如何保護(hù)基礎(chǔ)架構(gòu)免受DNS緩存中毒攻擊
當(dāng)公司通過互聯(lián)網(wǎng)訪問VoIP和電子郵件時,都依賴于DNS,所以您必須保證您的DNS服務(wù)器免受DNS欺騙攻擊,可以采取DNSSEC(Domain Name System Security Extensions,DNS安全擴(kuò)展)方案來解決。
域名系統(tǒng)(DNS)是我們信任的根源,也是互聯(lián)網(wǎng)最重要的一個組成部分。它是一項關(guān)鍵服務(wù),一旦它發(fā)生故障,企業(yè)的網(wǎng)絡(luò)必然受到影響。
DNS是名稱和數(shù)字的虛擬數(shù)據(jù)庫,它是企業(yè)其他關(guān)鍵服務(wù)的支柱,比如:電子郵件、互聯(lián)網(wǎng)站點(diǎn)訪問,互聯(lián)網(wǎng)協(xié)議語音(VoIP)和文件管理。
你希望當(dāng)鍵入域名后,通過DNS能夠到達(dá)你想去的地方。然而,通常在發(fā)生攻擊之前,很多企業(yè)對DNS的漏洞沒有過多的關(guān)注。例如:在2018年4月,管理Myetherwallet域的公共DNS服務(wù)器被劫持,客戶被重定向到網(wǎng)絡(luò)釣魚站點(diǎn)。 許多用戶報告說他們的帳戶中有資金流失,這引起了公眾對DNS漏洞的關(guān)注。
事實(shí)上,DNS的安全問題已存在很長時間。根據(jù)設(shè)計,DNS是網(wǎng)絡(luò)上的開放式服務(wù),之初沒有得到適當(dāng)?shù)谋O(jiān)控,傳統(tǒng)的安全解決方案無法有效保護(hù)。
如何保護(hù)您的基礎(chǔ)架構(gòu)免受DNS緩存中毒攻擊
什么是DNS緩存中毒?
DNS服務(wù)器存在漏洞,攻擊者可以利用這些漏洞來攻擊它們。 DNS緩存中毒攻擊就是黑客最常用的攻擊方法之一。
當(dāng)攻擊者控制DNS服務(wù)器后,他們可以修改緩存信息,這是DNS中毒。通過垃圾郵件或網(wǎng)絡(luò)釣魚電子郵件發(fā)送的URL中,經(jīng)常可以找到DNS緩存病毒的代碼。這些電子郵件會嘗試提醒用戶注意,聲稱這是一份重要郵件,是你需要立即引起注意的事件。此時,用戶只要單擊郵件中的URL,病毒就會感染用戶電腦。此外,一些橫幅廣告和圖片通常用于將用戶重定向到這些受感染的網(wǎng)站。
然后,當(dāng)用戶通過請求鏈接重定向到虛假站點(diǎn),訪問金融站點(diǎn)或者其他任何站點(diǎn)時,攻擊者就可以控制用戶的去向。攻擊者可將用戶發(fā)送到啟動腳本的頁面,該腳本將會把惡意軟件、密鑰記錄器或者蠕蟲下載到用戶的設(shè)備。
此外,通過DNS服務(wù)器訪問其他DNS服務(wù)器的緩存,這就是它傳播的方式,并且可能是非常大規(guī)模的。
DNS緩存中毒有何風(fēng)險?
