DNS攻击及缓解措施大盘点

DNS解析作为域名与网站间的链条，面对网络攻击时往往首当其冲。

劫持、隧道、网络钓鱼、缓存中毒、DDoS攻击……DNS一直承受着各种攻击，随着黑客手段日趋复杂，DNS攻击似乎永无尽头。

国际数据公司（IDC)受DNS安全供应商EfficientIP委托于最近发布了《2020年全球DNS威胁报告》。报告称，过去一年中，全球79%的公司遭遇过DNS攻击。所有行业组织平均遭受9.5次DNS攻击。

这些数据说明了DNS在网络安全防御中的重要性，DNS不仅仅是黑客攻击的目标，同时也可以成为黑客实施攻击的重要手段。

域名劫持

域名劫持是最简单粗暴的一种DNS攻击。域名劫持的攻击目的与方式十分直接，就是通过修改域名的NS记录，将域名原本指定的DNS服务器修改为黑客可以操控的DNS，然后便可以通过修改域名解析记录的方式，将域名指向恶意IP从而达到劫持的目的。

域名劫持会使域名积累的流量被引导向恶意IP上，给域名持有者造成经济损失，甚至有可能由于恶意IP的违法经营，为域名持有者带来不必要的法律风险。

对抗域名劫持的最优方案是将解析锁定，以保证DNS服务器不被修改，甚至解析也无法随意变更。

DNS缓存投毒

DNS缓存投毒攻击是对于DNS的间接攻击。这种攻击中黑客不会直接去攻击域名的权威解析服务器，而是向攻击目标的本地递归解析服务器数据库中投入伪造的解析记录缓存。

当用户发起访问请求时，第一时间来询问本地DNS，得到的回答是黑客之前投入的虚假记录，因而导致用户被引导向恶意的IP地址。

防止缓存投毒攻击只需要刷新DNS服务器缓存即可，将解析记录的TTL值配置为相对较小的数值，缩短缓存存在时间，从而便可以避免持续被投毒攻击影响。

DDoS攻击

分布式拒绝服务攻击（DDoS，Distributeddenialofserviceattack）是一种最广为人知的攻击方式。DDoS的影响非常广泛，以至于任意的网络运营商或网站管理员听到DDoS都谈虎色变。

虽然通过增大带宽、增加服务器的方式可以提升可抵抗的DDoS流量上限，但其终究会对网路造成一定的负载压力。

DDoS攻击又分为多种类型：

1、洪水攻击，通过设置傀儡机向目标IP发送大量数据流以充塞其带宽，致使其性能降低甚至宕机。

2、反射放大攻击，黑客通过伪造受害者IP向DNS发起询问请求，致使DNS不停给受害者IP返回结果数据包，也会造成受害者负载过量而瘫痪。

3、利用协议造成的攻击如TCPSYN攻击，黑客利用伪造IP向服务器发送大量SYN包，然后对于服务器返回的SYN/ACK包不予应答，使服务器耗费资源等待SYNTime，重复该步骤致使服务器资源被耗尽。

4、畸形数据包攻击，即向受害者发送带有畸形数据的数据包，直接造成目标服务器系统崩溃。

应对DDoS攻击除采用云服务器分担数据流扩展负载带宽外，配备大流量清洗系统从来访数据流中清洗掉恶意与无效访问流量则可以更好的从源头防护DDoS攻击。

面对DNS攻击，作为网络管理员应未雨绸缪，提前做好针对各种攻击类型的防护措施，但是再好的准备面对黑客纷繁复杂的进攻手段也无法保证坚不可摧，遭遇攻击后及时止损亡羊补牢也是必要时刻的有效手段。

总而言之，域名与解析的安全防护作为互联网安全体系的桥头堡，适当为其规划并投入一定资源必然是物有所值的。

关注中科三方 sfn.cn，了解更多互联网资讯。