2022-03-03DNS：加强最薄弱环节

DNS：加强最薄弱环节

三分之一受到DDoS攻击的组织的 DNS 服务器遭到攻击。为什么 DNS 是一个如此有吸引力的目标？与保持安全相关的挑战是什么？当涉及到 DNS 攻击时，哪些攻击媒介代表了最坏的情况？根据Radware 2017-2018 年全球应用和网络安全报告的研究，这篇文章回答了所有这些问题以及更多问题。

域名系统(DNS)用作 Internet 的电话簿，将人类可读的主机名映射到机器可读的 IP 地址。用户或连接设备执行的任何 Internet 请求都使用 DNS。当 DNS 服务降级或停止时，在线业务就会中断，他们会失去收入，他们的声誉也会受到影响。

攻击者已开发出利用递归DNS服务器（为最终用户寻找 IP 地址）和权威 DNS 服务器（为递归 DNS 服务器提供 IP 地址答案）的技术。服务提供商通常拥有并管理他们自己的权威和递归 DNS 服务器。一些企业还拥有和管理权威的 DNS 服务器。中小型企业通常将该责任转移给托管 DNS 服务。

最近的攻击表明，无论DNS功能位于何处，针对 DNS 基础设施的攻击都可能对服务造成破坏。DNS 保护现在是强制性的，以确保服务可用性和正常通信。

DNS 安全挑战

DNS是为其核心运营而设计的，重点是性能和可扩展性。在互联网的早期，安全和隐私并不是首要任务，因为它们不像今天那么重要。结果？DNS 的固有特性使其成为一项持续的安全挑战。这些特征包括：

1.无状态协议。因为DNS服务必须非常快，所以它被设计为无状态协议。这使得它对可以轻松隐藏身份以通过 DNS 发起攻击的攻击者非常有吸引力。

2.无需认证。DNS无法验证请求的来源或验证响应的正确性。换句话说，DNS 无法评估它连接用户或设备的 IP 地址是“好”还是“坏”。攻击者利用这种不受保护的基础设施并使用虚假查询和/或虚假响应设计复杂的攻击。

3.开放存取。在大多数情况下，防火墙不会检查DNS端口 53。这为所有人提供了开放访问权限，包括攻击者。

4.放大效果。DNS查询可能会产生很大的响应——有时甚至大 10 倍。攻击者使用这种设计来放大对 DNS 的攻击并获得更高的攻击量。

5.缺乏验证。DNS无法验证查询以确保其合法。只要查询名称符合 RFC，DNS 就会转发它。攻击者利用这种设计并使用虚假 DNS 查询来发起攻击，例如缓存中毒、隧道和随机子域攻击以获取更多信息）。大多数安全解决方案无法准确地区分合法和虚假的 DNS 查询。即使运营商和服务提供商部署更新的安全解决方案，DNS 基础设施仍然容易受到越来越多的攻击。DNS 可能保持不变，但这些攻击正变得高度复杂、规模庞大，并且越来越难以检测和缓解。

即使运营商和服务提供商部署更新的安全解决方案，DNS基础设施仍然容易受到越来越多的攻击。DNS 可能保持不变，但这些攻击正变得高度复杂、规模庞大，并且越来越难以检测和缓解。