【51CTO.com快译】域名系统(DNS)是我们的信任根源,也是互联网最重要的部分之一。它是一项关键任务服务,因为如果它发生故障,企业的网站随之宕机。
DNS是含有名称和数字的虚拟数据库。它是对企业来说很关键的其他服务的基石。这包括电子邮件、网站访问、IP语音(VoIP)和文件管理。
你希望键入域名后,确实进入到预期的目的地。只有在实际攻击发生、成为新闻,DNS漏洞才备受关注。比如在2018年4月,为Myetherwallet管理域名的公共DNS服务器被劫持,客户被重定向到网络钓鱼网站。许多用户称账户中金额变少,这才引起了公众对DNS漏洞的极大关注。
DNS已存在很长时间导致了安全问题。按照设计,它是网络上的一项开放服务,未得到适当的监控,传统的安全解决方案也无法提供有效的保护。
DNS缓存中毒是什么?
DNS服务器存在着漏洞,攻击者可以钻空子来接管服务器。DNS缓存中毒攻击是黑客最常用的攻击方法之一。
攻击者控制DNS服务器后,可以篡改缓存信息,这就是DNS中毒。通过垃圾邮件或网络钓鱼电子邮件发送的URL中经常能找到DNS缓存中毒的代码。这类电子邮件会试图提醒用户注意需要立即引起注意的事件,因而需要点击所附的URL,进而感染计算机。横幅广告和图片常用于将用户重定向到这些受感染的网站。
然后你试图访问金融网站或任何其他网站时,攻击者可以通过将你重定向到虚假网站,控制你访问的网站。攻击者可以将你引到某个网页,该网页启动脚本,可以将恶意软件、击键记录程序或蠕虫下载到你的设备上。
DNS服务器访问其他DNS服务器的缓存,这就是它传播的方式,规模可能非常庞大。
DNS缓存中毒的风险
DNS中毒的主要风险是窃取数据。医院、金融机构网站和在线零售商是常见的目标,很容易被欺骗,这意味着任何密码、信用卡或其他个人信息都可能受到危及。此外,在你的设备上安装击键记录程序的风险可能导致你访问的其他网站暴露用户名和密码。
另一个重大风险是,如果互联网安全提供商的网站被欺骗,那么用户的计算机可能暴露在病毒或特洛伊木马等另外的威胁面前,这是由于不会执行有效的安全更新。
据EfficientIP声称,DNS攻击每年的平均成本是2236万美元,其中23%的攻击来自DNS缓存中毒。
防止DNS缓存中毒攻击
企业可以采取多个措施来防止DNS缓存中毒攻击。一个措施是,DNS服务器应该配置成尽量少依赖与其他DNS服务器的信任关系。采用这种配置方式将使攻击者极难使用他们自己的DNS服务器来破坏目标服务器。
应该采取的另一个措施是应将DNS服务器设置成只有所需的服务才被允许运行。不需要的额外服务在DNS服务器上运行只会增加攻击途径。
安全人员还应确保使用的是最新版本的DNS。较新版本的BIND具有加密安全事务ID和端口随机化等功能,有助于防止缓存中毒攻击。
对最终用户进行教育对于防止这种攻击也很重要。最终用户应接受培训,学会识别可疑网站,如果在连接到网站之前收到SSL警告,不点击“忽略”按钮。他们还应接受相应的教育,学会识别通过社交媒体帐户发来的网络钓鱼邮件或网络钓鱼活动。
为防止缓存中毒攻击应采取的其他措施还有:只存储与请求的域名有关的数据,并限制响应,只提供关于请求的域名的信息。
DNSSEC是解决方案
缓存中毒工具可用于帮助企业防止这种攻击。最广泛使用的缓存中毒预防工具是DNSSEC(域名系统安全扩展)。它由互联网工程任务组开发,提供安全的DNS数据身份验证。
部署后,计算机将能够确认DNS响应是否合法,而目前无法确定响应是真还是假。它还能够验证域名根本不存在,这有助于防止中间人攻击。
DNSSEC将验证根域名,这有时称为“签署根”。最终用户试图访问网站时,其计算机上的stub解析器从递归名称服务器请求该网站的IP地址。服务器请求该记录后,它还请求区域DNSEC密钥。然后,密钥将用于验证IP地址记录与权威服务器上的记录相同。
接下来,递归名称服务器将验证地址记录来自权威名称服务器。然后,它将验证该记录是否已被篡改,并解析正确的域名来源。如果来源被人篡改,那么递归名称服务器将不允许连接到该网站。
DNSSEC正变得越来越普遍。许多政府机构和金融机构都要求使用DNSSEC,因为发布未签名区域无视DNS弱点,并使你的系统易遭到各种欺骗攻击。企业考虑部署它以保护数据非常重要。
原文标题:How to protect your infrastructure from DNS cache poisoning,作者:Mark Dargin
【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】