域名系统(DNS)是我们信任的根源,也是互联网最重要的组成部分之一。它是一项关键任务服务,因为如果它宕机了,企业的网络表现就会下降。
DNS是名称和数字的虚拟数据库。它用作对组织至关重要的其他服务的骨干。这包括电子邮件,互联网站点访问,互联网协议语音(VoIP)以及文件的管理。
你希望在键入域名时,您将真正进入您应该去的地方。直到实际攻击发生并使新闻发出新闻,DNS漏洞并没有得到很多关注。例如,2018年4月,管理域为MyEtherWallet域的公共DNS服务器被劫持,客户被重定向到网络钓鱼网站。许多用户报告出在其帐户中丢失资金,这带来了很多公众对DNS漏洞的关注。
DNS已经存在很长时间的事实有助于其安全问题。通过设计,它是网络上的开放式服务未正确监控,传统安全解决方案无法有效保护。
什么是DNS缓存中毒?
DNS服务器具有漏洞,攻击者可以利用才能将它们带到过来。DNS缓存中毒攻击是黑客最受欢迎的攻击方法之一。
当攻击者控制DNS服务器时,他们可以修改缓存信息;这是DNS中毒。DNS缓存中毒的代码通常可以在垃圾邮件或网络钓鱼邮件发送的url中找到。这些电子邮件试图提醒用户注意一个需要立即注意的事件,这需要点击提供的URL,从而感染他们的计算机。横幅广告和图片经常被用来将用户重定向到这些受感染的网站。
然后,攻击者可以在尝试访问金融网站或任何其他网站时控制您的位置,通过将您重定向到假设。攻击者可以将您发送到启动脚本的页面,该脚本可以向您的设备下载恶意软件,密钥记录器或蠕虫。
DNS服务器访问其他DNS服务器的高速缓存,这就是它的传播方式 - 并且可能是在大规模的大规模上。
DNS缓存中毒风险
DNS中毒的主要风险是数据被盗。医院、金融机构网站和在线零售商是受欢迎的目标,很容易被欺骗,这意味着任何密码、信用卡或其他个人信息都可能被泄露。此外,在你的设备上安装键盘记录器的风险可能会导致你访问的其他网站的用户名和密码被暴露。
另一个重要风险是如果互联网安全提供商的网站被欺骗,则由于不执行合法安全更新,用户的计算机可能会暴露于诸如病毒或特洛伊木马的额外威胁。
据高效,DNS袭击的年平均成本为22.36亿美元,23%的攻击来自DNS缓存中毒。
防止DNS缓存投毒攻击
为了防止DNS缓存投毒攻击,组织应该采取一些措施。一是DNS服务器应该配置为尽可能少地依赖与其他DNS服务器的信任关系。以这种方式配置它将使攻击者更难以使用他们自己的DNS服务器来破坏目标服务器。
应该采取的另一种措施是,应该设置DNS服务器,以便只允许运行必需的服务。在DNS服务器上运行不需要的额外服务只会增加攻击向量的大小。
安全人员还应该确保使用的是DNS的最新版本。新版本的BIND具有加密安全的事务id和端口随机化等特性,这有助于防止缓存中毒攻击。
最终用户教育在防止这些袭击方面也非常重要。最终用户应接收识别可疑站点的培训,如果他们在连接到站点之前收到SSL警告,请不要单击“忽略”按钮。他们还应始终如一地教育通过社交媒体账户识别网络钓鱼电子邮件或网络钓鱼。
应采取的其他措施防止缓存中毒攻击仅存储与所请求域相关的数据,并限制您的响应仅提供有关所请求域的信息。
DNSSEC作为解决方案
高速缓存中毒工具可用于帮助组织防止这些攻击。最广泛使用的缓存中毒预防工具是DNSSEC(域名系统安全扩展名)。它是由互联网工程任务组开发的,并提供安全的DNS数据认证。
部署时,计算机将能够确认DNS响应是否合法,而目前无法确定真实或假的。它还能够验证域名根本不存在,这可以帮助防止中间攻击中的人。
DNSSEC将验证根域或有时称为“签名根”。当终端用户试图访问一个站点时,他们计算机上的存根解析器会向递归名称服务器请求站点的IP地址。当记录被服务器请求后,它还将请求区域DNSEC密钥。然后,该密钥将用于验证IP地址记录是否与授权服务器上的记录相同。
接下来,递归名称服务器将验证地址记录来自权威名称服务器。然后,它将验证是否已被修改,并解析正确的域源。如果对源进行了修改,那么递归名称服务器将不允许出现到站点的连接。
DNSSEC变得越来越普遍。许多政府机构和金融组织正在制作DNSSEC一个要求,因为发布无符号区域忽略了DNS弱点,并将您的系统留给各种欺骗攻击。组织要考虑部署它以保护其数据非常重要。