随着俄乌战争网络战的升级，DNS安全再次成为业界关注的焦点。无论是去年3月NSA发布的保护性DNS(PDNS)推荐指南，还是战争期间俄罗斯主权互联网核心——DNS服务的大规模开放，都表明DNS安全威胁，无论是针对关键基础设施还是企业网络，都在不断升级。

IDC和Efficient IP最近的一项研究调查了北美、欧洲和亚太地区的1100多家公司。结果显示，87%的受访者受到过DNS攻击。据分析师称，DNS攻击造成的平均损失约为95万美元。研究人员还注意到，通过DNS窃取数据的案例也急剧增加：26%的受访者曾通过这种方式窃取敏感的客户数据，而这一数字在2020年仅为16%。

为了避免DNS攻击造成的重大损失，我们总结了五种最常见的DNS攻击类型以及相应的对策。

01、DNS放大攻击

DNS放大攻击是DDoS攻击的一种流行形式，在这种攻击中，目标系统被来自公共DNS服务器的查询响应淹没。工作原理：攻击者使用受害者的地址作为源地址，向公共DNS服务器发送DNS名称查询，这会导致公共DNS服务器的响应被发送到目标系统。

攻击者通常会查询尽可能多的域名信息，以最大化放大效果。通过使用僵尸网络，攻击者可以轻松生成大量虚假的DNS查询。此外，由于响应是来自有效服务器的合法数据，因此很难防止DNS放大攻击。

02、DNS/缓存中毒

在这种类型的攻击中，攻击者利用DNS服务器中的漏洞来接管它们。在缓存中毒期间，攻击者将恶意数据注入DNS解析器的缓存系统，将用户重定向到他们选择的网站。个人或其他数据通常在那里被盗。

如果网络罪犯控制了DNS服务器，他们就可以操纵缓存的信息(DNS中毒)。DNS缓存中毒代码经常出现在垃圾邮件或钓鱼电子邮件发送的URL中。DNS服务器可以访问其他DNS服务器的缓存，因此这种类型的攻击可能会广泛传播。DNS中毒的主要风险是数据被盗。

03、DNS隧道

另一种流行且经验丰富的攻击模式是DNS隧道。这些攻击使用DNS协议，通过客户端-服务器模型注入恶意软件和其他数据。使用这些数据有效载荷，网络罪犯可以接管DNS服务器，然后可能访问其管理功能和驻留在其上的应用程序。

DNS隧道通过DNS解析器在攻击者和目标之间建立隐藏连接，可以绕过防火墙，被用来实施数据泄露等攻击。在大多数情况下，DNS隧道需要一个可以连接到外部网络的受感染系统作为跳板，以网络访问权限访问内部DNS服务器。

04、僵尸网络反向代理

Fast Flux是一种DNS规避技术。攻击者使用僵尸网络来隐藏他们的网络钓鱼和恶意软件活动，并避免安全扫描。攻击者将使用受感染主机的动态IP地址作为后端僵尸网络主机的反向代理。Fast Flux还可以通过结合对等网络、分布式命令和控制、基于Web的负载平衡和代理重定向，使恶意软件网络更难检测。

05、DNS劫持/重定向

DNS劫持(或DNS重定向)意味着绕过DNS查询的名称解析。网络犯罪分子通过恶意软件修改系统的TCP/IP配置，并指向其控制的DNS服务器实施DNS劫持攻击。或者，操纵受信任的DNS服务器来运行网络钓鱼活动。

DNS攻击的防御对策

组织可以采取许多措施来降低DNS攻击的风险。

01、采用更严格的访问控制

企业需要更好地控制谁可以访问他们的网络。一种方法是使用多因素或双因素身份认证。务必确保在所有相关帐户上激活MFA，并遵循适当的密码安全规则。

CISA建议公司及时更改所有可用于更改DNS记录的帐户的密码，包括公司管理的DNS服务器软件上的帐户、管理该软件的系统、DNS运营商的管理面板和DNS注册商的帐户。

02、部署零信任方案

零信任方法正变得越来越流行，部分原因是许多组织已经采用了混合和远程工作模式。零信任也有助于减轻DNS威胁。

Gartner建议安全和风险负责人实施两个与网络相关的关键零信任项目以降低风险：一个是零信任网络访问(ZTNA)，根据用户及其设备的身份、时间和日期、地理位置、历史使用模式和设备运行状态等其他因素授予访问权限。根据Gartner的说法，零信任可以提供一个安全、灵活的环境，具有更大的灵活性和更好的监控。第二种是基于身份的网络分段，这也是一种屡试不爽的方法，可以限制攻击者在网络中横向移动的能力。

03、检查/验证DNS记录

建议企业检查所有拥有和管理的域名：确保域名服务器指向正确的DNS服务器非常重要。应该检查所有权威和辅助DNS服务器上的所有DNS记录。应立即调查发现的任何差异和异常，并将其视为潜在的安全事故。