分享好友 最新动态首页 最新动态分类 切换频道
DNS成网络攻击重点对象,如何构建立体化域名安全防护体系?
2024-12-26 03:07

​​疫情肆虐的三年时间,让我们重新认识了网络的重要性,线上授课、远程办公、视频会议,网络正以肉眼可见的速度改变着我们日常工作生活节奏与方式。快速发展的网络技术,实现了数据在人、物和应用之间的高速移动,带来非凡流畅的数字体验。但在这种技术所带来的的便捷性背后,同样隐藏着极大的安全隐患,网络攻击强度和危害同网络技术水平呈同步发展趋势,对全球网络秩序造成的破坏与日俱增。

根据国外知名网络安全公司Check Point Research(CPR)发布的研究报告显示,2021年全球企业遭受的网络攻击同比高涨40%,因网络攻击造成的损失估计达到了6万亿美元,而这一数据在2020年仅为1万亿美元。中国所在的亚太地区是网络攻击的重灾区。

而由于域名系统在网络互联中的特殊作用,其越来越受到网络攻击行为的关注,成为增长最为明显,破坏力最强的攻击方式之一。EfficientIP与IDC合作发布的《2022年全球DNS威胁报告》指出,在过去一年中,88%的组织遭受了与DNS相关的攻击,平均每家公司有7次,其中包括DNS隧道、DDoS攻击、DNS劫持和云配置错误滥用等技术手段。

而基础资源层则由域名系统和路由系统组成,二者组成互联网的寻址解析系统,是网络世界中的导航系统。如果域名系统遭遇攻击或发生故障,导航系统失效,信息高速公路上的各种车辆便无法正常运行,表现在现实场景中就是用户无法通过域名访问对应的站点,或者解析错误用户被引导至错误的网站。

一方面,DNS协议在设计之初只注重其可用性,并未任何信息验证机制,导致其安全性极低,几乎所有的技术防御措施都允许DNS协议类型数据报文不受限制地传输,因此极易成为攻击者利用和攻击的对象,随着时间的推移,DNS暴露的安全问题愈发明显。

另一方面,人们多关注网络基础层和网站应用层上的安全防护,而对于中间层的域名系统重视程度不够。据数据显示,全球约有68%的企业忽略对DNS系统的防护,没有对DNS解析进行有效的监测和防御,这就导致在DNS遭受攻击时,不能及时发现并作出反应,即便有所反应,也没有足够的技术手段进行防御。

1.DNS劫持

DNS劫持又称域名劫持,是攻击者利用缺陷对用户的DNS进行篡改,将域名由正常IP指向受攻击者控制的IP,从而使得访客被劫持到一个与原目标网站高度相似的虚假网站,或者是站点不可达,以此达到非法窃取用户信息或者破坏正常网络服务的目的。

常见的DNS劫持手段主要包括以下几种:

DNS欺骗

DNS欺骗又叫缓存投毒,是攻击者利用DNS缓存机制,通过在DNS缓存中投入虚假解析信息,从而使得访问者发起请求时,为其返回一个错误的IP地址。

DNS隧道

DNS隧道通过DNS解析器在攻击者和目标之间创建隐藏连接,可绕过防火墙,用于实施数据泄露等攻击。在大多数情况下,DNS隧道需要借助能够连接外网的受感染系统作为跳板,来访问具有网络访问权限的内部DNS服务器。

DNS重新绑定

DNS重新绑定,是利用浏览器缓存的长期特性,将受害者浏览器对域名的请求,重新路由到托管有害内容的非法服务器。

2.拒绝服务(DoS)类攻击

DoS攻击主要类型包括:

DNS放大

DNS放大是一种非对称的DDo攻击,攻击者利用域名系统服务器中的漏洞,通过发起带有虚假目标IP的较小的查询请求,使得被欺骗目标成为更大DNS响应的接收者,从而达到持续消耗带宽容量使网络饱和的攻击效果,进而使得正常的解析请求无法正常进行。

