，特别是那些通过其应用程序采集或者公开用户和公司数据的企业，应向其DNS和注册机构供应商施压，以方便实施DNSSEC（域名系统安全扩展）和其他域安全最佳实践，并进行标准化。他们可以利用当今市场上的技术轻松实施DNSSEC签名和其他域安全最佳实践。至少，他们应该与供应商和安全部门一起审核其实施。”

DNSSEC今年年初出现在新闻中，当时为了应对越来越多的DNS攻击，ICANN呼吁社区加强工作，安装更强大的DNS安全技术。

具体来说，ICANN希望在所有不安全的域名上全面部署DNSSEC。DNSSEC在DNS之上添加了一个安全层。ICANN说，DNSSEC的全面部署可确保最终用户连接到真实网站或者与特定域名相对应的其他服务。ICANN称，“尽管这并不能解决互联网的所有安全问题，但它确实保护了互联网的一个关键环节——目录查找，加强了其他技术，例如，保护‘对话’的SSL（https:），提供平台以便于进一步开发安全措施等。”

据亚太区域互联网地址注册中心（APNIC）的数据，自2010年起，DNSSEC技术就已经出现了，但尚未得到广泛部署，只有不到20%的全球DNS注册机构部署了该技术。

NS1的Beevers说，DNSSEC的应用一直滞后，因为它被视为是可选的，需要在安全性和功能性之间进行权衡。

传统的DNS威胁

尽管DNS劫持可能是一线攻击方法，但其他更传统的威胁仍然存在。

IDC/EfficientIP的研究发现，最流行的DNS威胁与去年相比已经有所变化。网络钓鱼（47%）现在比去年最流行的基于DNS的恶意软件（39%）更受攻击者欢迎，其次是DDoS攻击（30%）、误报触发（26%）和锁定域攻击（26%）。

专家指出，DNS缓存中毒，以及DNS欺骗，也是相当常见的。利用缓存中毒，攻击者把恶意数据注入DNS解析程序的缓存系统，试图把用户重定向到攻击者的网站。然后他们就可以窃取个人信息或者其他情报。

DNS隧道是另一种攻击威胁，它使用DNS提供隐藏的通信通道，然后绕过防火墙。

Palo Alto网络公司第42部的安全研究人员详细描述了最著名的DNS隧道攻击：OilRig。

OilRig至少从2016年5月便开始提供特洛伊木马，在攻击中使用DNS隧道发出命令并进行控制，用于窃取数据。根据第42部关于OilRig的博客文章，从那时起，犯罪团伙已经在其工具集中引入了使用不同隧道协议的新工具。

第42部称：“Oilrig团伙不停地使用DNS隧道作为他们的C2服务器和许多工具之间通信的通道。”

DNS攻击缓解

专家指出，企业可以采取很多措施来阻止这些攻击。

Talos的Williams说，用户最好的措施就是实施双重身份验证。“这很容易实现，所有人都明白它是什么，没有人会对此感到惊讶。企业还应该给任何面向公众的网站打上补丁——我们绝不应该说，‘好吧，但愿他们找不到我们’，这是不行的。”

还有很多其他建议的DNS安全最佳实践。我们在这里汇编了一些，美国国土安全部的网络安全和基础设施安全局（CISA）也提供了一些。

CISA DNS最佳安全实践包括以下建议：

▷更新DNS账户密码。这将终止未经授权的犯罪分子对当前可能拥有的账户的访问权限。

▷验证DNS记录，以确保它们按预期进行解析，而不是重定向到其他地方。这将有助于发现任何活动的DNS劫持。

▷审核公共DNS记录，以验证它们是否被解析到了预期的地方。

▷搜索与域相关的加密证书，吊销任何欺诈性请求的证书。

▷对于代理未请求的已颁发证书，监视证书透明日志。这将帮助防御者注意到是否有人试图模仿他们或者监视他们的用户。

DNS安全供应商NS1建议在注册中心/注册机构中采取以下步骤：

▷确保在所有注册机构或者注册中心账户中启用双重因素身份验证，并且密码不容易被猜到，安全的存储密码，不在服务之间重复使用密码。

▷攻击者可能会尝试利用账户恢复过程来获取对域管理的访问权限，因此，应确保联系详细信息准确而且最新。这与DNS特别相关，因为在企业电子邮件账户可用之前注册域名是很常见的。

▷很多注册机构和注册中心提供“锁定”服务，需要额外的安全增强步骤才能进行更改。了解自己可以使用的任何“锁定”服务，并考虑应用它们，尤其是应用于高价值域名。

▷确保启用了任何可用的日志记录，以便能够查看所做的更改。

DNS托管的步骤：

▷确保在所有DNS托管账户中启用双重因素身份验证，并且密码不容易被猜到，不在服务之间重复使用密码。

▷确保对关键DNS域进行了备份，以便在出现泄露事件后进行恢复。

▷考虑使用“配置即代码”方法来管理对DNS域的更改。

▷确保启用了任何可用的日志记录，以便能够查看所做的更改。

EfficientIP指出：

▷对DNS数据流进行实时行为威胁检测，把合格的安全事件而不是日志发送到SIEM。

▷使用实时DNS分析有助于检测并阻止高级攻击，例如，DGA恶意软件和零日恶意域等。

▷在网络安全编排过程中，把DNS与IP地址管理（IPAM）集成起来有助于实现管理安全策略的自动执行，使其保持最新、一致和可审核。

ICANN的DNS安全检查条目如下：

▷确保所有系统安全补丁均已通过审查并已应用；

▷审查未经授权访问系统的日志文件，尤其是管理员访问；

▷审查对管理员（“根”）访问的内部控制措施；

▷验证每条DNS记录的完整性，以及这些记录的更改历史；

▷·强制让密码足够复杂，特别是密码长度；

▷确保不与其他用户共享密码；

▷确保从未以明文形式存储或者传输密码；

▷强制定期更改密码；

▷强制执行密码锁定策略；

▷ 确保DNS区域记录已由DNSSEC签名，并且你的DNS解析程序执行了DNSSEC验证；

▷理想情况下，确保电子邮件域具有基于域的消息身份验证策略（使用SPF和/或DKIM），并在电子邮件系统上强制执行其他域提供的此类策略。

作者：Michael Cooney是《网络世界》的高级编辑，25年来一直在撰写IT领域的文章。

编译：Charles

原文网址：https://www.networkworld.com/article/3409719/worst-dns-attacks-and-how-to-mitigate-them.html?nsdr=true

责任编辑：周星如