Cloudflare：為什么DNS安全很重要？

為什么DNS安全很重要？

幾乎所有網(wǎng)絡(luò)流量都需要使用標(biāo)準(zhǔn)DNS查詢，這為DNS攻擊（例如DNS劫持和路徑攻擊）創(chuàng)造了機(jī)會(huì)。這些攻擊可以將網(wǎng)站的入站流量重定向到該網(wǎng)站的偽造副本，從而收集敏感的用戶信息并使企業(yè)承擔(dān)主要責(zé)任。防御DNS威脅的最廣為人知的方法之一就是采用DNSSEC協(xié)議。

什么是DNSSEC？

像許多Internet協(xié)議一樣，DNS系統(tǒng)在設(shè)計(jì)時(shí)并未考慮安全性，并且存在一些設(shè)計(jì)限制。這些限制與技術(shù)進(jìn)步相結(jié)合，使攻擊者很容易出于惡意目的劫持DNS查找，例如將用戶發(fā)送到可以分發(fā)惡意軟件或收集個(gè)人信息的欺詐性網(wǎng)站。DNS安全擴(kuò)展（DNSSEC）是為緩解此問題而創(chuàng)建的安全協(xié)議。DNSSEC通過對(duì)數(shù)據(jù)進(jìn)行數(shù)字簽名來保護(hù)其有效性，從而防止受到攻擊。為了確保安全的查找，簽名必須在DNS查找過程中的每個(gè)級(jí)別進(jìn)行。

此簽名過程類似于用筆在法律文件上簽名的人。該人使用別人無法創(chuàng)建的唯一簽名進(jìn)行簽名，法院專家可以查看該簽名并驗(yàn)證文件是否由該人簽名。這些數(shù)字簽名可確保數(shù)據(jù)不被篡改。

DNSSEC在DNS的所有層上實(shí)施分層的數(shù)字簽名策略。例如，在“ google.com”查找的情況下，根DNS服務(wù)器將為.COM名稱服務(wù)器簽名一個(gè)密鑰，然后.COM名稱服務(wù)器將為google.com權(quán)威名稱服務(wù)器簽名一個(gè)密鑰。

盡管始終首選提高安全性，但DNSSEC設(shè)計(jì)為向后兼容，以確保傳統(tǒng)DNS查找仍能正確解析，盡管沒有增加安全性。DNSSEC旨在與其他安全措施（例如SSL / TLS）配合使用，作為整體Internet安全策略的一部分。

DNSSEC創(chuàng)建了一個(gè)父子信任關(guān)系，一直到根區(qū)域。不能在DNS的任何層上破壞此信任鏈，否則請(qǐng)求將對(duì)路徑攻擊開放。

要關(guān)閉信任鏈，需要對(duì)根區(qū)域本身進(jìn)行驗(yàn)證（證明沒有篡改或欺詐），而這實(shí)際上是在人工干預(yù)下完成的。有趣的是，在所謂的“根區(qū)域簽名儀式”上，來自世界各地的選定個(gè)人開會(huì)，以公開且經(jīng)審核的方式簽署了根DNSKEY RRset。

涉及DNS的常見攻擊有哪些？

DNSSEC是一種功能強(qiáng)大的安全協(xié)議，但不幸的是，它目前尚未得到普遍采用。由于缺乏采用以及其他潛在漏洞，而且DNS是大多數(shù)Internet請(qǐng)求的組成部分，因此DNS成為惡意攻擊的主要目標(biāo)。攻擊者發(fā)現(xiàn)了多種針對(duì)和利用DNS服務(wù)器的方法。以下是一些最常見的方法：

DNS欺騙/緩存中毒：這是將偽造的DNS數(shù)據(jù)引入DNS解析器的緩存中的攻擊，導(dǎo)致解析器為域返回錯(cuò)誤的IP地址。流量可能會(huì)被轉(zhuǎn)移到惡意計(jì)算機(jī)或攻擊者期望的其他任何地方，而不是去正確的網(wǎng)站。通常，這將是用于惡意目的（例如分發(fā)惡意軟件或收集登錄信息）的原始站點(diǎn)的副本。

DNS隧道：此攻擊使用其他協(xié)議通過DNS查詢和響應(yīng)建立隧道。攻擊者可以使用SSH，TCP或HTTP將惡意軟件或被盜信息傳遞到DNS查詢中，而大多數(shù)防火墻都無法檢測(cè)到。

DNS劫持：在DNS劫持中，攻擊者將查詢重定向到其他域名服務(wù)器。這可以通過惡意軟件或未經(jīng)授權(quán)的DNS服務(wù)器修改來完成。盡管結(jié)果類似于DNS欺騙，但這是完全不同的攻擊，因?yàn)樗哪繕?biāo)是名稱服務(wù)器上網(wǎng)站的DNS記錄，而不是解析程序的緩存。

NXDOMAIN攻擊：這是一種DNS泛洪攻擊，攻擊者利用請(qǐng)求將DNS服務(wù)器淹沒，以請(qǐng)求不存在的記錄，以試圖為合法流量造成拒絕服務(wù)。這可以使用復(fù)雜的攻擊工具來完成，該工具可以為每個(gè)請(qǐng)求自動(dòng)生成唯一的子域。NXDOMAIN攻擊還可以針對(duì)遞歸解析器，目標(biāo)是用垃圾請(qǐng)求填充解析器的緩存。