DNS緩存中毒的主要風(fēng)險是竊取數(shù)據(jù)。 DNS緩存中毒攻擊的最喜歡的目標(biāo)是醫(yī)院,金融機(jī)構(gòu)網(wǎng)站和在線零售商。這些目標(biāo)容易被欺騙,這意味著任何密碼,信用卡或其他個人信息都可能受到損害。此外,在用戶設(shè)備上安裝密鑰記錄器的風(fēng)險,可能會導(dǎo)致用戶訪問其他站點(diǎn)時暴露其用戶名和密碼。
另一個重大風(fēng)險是,如果互聯(lián)網(wǎng)安全提供商的網(wǎng)站被欺騙,那么用戶的計算機(jī)可能會受到其他威脅(如:病毒或特洛伊木馬)的影響,因為一旦被攻擊用戶則不會執(zhí)行合法的安全更新。
據(jù)EfficientIP稱,DNS攻擊的年平均成本為223.6萬美元,其中23%的攻擊來自DNS緩存中毒。
如何防止DNS緩存中毒攻擊?
那么,企業(yè)究竟該如何防止DNS緩存中毒攻擊?筆者認(rèn)為要從以下幾點(diǎn)出發(fā):
第一,DNS服務(wù)器應(yīng)該配置為盡可能少地依賴與其他DNS服務(wù)器的信任關(guān)系。以這種方式配置將使攻擊者更難以使用他們自己的DNS服務(wù)器來破壞目標(biāo)服務(wù)器。
第二,企業(yè)應(yīng)該設(shè)置DNS服務(wù)器,只允許所需的服務(wù)運(yùn)行。因為在DNS服務(wù)器上運(yùn)行不需要的其他服務(wù),只會增加攻擊向量大小。
第三,安全人員還應(yīng)確保使用最新版本的DNS。較新版本的BIND具有加密安全事務(wù)ID和端口隨機(jī)化等功能,可以幫助防止緩存中毒攻擊。
第四,用戶的安全教育對于防止這些攻擊也非常重要。最終用戶應(yīng)接受有關(guān)識別可疑網(wǎng)站的培訓(xùn),如果他們在連接到網(wǎng)站之前收到SSL警告,則不會單擊“忽略”按鈕。 他們還應(yīng)始終接受有關(guān)通過社交媒體帳戶識別網(wǎng)絡(luò)釣魚電子郵件或網(wǎng)絡(luò)釣魚的教育。
除此以外,為防止緩存中毒攻擊,還應(yīng)采取的其他措施,比如:僅存儲與請求的域相關(guān)的數(shù)據(jù),并限制您的響應(yīng)僅提供有關(guān)請求的域的信息。
解決方案——DNSSEC
緩存中毒工具可用于幫助組織防止這些攻擊。 最廣泛使用的緩存中毒預(yù)防工具是DNSSEC(域名系統(tǒng)安全擴(kuò)展)。 它由Internet工程任務(wù)組開發(fā),提供安全的DNS數(shù)據(jù)身份驗證。
部署后,計算機(jī)將能夠確認(rèn)DNS響應(yīng)是否合法,而目前無法確定真實(shí)或虛假的響應(yīng)。 它還能夠驗證域名根本不存在,這有助于防止中間人攻擊。
DNSSEC將驗證根域或稱為“簽署根”。當(dāng)最終用戶嘗試訪問站點(diǎn)時,其計算機(jī)上的存根解析程序,將從遞歸名稱服務(wù)器請求站點(diǎn)的IP地址。在服務(wù)器請求記錄之后,它還將請求區(qū)域DNSEC密鑰。然后,密鑰將用于驗證IP地址記錄是否與權(quán)威服務(wù)器上的記錄相同。接下來,遞歸名稱服務(wù)器將驗證地址記錄是否來自權(quán)威名稱服務(wù)器。然后,它將驗證是否已修改并解析正確的域源。如果對源進(jìn)行了修改,則遞歸名稱服務(wù)器將不允許對站點(diǎn)進(jìn)行連接。
DNSSEC正變得越來越普遍。許多政府機(jī)構(gòu)和金融機(jī)構(gòu)都在提出DNSSEC要求,因為發(fā)布未簽名區(qū)域會忽略DNS弱點(diǎn),并使企業(yè)的系統(tǒng)對各種欺騙攻擊開放。企業(yè)需考慮部署DNSSEC,從而保護(hù)數(shù)據(jù)。
