十大DNS攻击以及如何缓解它们
2020-03-23 16:41:38 【

我们将讨论十大DNS攻击以及如何缓解它们。DNS代表仍在不断受到攻击的域名系统,因此,我们可以认为目前还没有结束,因为如今威胁在不断增长。

DNS通常从根本上使用UDP,在某些情况下,也使用TCP。当它使用UDP协议时,该协议是无连接的,很容易被欺骗。

因此,DNS协议作为DDoS工具非常受欢迎,而DNS被公认是互联网的电话簿,它是全球互联网基金会的一个组成部分,该基金会在众所周知的名称和计算机进入网站并发送电子邮件所需的号码之间转换电子邮件。

长期以来,DNS一直是攻击者希望获取公司和机密数据的所有定制的攻击者的目标,因此,过去一年的警告表明这种情况正在恶化。

根据IDC的研究,与DNS抢劫相关的平均成本比去年同期增长了49%。但是,在美国,DNS攻击的平均价格略高于127万美元。

大约一半的受访者(48%)指出,DNS攻击浪费了超过500,000美元,约10%的受访者说,每次中断他们损失了500万美元以上。概括而言,占优势的美国公司表示,确定DNS攻击需要一天以上的时间

令人震惊的是,根据内部和云应用程序均被销毁的信息,内部应用程序中威胁的100%增长间断,令人沮丧的是,这是IDC所经历的最广泛的破坏。

因此,“ DNS攻击已从真正的暴力转移到了从内部网络运行的更复杂的攻击。因此,复杂的攻击将迫使组织使用智能缓解工具,以便他们可以轻松应对内部威胁。”

因此,我们提供了排名前10位的DNS攻击,并提供了适当的解决方案来对其进行修复,从而使组织可以轻松地识别攻击并快速解决它。

著名的 DNS攻击类型:

  1. DNS 缓存中毒 攻击

  2. 分布式反射拒绝服务(DRDoS)

  3. DNS劫持

  4. 幻域攻击

  5. TCP SYN泛洪

  6. 随机子域攻击

  7. DNS隧道

  8. DNS洪水攻击

  9. 域名劫持

  10. 基于僵尸网络的攻击

DNS 缓存中毒 攻击

首先,我们会发现缓存中毒,这是常见的攻击之一,其主要目的是使网络用户进入欺诈网站,例如,某个用户通过网络浏览器访问gmail.com来查询其邮箱。

而且,DNS变得中毒了,不是暴露的gmail.com页面而是犯罪分子确定的欺诈页面,例如,为了收回电子邮件访问权限。因此,访问正确域名的用户不会看到他们输入的网站不是正确的网站,而是骗局。


基本上,它为网络罪犯提供了一种极好的可能性,使他们可以使用网络钓鱼技术来窃取来自天真的受害者的信息,包括身份信息或信用卡信息。攻击可能是毁灭性的,具体取决于多种因素,攻击者的目的和DNS中毒的影响。

DNS缓解攻击– 缓存中毒

根据信息,有几种形式可以解决或防止这种攻击。对于初学者,IT团队应将DNS服务器配置为尽可能小地依赖与其他DNS服务器的信任关系。这样做将使攻击者更难练习DNS服务器以降低目标服务器的性能。还有另一种方法可以防止缓存中毒攻击,因为IT团队还应该将其DNS名称服务器配置为:

  • 限制递归查询。

  • 仅存储与请求的域关联的数据。

  • 将查询响应限制为仅有关需求域的给定信息。

不仅如此,还可以使用一些缓存中毒工具来帮助组织防止缓存中毒爆发。最著名的缓存中毒预防工具是DNSSEC(域名系统安全扩展),它是由Internet工程任务组开发的工具,可提供可靠的DNS数据身份验证。

分布式反射拒绝服务(DRDoS)

分布式反射式拒绝服务(DRDoS)攻击着重于降低权威性UDP确认内资产的可用性。在某些情况下,攻击者会传输DNS,NTP等。

他们要求伪造的源IP,目的是将更广泛的确认转移给主机,该主机的确继续在伪造的地址上发送。


UDP是针对这种攻击的不同选择的协议,因为它不建立连接状态。例如,假设TCP连接的SYN包中的IP欺骗源将导致立即终止,因为SYN / ACK将消失。

这种做法使反射的可能性成为可能,同时,以适当的规模调节这些攻击,共享反射的思想就变得清晰了。因此,各种传输欺骗的UDP提议的端点会生成确认,这些确认将集中在目标上。

一旦这些响应包开始出现,目标就会失去可用性。

如何预防?