缓冲区溢出

缓冲区溢出攻击旨在迫使系统将内存写入错误的缓冲区而不是预期的位置。当内存写入缓冲区而不是常规位置时,这会导致利用该内存的应用程序崩溃。

ICMP洪水

攻击者试图用 ICMP 回显请求包使目标设备不堪重负,当 ICMP ping 产生的大量回应请求超出了系统的最大限度,就会使得系统耗费所有资源来进行响应直至再也无法处理有效的网络信息流。

SYN洪水

SYN洪水利用TCP协议缺陷,发送大量伪造的TCP连接请求,导致被攻击服务器保持大量SYN_RECV状态的“半连接”,并且会重试默认5次回应第二个握手包,塞满TCP等待连接队列,资源耗尽。

3.分布式拒绝服务攻击

DDOS攻击类型主要包括:

UDP洪水

攻击者向用户发送大量的垃圾UDP数据包,主机尝试与这些UDP包进行通信,如果没有找到数据包,主机将别无选择的回复。这种情况会一直持续下去,直至主机的网络资源被耗尽。

NTP放大

攻击者通过向NTP服务器发送大量的UDP数据包,以达到DoSS的目的。当NTP服务器的资源无法支撑解析所收到的查询请求时,系统就会崩溃。

HTTP洪水

攻击者向服务器发送大量合法GET或POST查询,迫使服务器回答每一个查询。这种资源密集型回复过程会耗尽服务器资源,从而导致服务中断。

DNS攻击常规应对方式

针对以上各种DNS攻击手段,常规的应对措施主要包括:

(1)严格的访问控制

采用更严格的网络访问控制策略,使用双因素或多因素身份验证,以更好地控制哪些用户可以访问他们的网络。

(2)部署零信任方案

零信任能提供一个安全且有弹性的环境,具有更大的灵活性和更好的监控,同时还能够缓解DNS威胁。

(3)DNS日常监控

及时检查域名设置的DNS服务器是否正确,检查所有权威和辅助DNS服务器上的解析记录是否指向正确IP,发现异常及时作出反应。

常规技术手段虽然能够缓解DNS攻击造成的危害,但无法真正杜绝层出不穷的DNS攻击,并对已发生的攻击产生有效应对,因此需要接入更专业的高防DNS,构建更全面、坚固的DNS安全防护体系。中科三方高防DNS具备以下几个功能,可以形成对DNS攻击更有效的防御和应对。

1.DNS健康监测

中科三方采用最新域名监测系统,可以通过Ping命令,TCP/UDP探测和HTTP(S)协议等多种手段对网络健康进行24小时轮询监测,发现异常情况及时发起告警,以供网站运营者及时作出反应。

2.弹性宽带

3.流量清洗

通过对DNS攻击进行检测和分析,对已有缓存的域名结果应答进行预构建,从而过滤掉DDoS攻击流量。当遭遇相同地址攻击或数据库中出现的恶意访问地址,会交由缓存系统进行应答,从而缓解节服务器压力。

4.DDoS防火墙

中科三方云解析配备专业的DDoS防火墙,可有效抵御DDoS,UDP Flood,ICMP,IGMP,SYN Flood,ARP攻击,非TCP/IP协议层攻击等其他多种的未知攻击,通过集成的机制对这些攻击进行处理和阻断。

5.负载均衡

中科三方云解析可以将同一个域名指向不同服务器地址,当遭受大流量DDoS攻击或高流量访问时,可以实现智能判断,将用户访问或攻击分摊到不同的服务器中,来达到负载均衡的效果。

