去年8月,一些访问者试图浏览纽约时报网站时却出乎意料的发现该网站挂掉了。
中断源并不是停电或者甚至拒绝服务攻击。而是叙利亚电子军实施的对纽约时报网站的DNS进行劫持的一次攻击。
这次攻击只是2013年众多针对DNS基础设施攻击的案例之一,安全专家并不希望今年还是如此,言外之意是呼吁相关组织需要对DNS安全威胁保持警惕。
就在上个月,域名注册和主机服务商Namecheap受到了分布式DDOS攻击,目标就是Namecheap的DNS平台,此次攻击影响的大约300个网站。除了DDOS之外,攻击者也能危机域名服务器,将DNS查询重定向到一个被控制的域名服务器上。
领导IBM X-Force的安全架构师Michael Hamelin提到:"DNS提供商经常是攻击的目标,原因在于他们是可扰乱一个组织的所有服务(Web、Mail、Chat等等)的中心节点。DNS服务器是互联网的路标,一旦被打乱,组织重要服务(Web、Mail、Chat等)就不可访问。如果DNS提供商挂掉,意味着数千个客户的网络信息暂时在互联网上消失。
具体到这次纽约时报的情况,攻击发生于有人访问到了墨尔本 IT 系统的一个代理账号,他更改了 nytimes.com 和 twitter.co.uk 等其他一些域名的 DNS 记录。“这类密码窃取可能有着深远的影响,” Hamelin 表示,他建议 DNS 提供商采用双因素认证并且 “启用 IP 限制,要求所有更改都必须在网内进行”。
“组织机构需要明白,虽然他们把服务器托管和 DNS 外包出去,但不代表服务商就会采取充足的安全措施来提供非常可靠而安全的服务。”他说,“组织机构需要有遭受 DNS 攻击的心理准备并且实施对策,如使用两套不同的 DNS 系统和/或不同的托管服务商。”
“由于它本身的性质,DNS 是网络基础架构中较弱的一环,” NSFOCUS的高级产品经理 Vann Abernethy 表示,他补充说自去年以来公司在 DNS 上遭受的 DDoS 攻击和 DNS 造成的拥堵都有所增加。“不仅有它本质的原因,也因为它处于最弱的一环,因此DNS常常是攻击的诱人目标。”
“有很多种 DDoS 攻击的变体都可以用来对付 DNS 服务器,如 DNS Query Flood ——一种针对单一架构的资源消耗攻击,” Abernethy 说,“并且常常突然出现新的变体。”
其中有一个技术是通过大量的发包攻击受害者必须联系到的DNS认证服务器,该技术类似于DNS放大攻击,主要是依靠依赖于攻击者发送一个带有伪造的子域名的请求,受害者的DNS服务器是无法解析这个子域名。
幸运的是,有许多行动组织能够采取措施提供DNS的安全性。出售DNS安全服务的厂商Secure64的副总Mark Beckett建议新手不要使用开放的解析器。
“开放的解析器允许互联网上的任何人查询一个DNS解析器并且会被僵尸网络利用从事破坏活动”,“也不用让冒用的IP地址退出你的网络。组织结构必须设置外出的过滤条件来达到只有只有他们内部网络地址空间的IP地址才能退出他们的网络。这样会消除一个被感染的机器遭受spoof攻击的可能性”
如果可能的话,他也建议组织在他们的DNS服务器启用速率限制能力,还有通过监视网络去检测任何突然的高峰DNS数据包速率或入站出站的DNS流量。
“更早的发现攻击可以使组织采用防御措施(例如在路由器或防火墙上阻断攻击运输上流)在攻击变得更加严重,并对用户和网络造成影响之前” 他说。
DNS相关攻击将继续是2014的主题,Hamelin说,有很多方法去保护组织免受挟持的DNS服务器或它的客户端的攻击。
"攻击者主要集中在ROI[投资回报率],攻击一个DNS 服务器是个很好的方法造成很大影响而不花多少力气," 他说
原译文链接: http://www.oschina.net/translate/dont-forget-dns-server-security
感谢OSC上翻译作者!