通常,组织应该提前做好DDoS攻击的准备工作,由于攻击已经在进行中,因此应对起来极其困难。

此外,DDoS攻击无法停止,因此可以采取一些步骤,使攻击者执行网络无响应的操作变得更加麻烦。以下步骤将帮助您分散组织资产,从而绕过对攻击者执行单个深层目标。

  • 首先,在不同的数据中心中找到服务器。

  • 确保您的数据中心位于各种网络上。

  • 确保数据中心具有多个路径。

  • 确保数据中心或与数据中心相关的网络没有必要的安全漏洞或单点故障。

对于依靠服务器和Internet端口的组织而言,至关重要的是确保设备在地理位置上分散并且不在特定的数据中心内。

此外,如果资源已经在地理位置上分散了,那么必须检查每个数据站是否具有通往互联网的多个通道,并确保并非所有数据站都已连接到相应的互联网提供商。

DNS劫持

DNS劫持是个人可以转移到可疑DNS(域名系统)的一种方法。但是,可以通过使用恶意软件或对服务器进行未经授权的更改来实现。


同时,个人拥有DNS的权限;他们可以指导将其获得的其他人引导到看似相同但带有诸如广告之类的额外内容的网页。他们还可以引导用户访问带有恶意软件或第三方搜索引擎的页面。

如何预防?

DNS名称服务器是一个富有同情心的基础,需要采取必要的保护措施,因为它可以被多个黑客劫持并用于对其他人发起DDoS攻击,因此,在此我们提到了一些DNS劫持的预防措施。

  • 请参阅网络上的解析器。

  • 严格限制对名称服务器的访问。

  • 使用针对缓存中毒的措施。

  • 立即修补已知漏洞。

  • 将权威名称服务器与解析器分开。

  • 约束区域变更。

幻域攻击

虚拟域攻击与临时子域攻击相当。因此,在这种攻击中,攻击者攻击您的DNS解析器并使其消耗过多的资源来确定这就是我们所说的“虚拟”域,因为这些虚拟域将永远不会响应查询。


攻击的主要动机是让DNS解析器服务器长时间等待答案,最终导致失败或DNS性能问题恶化。

如何预防?

要识别幻影域攻击,您可以分析日志消息。此外,您还可以按照下面提到的步骤来减轻这种攻击。

  • 首先,增加递归客户端的数量。

  • 使用以下参数的适当顺序以获得最佳结果。

  • 限制每个服务器的递归查询和限制每个区域的递归查询。

  • 可以阻止无响应的服务器,并检查每个区域的递归查询。

允许使用任何选项时,故障值将设置为总体操作的最佳水平。但是,在使用这些命令时,您应保留默认费用,而且,如果您要替换默认值,它可以确保您知道后果。

TCP SYN泛洪

一个SYN洪水拒绝服务(DDoS)攻击,可以针对有关互联网的任何操作,从而实现传输控制协议(TCP)服务的简单形式。

SYN波是一种TCP状态耗尽攻击,旨在利用常见的基础结构元素(例如,负载平衡器,防火墙,入侵防御系统(IPS)和利用率服务器本身)中存在的连接元素表。


因此,这种类型的攻击甚至可能使适合管理数百万个链接的大容量设备瘫痪。此外,当攻击者向系统溢出SYN问题以破坏目标并使其无法对新的实际连接提议作出反应时,就会发生TCP SYN泛洪攻击。

因此,它鼓励所有目标服务器的信息端口进入半开放状态。

如何预防?

因此,防火墙和IPS设备虽然对网络安全至关重要,但不足以保护网络免受复杂的DDoS攻击。

如今,更复杂的攻击方法需要一个多方面的程序,该程序允许用户超越Internet基础和网络可用性。

因此,您可以依靠一些功能来获得更强大的DDoS安全性和更快地缓解TCP SYN Flood攻击的能力。

  • 首先,为线内和带外部署都提供适当的支持,以确保网络上不仅只有一个崩溃点。

  • 广泛的网络独特性,可以查看和检查来自网络各个部分的流量。

  • 威胁情报的不同来源,包括统计异常检测,可自定义的进入警报以及已知威胁的指纹,可确保快速可靠地进行检测。

可扩展以应对从低端到高端以及从高端到低端的各种规模的攻击。

随机子域攻击

这不是最普遍的DNS攻击类型,但有时会在多个网络上发生。因此,由于随机子域攻击的创建遵循与简单DoS相同的目标,因此通常可以将其标识为DoS攻击。

以防万一,破坏者会针对健康有效的域名发送大量DNS查询。但是,这些问题将不会针对主要域名,但会损害许多不存在的子域。


基本上,这种攻击的主要动机是构建一个DoS,该DoS将使接收主域名的授权DNS服务器浸入水中,并最终中断所有DNS记录的查找。

因此,这是一种很难识别的攻击,因为查询将来自受感染的用户,这些用户甚至不了解他们正在从最终合法的计算机发出某些类型的问题。

如何预防?