6.宕机切换

中科三方云解析可将解析指向多个服务器地址,并提供全天候无缝宕机监测,当发现其中目标服务器宕机时,第一时间将解析切换至备用服务器,以维持网站业务的可用性。

最新文章
2024年10大AI生成PPT工具推荐(12月)
在数字化时代,AI驱动的PPT生成工具正在彻底改变我们制作和展示PPT的方式。这些工具利用人工智能技术简化创建流程,提升视觉吸引力,并增强观众的参与度。以下是10款顶尖的AIPPT生成工具,助力您打造更专业、更高效的PPT。主要特点:一键生
2024年5款云电脑:ToDesk、顺网云、海马云等详细体验
本内容来源于@什么值得买APP,观点仅代表作者本人 |作者:M-慢性子最近国产3A游戏【黑神话-悟空】的出现让我这个不怎么玩游戏的也跃跃欲试,但作为一个长期用Mac的用户,真的是望尘莫及,家里虽然有配置很高的Mac Studio,但你看Mac上寥寥
AI电商再次走热!多家代运营公司大涨 快手、淘宝明确技术应用计划
①不少主营电商渠道及电商代运营公司股价随着618大促时间临近而上涨; ②5月23日,淘宝发起了“AI生态伙伴计划”,吸引商家入驻并使用其平台AI功能; ③快手提出组建大模型研发团队,依托AIGC和大语言模型训练新AI功能,预计将推出图片、文
AI面试、AI学术?大学生如何借助AI软件提高学术和职业竞争力?
在今天的内容中,我要向大家展示三款大学生绝不能错过的AI软件,它们覆盖了学术研究、职业发展和演示汇报等关键领域,绝对值得一看!如果你觉得本期内容对你有帮助,记得点赞、评论和分享哦~ 首先,如
Adobe Premiere Pro 2.0 经典教程(附光盘) (平装) 2024 pdf epub mobi 电子书
简体网页||繁体网页评分评分评分评分类似图书 点击查看全场最低价出版者:人民邮电出版社作者:Adobe公司出品人:页数:365译者:尹仲祺出版时间:2007-1价格:49.0装帧:平装isbn号码:9787115154248丛书系列:图书标签:影视制作视频制作premiere电
9.3K Star!一款特别好用的 AI 知识库问答系统:MaxKB
如果你一直在寻找一种简单易用的方式来为自己的网站或业务系统增加 AI 助手,那么 MaxKB 是一个绝佳的选择。是一个由国人开发的基于 LLM 大语言模型的知识库问答系统。开箱即用、模型中立、灵活编排,支持快速嵌入到第三方业务
AI 异构计算机设计方案:902-基于6U VPX 高带宽PCIe的GPU AI 异构计算机
一、产品概述      基于6U 6槽 VPX 高带宽PCIe的GPU AI 异构计算机以PCIe总线为架构,通过高带宽的PCIe互联,实现主控计算板、GPU AI板卡,FPGA接口板,存储板的PCIe高带宽互联访问,PCIe支持3.0规范&#
2023年小马激活win7全攻略:轻松激活您的Win7系统
简介:在使用Windows 7操作系统时,激活是一个不可避免的步骤。对于一些用户来说,激活可能是一件复杂且麻烦的事情。本文将提供一套完整的策略指南,帮助您快速、轻松地完成Windows 7的激活,以保证系统的正常使用。工具原料:系统版本:Wi
ai怎么设计电子电路矢量背景图? ai高科技电路背景设计方法
很多产品里面都有着自己的电子电路,该怎么设计电路图主题的背景图呢?今天,我们就来画一画电子电路背景图片,从中学习一下不同形状的图形元素的画法,掌握使用不同色调的蓝色与其它色彩搭配,综合使用多种绘图工具来绘制复杂的图形,详细
Django个人博客开发 | 前言
本渣渣不专注技术,只专注使用技术,不是一个资深的coder,是一个不折不扣的copier自学 Python,始于 Django 框架,Scrapy 框架,elasticsearch搜索引擎,最初的目的是毕业设计需求,毕设项目是做一个类似百度的搜索引擎。从2018年二月份毕
相关文章
推荐文章
发表评论
0评