虛擬域攻擊：虛擬域攻擊的結(jié)果與DNS解析器上的NXDOMAIN攻擊相似。攻擊者設(shè)置了一堆“虛擬”域服務(wù)器，它們要么非常緩慢地響應(yīng)請(qǐng)求，要么根本不響應(yīng)。然后，解析器受到對(duì)這些域的大量請(qǐng)求，解析器被束縛在等待響應(yīng)的狀態(tài)，從而導(dǎo)致性能降低和服務(wù)拒絕。

隨機(jī)子域攻擊：在這種情況下，攻擊者向一個(gè)合法站點(diǎn)的幾個(gè)隨機(jī)，不存在的子域發(fā)送DNS查詢。目標(biāo)是為域的權(quán)威名稱服務(wù)器創(chuàng)建拒絕服務(wù)，從而使無法從名稱服務(wù)器中查找網(wǎng)站。副作用是，服務(wù)于攻擊者的ISP也可能會(huì)受到影響，因?yàn)槠溥f歸解析器的緩存將加載錯(cuò)誤的請(qǐng)求。

域鎖定攻擊：攻擊者通過設(shè)置特殊的域和解析器來與其他合法解析器創(chuàng)建TCP連接，來組織這種形式的攻擊。當(dāng)目標(biāo)解析器發(fā)送請(qǐng)求時(shí)，這些域?qū)l(fā)回緩慢的隨機(jī)數(shù)據(jù)包流，從而占用了解析器的資源。

基于僵尸網(wǎng)絡(luò)的CPE攻擊：這些攻擊是使用CPE設(shè)備（客戶內(nèi)部設(shè)備；這是服務(wù)提供商提供的供其客戶使用的硬件，例如調(diào)制解調(diào)器，路由器，電纜箱等）。攻擊者破壞了CPE，設(shè)備成為了僵尸網(wǎng)絡(luò)的一部分，該僵尸網(wǎng)絡(luò)用于對(duì)一個(gè)站點(diǎn)或域執(zhí)行隨機(jī)子域攻擊。

防御基于DNS的攻擊的最佳方法是什么？

除了DNSSEC，DNS區(qū)域的運(yùn)營(yíng)商還可以采取進(jìn)一步措施來保護(hù)其服務(wù)器。過度配置基礎(chǔ)架構(gòu)是克服DDoS攻擊的一種簡(jiǎn)單策略。簡(jiǎn)而言之，如果您的名稱服務(wù)器可以處理比您預(yù)期多幾倍的流量，那么基于卷的攻擊就很難淹沒您的服務(wù)器。

Anycast路由是另一個(gè)可以破壞DDoS攻擊的便捷工具。Anycast允許多臺(tái)服務(wù)器共享一個(gè)IP地址，因此，即使一臺(tái)DNS服務(wù)器關(guān)閉，也將有其他服務(wù)器在運(yùn)行。保護(hù)DNS服務(wù)器安全的另一種流行策略是DNS防火墻。

什么是DNS防火墻？

DNS防火墻是一種可以為DNS服務(wù)器提供許多安全和性能服務(wù)的工具。DNS防火墻位于用戶的遞歸解析器和他們嘗試訪問的網(wǎng)站或服務(wù)的權(quán)威名稱服務(wù)器之間。防火墻可以提供限速服務(wù)，以關(guān)閉試圖淹沒服務(wù)器的攻擊者。如果服務(wù)器確實(shí)由于攻擊或任何其他原因而導(dǎo)致停機(jī)，則DNS防火墻可以通過提供來自緩存的DNS響應(yīng)來使操作員的站點(diǎn)或服務(wù)正常運(yùn)行。

除了其安全功能外，DNS防火墻還可以為DNS運(yùn)營(yíng)商提供性能解決方案，例如更快的DNS查找和降低的帶寬成本。了解有關(guān)Cloudflare的DNS防火墻的更多信息。

DNS作為安全工具

DNS解析器也可以配置為為其最終用戶（瀏覽Internet的人們）提供安全解決方案。一些DNS解析器提供的功能包括內(nèi)容過濾（可以阻止已知的分發(fā)惡意軟件和垃圾郵件的站點(diǎn)）和僵尸網(wǎng)絡(luò)保護(hù)（可以阻止與已知僵尸網(wǎng)絡(luò)的通信）。這些安全的DNS解析器中有許多是免費(fèi)使用的，用戶可以通過更改其本地路由器中的單個(gè)設(shè)置來切換到這些遞歸DNS服務(wù)之一。Cloudflare DNS強(qiáng)調(diào)安全性。

DNS查詢是否私有？

另一個(gè)重要的DNS安全問題是用戶隱私。DNS查詢未加密。即使用戶使用不跟蹤其活動(dòng)的DNS解析器（如1.1.1.1），DNS查詢也會(huì)以純文本格式在Internet上傳輸。這意味著攔截查詢的任何人都可以看到用戶正在訪問哪些網(wǎng)站。

缺乏隱私會(huì)影響安全性，在某些情況下還會(huì)影響人權(quán)；如果DNS查詢不是私有的，則政府可以更輕松地審查Internet，攻擊者可以跟蹤用戶的在線行為。

TLS上的DNS和HTTPS上的DNS是用于加密DNS查詢的兩個(gè)標(biāo)準(zhǔn)，以防止外部方能夠讀取它們。Cloudflare DNS支持這兩個(gè)標(biāo)準(zhǔn)。Cloudflare還與其他組織合作以幫助提高DNS安全性-例如，幫助Mozilla在其Firefox瀏覽器中啟用基于HTTPS的DNS，以保護(hù)用戶。