DNS威胁及缓解措施大盘点

ICANN 希望在所有不安全域名上全面部署 DNSSEC。DNSSEC 在 DNS 基础上又添一层安全。全面部署 DNSSEC 可确保终端用户连接与特定域名绑定的真实网站或其他服务。ICANN 声明道：尽管不能解决互联网所有安全问题，但 DNSSEC 确实保护了互联网关键部分——目录查找功能，补充了 SSL (https:) 等保护 “会话” 的其他技术，并为有待开发的安全改善铺平了道路。

DNSSEC 技术自 2010 年左右便已有之，但并未广泛部署。亚太地区互联网地址注册机构亚太网络信息中心 (APNIC) 指出，全球 DNS 注册机构中只有不到 20% 部署了 DNSSEC。

DNSSEC 采用滞后使因为该功能只是可选项，且需要在安全与功能性上做取舍。

固有DNS威胁

DNS 劫持固然是最前沿的攻击方法，但其他历史更为悠久的威胁依然存在。

前面提及的 IDC/EfficientIP 调查研究发现，相比去年，大多数 DNS 威胁都已发生了改变。基于 DNS 的恶意软件 (39%) 是去年黑客最爱，但今年被网络钓鱼 (47%) 超越，紧跟其后的是 DDoS 攻击 (30%)、误报触发 (26%) 和 域名锁定攻击 (26%)。

专家称，DNS 缓存中毒，或者说 DNS 欺骗，也依然十分普遍。攻击者可运用缓存中毒技术将恶意数据注入 DNS 解析服务器的缓存系统中，尝试将用户重定向至攻击者的站点。然后便可盗取个人信息或其他情报了。

DNS 隧道运用 DNS 协议构建隐藏通信信道绕过防火墙，是另一种形式的攻击威胁。

Palo Alto 安全团队 Unit 42 详细描述了著名 DNS 隧道攻击 OilRig：

至少从 2016 年 5 月开始，OilRig 便通过利用 DNS 隧道进行命令与控制通信的木马来盗取数据。Unit 42 在关于 OilRig 的博客文章中称，该威胁组织不断引入利用不同隧道协议的新工具。

Unit 42 指出：使用 DNS 隧道的主要缺点在于，需发送大量 DNS 查询请求才能在工具与 C2 服务器之间来回传输数据，这在监视网络 DNS 活动的机构面前无所遁形。

DNS攻击缓解

专家表示，企业可采取一些措施防止 DNS 攻击。

Talos 安全专家 William 称，双因子身份验证 (2FA) 是用户可采取的便利防御手段。2FA 很容易实现，大家现在都理解什么叫双因子身份验证了，不再对此大惊小怪。公司企业应及时更新面向公众的站点，现在早已过了可以寄希望于黑客不会找到自己头上的时代。

DNS 安全最佳实践建议也是车载斗量。我们不妨从美国国土安全部网络安全与基础设施安全局 (CISA) 的安全建议开始。

1. CISA DNS 最佳安全实践包括：

• 更新 DNS 账户密码。更新密码可终止未授权黑客目前可能持有的账户访问权。
• 审查验证 DNS 记录，确保按既定地址解析而不是重定向到别的地方。这有益于发现活跃 DNS 劫持。
• 审计公开 DNS 记录，验证是否解析至既定位置。
• 搜索与域名相关联的加密凭证，撤销所有非法请求的证书。
• 监视证书透明性日志，查找机构未请求却颁发的证书。这有助于防御者知晓是否有人尝试假冒自身或监视其用户。

2. DNS 安全供应商 NS1 建议对域名注册机构采取以下措施：

• 确保每个注册机构账户都开启了 2FA，且口令不易猜解，存放安全，不跨多个服务重复使用。
• 攻击者可能会尝试走账户恢复程序来获取域名管理权限，所以，要确保联系人信息准确且及时更新。这对 DNS 安全而言非常重要，因为域名往往在公司电子邮件账户可用前就注册了。
• 很多域名注册机构提供“锁定”服务，要求额外的安全强化步骤才可以修改域名信息。最好了解自己都有哪些“锁定”服务可用，考虑应用此类服务，尤其是要用到高价值域名上。
• 启用日志功能，以便审查做过的任何修改。

3. DNS 托管可采取的措施：

• 所有 DNS 托管账户均开启 2FA，采用强密码：不易猜解，不跨服务重用。
• 备份关键 DNS 域，以便万一发生安全事件时可以恢复。
• 考虑采用配置即代码 (configuration-as-code) 方法管理 DNS 域变动。
• 启用日志功能，以便审查做过的任何修改。

4. EfficientIP 建议：

• 实现 DNS 流量实时行为威胁检测，这可使发送到安全信息与事件管理 (SIEM) 的不再是杂乱日志而是有用安全事件。
• 采用实时 DNS 分析技术，有助于检测并挫败域名生成算法 (DGA) 恶意软件和零日恶意域名之类高级攻击。
• 网络安全编排过程中集成 DNS 与 IP 地址管理 (IPAM)，辅助自动化安全策略管理，保持策略更新、一致与可审计。

5. ICANN 的 DNS 安全检查清单如下：

• 确保所有系统安全补丁均经过审查并已应用;
• 检查日志文件，查找系统未授权访问，尤其是未授权管理员访问;
• 审查对管理员 (“root”) 权限的内部控制;
• 验证每条 DNS 记录的完整性及其修改历史;
• 强制要求足够的密码复杂度，尤其是密码长度;
• 确保密码不与其他用户共享;
• 保证密码从不以明文存储或传输;
• 实施定期密码修改策略;
• 实施密码输错锁定策略;
• 确保 DNS 域记录经 DNSSEC 签名，DNS 解析服务器执行 DNSSEC 验证;
• 确保电子邮件域名具备以发送方策略框架 (SPF) 和/或 域名密钥识别邮件 (DKIM) 协议实现的域消息身份验证机制，并保证实施了自身电子邮件系统上其他域名提供的此类策略。

【本文是51CTO专栏作者“李少鹏”的原创文章，转载请通过安全牛（微信公众号id:gooann-sectv）获取授权】

戳这里，看该作者更多好文

（编辑：厦门网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!