10个可能渗入你网络的DNS攻击

传统防火墙的问题是它们将端口53打开，这是用于DNS查询的。因此，它们对基于dna的放大、反射等分布式拒绝服务攻击并不总是有效。它们需要极高的计算性能才能准确地探测到基于dn的攻击，因此从成本和所需的分布点数量来看，深度检查是一种不切实际的方法。因此，传统的保护是无效的。

DNS无法关闭，如果DNS服务关闭，网络连接设备停止工作。公司失去了与互联网的连接，因此无法进行在线业务。这导致了收入的损失，客户流失和负面的品牌影响。以下是需要注意的DNS攻击:

•结合反射和放大

•在互联网上使用第三方开放解析器(不知情的同谋)

•攻击者向打开的递归服务器发送欺骗查询

•特别设计的问题，以导致一个非常大的回应

影响:

•导致受害者服务器上的DDoS

DNS缓存数据损坏

1.攻击者向递归名称服务器查询恶意站点的IP地址

2.递归服务器没有该IP地址，并查询恶意DNS解析器

3.该恶意解析器提供所请求的恶意IP地址，并将该恶意IP地址映射到其他合法网站(如www.mybank.com)。

4.递归名称服务器缓存流氓IP地址作为地址的www.mybank.com

5.用户查询递归服务器的IP地址www.mybank.com

6.递归服务器用缓存的流氓IP地址回复用户

7.客户端连接到攻击者控制的网站，认为它是www.mybank.com

影响:

可以捕获用户的登录、密码、信用卡号

•使用开始TCP连接的3路握手

•攻击者发送带有虚假目的地的源IP地址的欺骗SYN包

•服务器向这些虚假目的地发送synack

•它永远不会收到来自这些目的地的确认，连接也永远不会完成

•这些半开的连接耗尽服务器上的内存

影响

•服务器停止响应来自合法用户的新连接请求

•使用DNS作为绕过防火墙的秘密通信通道

•攻击者在DNS中通过隧道传输其他协议，如SSH、TCP或Web

•使攻击者可以很容易地通过偷来的数据或隧道IP流量而不被发现

•DNS隧道可以用作一个完整的远程控制通道的内部主机妥协。

•也用于绕过专属门户，以避免支付Wi-Fi服务

影响:

•数据溢出可以通过隧道发生

•修改DNS记录设置(通常在域名注册商处)，以指向恶意DNS服务器或域名。

•用户试图访问一个合法网站www.mybank.com

•用户被重定向到黑客控制的虚假网站，看起来很像真实的网站。

影响

•黑客获取用户名、密码和信用卡信息

•攻击者向DNS服务器发送大量查询，以解决不存在的域名/域名。

•递归服务器尝试通过执行多个域名查询来定位这个不存在的域，但没有找到它。

•在这个过程中，它的缓存被NXDOMAIN结果填充。

影响:

•合法请求的DNS服务器响应时间较慢

•DNS服务器也花费了宝贵的资源，因为它一直试图重复递归查询得到一个解析结果。

•“幻影”域被设置为攻击的一部分

•DNS解析器尝试解决多个虚幻域

•这些幻影域可能不会响应，或者会很慢

影响

•服务器在等待响应时消耗资源，最终导致性能下降或故障

•有太多突出的问题

•受感染的客户端通过在受害者的域名前随机生成子域名字符串来创建查询。例如,xyz4433.yahoo.com

•每个客户端可能只向DNS递归服务器发送这些查询的一小部分

•更难检测

•多个受感染的客户端发送这样的请求

影响

•回应可能永远不会回来从这些不存在的子域

•DNS递归服务器等待响应，未完成的查询限制耗尽

•目标域的认证服务器经历DDoS

解析器和域是由攻击者建立基于tcp的连接与DNS解析器

•当DNS解析器请求响应时，这些域名发送“垃圾”或随机包来保持它们的参与

•它们还故意放慢响应请求的速度，以保持解析器处于工作状态。这有效地锁定了DNS服务器资源。

影响

•DNS解析器建立这些连接的不当域耗尽其资源

•随机子域攻击，使用僵尸网络将目标指向一个站点或域的所有流量

•攻击涉及CPE交换机、路由器等受损设备

•提供的互联网服务提供商

•由客户提供

•这些被恶意软件感染的CPE设备形成僵尸网络，向xyz123.yahoo.com发送多个DDoS流量

影响

•受害者域名经历DDoS

•DNS解析器资源耗尽

•当CPE设备受损时，会导致其他不良影响:

•SSL代理-登录凭据盗窃等。

•针对客户pc和环境的攻击启动点(扩展折衷)

Fulton是Infoblox的产品执行副总裁。