因此,我们为您提供了一种仅在30分钟内防止随机子域攻击的简单方法。

  • 开始时,您必须学习缓解攻击的技术,这些攻击会在与受害者(可以删除的名称)相关的解析器和Web资源上生成大量流量。

  • 接下来,了解诸如响应速率限制等现代功能,以保留引发攻击的DNS专家。

DNS隧道

这是一种网络攻击,用于从DNS确认和查询中携带来自不同应用程序的编码数据。

同时,该系统并不是以前创建用来攻击大量用户的,而是绕过接口控制的,现在主要用于实现远程攻击。

为了实施DNS隧道,攻击者要求进入已建立好的系统,并访问内部DNS服务器,域名和DNS授权服务器。

如何预防?

为了通过设计使用某些协议对象的应用程序规则来配置防火墙以识别和阻止DNS隧道,我们提到了减轻这些类型攻击的三个步骤。

  • 创建访问规则。

  • 创建一个协议对象。

  • 创建一个应用程序规则。

DNS洪水攻击

这是最主要的DNS攻击类型之一,在此分布式拒绝服务(DDoS)中,入侵者将攻击您的DNS服务器。

这种DNS泛洪的主要动机是使服务器完全过载,从而使其无法维护正在服务的DNS请求,因为所有已处理的DNS区域都会影响资源记录的目的。


因此,这种攻击很容易得到缓解,因为其来源通常来自单个IP。但是,当它成为涉及一百或数千个聚会的DDoS时,可能会变得复杂。

尽管许多问题将立即被识别为恶意错误,并且将提出许多合法请求来误导防御设备,但是,这有时使缓解方法变得有些困难。

如何预防?

域名系统(DNS)已开发出分布式拒绝服务(DDoS)攻击的目标。当DNS低于DDoS泛洪攻击时,该DNS下的所有域数据都会变得无法访问,从而最终导致这些适当域名的不可用。

因此,对于这种类型的攻击,我们引入了一种方法,该方法包括定期进行过时的内容更新,并管理多个DNS服务器最常查询的域名的列表。因此,我们的模拟结果表明,在大规模DNS洪水攻击期间,我们的方法可以处理超过70%的总缓存答复。

域名劫持

这种类型的攻击涉及DNS服务器和域注册商中的设置,这些设置可以管理从实际服务器到新目的地的流量。

域名劫持通常受许多与利用域名注册商系统中的漏洞有关的决定因素的影响,但是当攻击者控制您的DNS记录时,也可以在DNS级别执行劫持。

因此,当攻击者劫持您的域名时,它将被用于发起恶意活动,例如安装诸如PayPal,Visa或银行系统之类的还款系统伪造页面。攻击者将产生真实网站的相同副本,该副本读取关键的个人知识,例如电子邮件地址,用户名和密码。

如何预防?

因此,您可以通过执行下面提到的一些步骤来简单地减轻域劫持的风险。

  • 在应用程序基础中升级DNS。

  • 使用DNSSEC。

  • 安全访问。

  • 客户端锁定。

基于僵尸网络的攻击

如果我们讨论的是僵尸网络,那么让我澄清一下,它是许多与Internet连接的设备,可以实践为实施分布式拒绝服务攻击(DDoS攻击),该攻击会窃取数据,传输垃圾邮件和使攻击者能够访问设备及其连接。


而且,僵尸网络是多种多样且不断发展的威胁,因此,随着我们对数字设备,互联网和未来新技术的依赖性日益增强,所有这些攻击势必会随之发展。

僵尸网络可以被视为攻击以及未来的攻击程序,以此作为基础前景。本研究探讨了僵尸网络如何描述和组织,如何创建和使用。

如何预防?

这是受害者每天都面临的频繁DNS攻击之一,因此,为了减轻这类攻击,我们在下面提到了一些步骤,以便对您有所帮助。

  • 首先,正确了解您的漏洞。

  • 接下来,保护物联网设备。

  • 从事实中找出两个缓解神话。

  • 发现,分类和控制。

结论

如您所见,DNS服务对于保护公司网站和日常在线帮助至关重要。因此,如果您正在寻找逃避此类DNS攻击的方法,那么本文将对您有所帮助。所以,对于这个你有什么想法?只需在下面的评论部分中分享您的所有观点和想法。如果您喜欢这篇文章,那就别忘了与您的朋友和家人分享这篇文章。


】【打印关闭】 【返回顶部
上一篇安全Web网关和DDoS保护起作用 下一篇网站十大站服务器攻击和预防