DNS風險分析及防護研究（五）：常見的DNS威脅與防禦（中科三方）

DNS是網際網路運作重要的基礎設施，在全球網際網路運轉中扮演重要作用。網際網路中的每一次通路都開始于一次DNS查詢，進而将人們更好辨識的域名轉換為數字化的IP位址。随着網際網路的快速發展以及網絡技術的快速發展，DNS固有的缺陷逐漸暴露出來，并引發越來越多的網絡安全問題。本文重點讨論目前DNS所面臨的典型威脅，包括基于DNS的分布式拒絕攻擊、DNS緩存投毒等，分析了不同攻擊的原理和危害，并提出相應的防護建議。

1.DNS攻擊類型

1.1DNS緩存投毒

緩存投毒是最常見的一種DNS攻擊類型，其主要基于DNS緩存進行攻擊。DNS緩存是DNS系統為了節省DNS查詢時間而引入的一種機制，DNS緩存廣泛存在于全球各地開放的DNS伺服器中。當使用者對某個域名發起請求時，DNS伺服器首先會在自身DNS緩存中檢視是否有對應的結果，如果命中結果，會直接告知客戶主機，而無需進行全球解析查詢。

這種機制雖然提升了解析查詢的效率，但是為攻擊者利用DNS緩存發動攻擊提供了條件。如果攻擊者冒充權威伺服器，在權威伺服器之前，将應答資料包發送給遞歸伺服器，就能夠成功污染DNS緩存，将錯誤的解析資料傳遞給客戶主機，進而将客戶機的通路引導至攻擊者控制的伺服器上。

1.2 DNS DDoS攻擊

DNS DDoS攻擊根據攻擊目标可以分為DNS查詢攻擊和DNS反射放大攻擊兩種。DNS查詢攻擊目标是DNS伺服器，可以是遞歸伺服器也可能是權威伺服器，攻擊者通過控制大量的僵屍網絡對DNS伺服器發起解析請求，導緻DNS伺服器資源耗盡，無法響應正常的解析請求。

DNS反射放大攻擊目标是web伺服器或客戶主機，攻擊者僞造受攻擊者的IP，控制僵屍網絡對DNS伺服器發起解析請求，DNS伺服器不會驗證解析來源的真實性，而是會對所有解析請求進行應答。而DNS應答資料包往往是請求包的數十倍甚至是數百倍，是以被攻擊目标就可能承受來自DNS伺服器數百倍的攻擊流量，進而形成反射放大攻擊，耗盡被攻擊目标的網絡資源。

1.3随機子域/非存在域名攻擊

随機子域名攻擊是指攻擊者通過遞歸伺服器查詢合法域名的随機子域名或者根本不存在的子域名來進行攻擊。攻擊者通過控制僵屍網絡發送大量的此類請求，以此來耗盡權威伺服器的帶寬和資源，進而導緻權威伺服器無法提供正常的解析服務。

非存在域名攻擊類似随機子域名攻擊，攻擊者向遞歸伺服器發送大量非存在的域名請求，這些域名解析緩慢或者不能解析，以此讓DNS伺服器一直等待解析響應，進而達到消耗DNS伺服器資源，實作拒絕服務攻擊的目的。

1.4DNS劫持

從結果上來看，DNS劫持與緩存投毒十分類似，也是将使用者劫持到受攻擊者控制的IP位址。但與緩存投毒不同的是，DNS劫持通常是通過直接修改域名解析記錄達成，主要有兩種方式，一種是直接控制域名管理平台權限，修改域名解析記錄，另一種是直接攻擊權威域名伺服器，修改區域檔案内的資源記錄。DNS劫持對于企業和機構客戶而言影響非常嚴重，它會導緻失去對域名的控制，造成客戶的流失，業務的嚴重受損。

2.防禦及緩解措施

2.1 DNSSEC

從目前來看，DNSSEC是解決DNS安全問題最有效的方式之一。DNSSEC是指通過數字簽名和公鑰來實作DNS資料的完整性和可靠性。權威域名伺服器用自身的私鑰來簽名資源記錄，然後遞歸伺服器用權威伺服器的公鑰來認證應答資料，如果認證成功，則表明接收到的資料确實來自權威伺服器，如果認證失敗，則表明接收到的資料是僞造的，就會抛棄資料。由中科三方自研的二代雲解析系統已經具備DNSSEC功能，能夠有效應對DNS緩存投毒、DNS劫持等攻擊手段，確定DNS解析資料的準确性。

2.2 Anycast

Anycast是一種網絡路由方式，通過部署anycast，提供相同服務的一組伺服器可以使用相當的IP位址，客戶請求的資料将會被轉發到這組伺服器中路由拓撲結構最近的一台主機，因而可以起到有效抵禦DDoS攻擊的效果。如果攻擊者利用僵屍網絡對DNS伺服器發動DDoS攻擊，這些巨量的網絡資訊會通過anycast轉發到不同DNS伺服器上，進而緩解單一伺服器的運作壓力。

2.3響應速率限制

響應速率限制是指權威伺服器可以統計來自相同DNS查詢所對應的DNS響應頻次，并設定發送次數的門檻值。如果某一時間段内，發送響應的頻次超過設定的門檻值，權威伺服器就會停止發送響應。如果在一段時間内，權威伺服器沒有收到高于門檻值的查詢，則取消限制。這樣就有效保護了權威伺服器遠離DDoS攻擊。

但這種方式同樣具有一些局限性，一方面它隻對權威伺服器有效，無法應用于遞歸伺服器，另一方面，攻擊者可以通過發送一組不同的查詢繞過限制規則。

2.4設定遞歸伺服器查詢權限

利用DNS實作反射放大攻擊的關鍵點在于，大部分開放式的遞歸伺服器可以讓任何人執行DNS查詢請求，是以DNS遞歸伺服器設定一定的接入權限，保證授權的使用者才能執行DNS查詢請求，能夠有效降低DNS反射放大攻擊的危害。

綜上所述，DNS由于其自身設計方面的缺陷以及其在網際網路中的基礎地位，導緻針對DNS的攻擊事件愈發顯著，DNS的可靠性和穩定性下降，嚴重影響網絡的穩定運作，是以加強DNS安全風險防控能力至關重要，可以通過采用DNSSEC技術、Anycast技術等多種網絡安全技術提升DNS的安全性能，為使用者提供更加安全可靠的DNS服務。