域名系统(DNS)是互联网的重要基础设施,是联接互联网各类应用与资源的枢纽,为网络的丰富应用与正常运行提供关键性支撑服务,其系统安全对互联网实现安全与韧性举足轻重。
发展至今,DNS已经从简单的解析查询,发展为一个复合型的系统。然而,在互联网连接的过程中,DNS因协议脆弱性和系统脆弱性,总是成为恶意攻击的重点目标与薄弱环节。攻陷DNS服务更容易,成本更低,攻击效果却更好,这会导致所有依赖域名的线上业务直接从互联网上消失。
七种常见的DNS攻击类型
1.DDOS攻击
正常的DNS服务器递归询问过程可能被利用成DDOS攻击。
DDoS 攻击旨在通过无意义的连接请求、虚假数据包或他恶意流量压垮网站、Web 应用程序、云服务或其他在线资源,从而导致禁用或关闭。由于无法处理大量非法流量,目标会变得缓慢或完全崩溃,使得合法用户无法使用。
全球有史以来最大的DDoS攻击发生在2018年2月,知名开发者平台GitHub一瞬间遭到了高达 1.35Tbps的带宽攻击。仅仅一周后,攻击又针对Google、亚马逊等网站展开,后续攻击带宽峰值也达到了 1Tbps。超过20年来,网络罪犯一直在使用 DDoS 攻击来破坏网络运行,但最近其频率和威力急剧上升。防御全球DDoS攻击的厂商Nexusguard《2024年度DDoS趋势报告》指出,DDoS攻击蔓延在从游戏到金融服务的各个行业,平均攻击规模飙升了233.33%,攻击速度创纪录地达到了每秒700 Gbps和8000万数据包。
2.子域名劫持
通过利用DNS区域委派配置上出现的疏忽,黑客可以控制网站的子域。这种攻击被称为子域劫持(Subdomain Hijacking)。在子域劫持中,攻击者会接管与合法根域名关联的子域名,使其变成各种恶意活动的温床。被劫持的子域名可以用来发起网络钓鱼攻击,传播不适当内容,贩卖非法物品,或者散布勒索软件。
通常情况下,未使用的子域名会长期处于休眠状态。更危险的是,这些子域名存在悬空(即指向不存在内容)的DNS记录,从而为子域劫持提供了可乘之机。一旦攻击者控制了这些子域名,他们就可能实施多种恶意行为而不被察觉。
2024年,知名网络安全研究机构Guardio Labs发现了一起严重的子域劫持事件,已损害了来自知名品牌和机构的8000多个域名和1.3万个子域名,包括微软(MSN)、VMware、McAfee、《经济学人》、康奈尔大学、哥伦比亚广播公司(CBS)、漫威、eBay等。这种被称为“SubdoMailing”的恶意活动利用与这些域相关的信任,每天传播数以百万计的垃圾邮件和恶意网络钓鱼电子邮件,狡猾地利用其可信度和被盗资源来绕过安全措施。
3.DNS隧道攻击
DNS隧道攻击,利用DNS查询过程,将非法数据压缩编码封装在DNS协议中,然后以DNS请求和响应包完成传输数据(通信)。攻击者通过C&C服务器完成点对点数据传播,或者植入木马、蠕虫、恶意软件等完成长期隐藏式的APT攻击。
针对传统的安全设备,如网络防火墙等有较强的穿透性;DNS攻击成本相对较低,但攻击效果明显。同时,攻击者的流量数据封装在DNS协议中,传统安全设备较难发现,从流量数据包来看不容易被识别,不进行专业分析只会被认为是53端口DNS数据,隐蔽性较强。
DNS隧道除了可以实现恶意程序与C&C端的控制指令交互,还可以为攻击者提供一种永远可用的后方隧道来泄露窃取的资料或敏感数据。虽然受限于域名长度的限制,以及UDP传输的不可靠性,利用DNS隧道对外传输大的文件较难,但是传输重要的敏感信息已经足够。
4.DNS缓存投毒
这种攻击手段利用DNS系统漏洞,将原本流向合法服务器的网络流量重定向至虚假的服务器上。在DNS解析流程中,当用户试图访问某个网站时,浏览器会首先检查本地的DNS缓存。若缓存中已存储有该网站与其IP地址的对应关系,浏览器便会直接返回该结果,用户随后对该IP地址进行访问。若缓存中未找到相关信息,则会委托递归服务器进行逐级查询。
这种查询机制显著缩短了全球范围内的查询时间,为用户提供了更为流畅的访问体验。然而,也带来了一定的安全隐患。一旦攻击者通过控制用户的主机或利用恶意软件侵入用户的DNS缓存,他们便有能力篡改其中的域名与IP地址的映射关系,将合法的域名解析至一个虚假的IP地址。
当用户再次尝试访问该网站时,DNS系统就会基于被篡改的映射关系,将用户引导至虚假的站点上,窃取信息,构成风险。
5.DNSBomb
DNSBomb利用了几种常见的DNS机制,包括超时(timeout)、查询聚合(query aggregation)和快速返回响应(fast-returning response)。这些机制原本旨在确保DNS系统的可用性、安全性和可靠性,但在攻击者的巧妙设计下,却被转化为恶意的攻击工具。
通过以低速率发送DNS查询,并将这些查询放大成大规模响应,DNSBomb将所有DNS响应集中成短时间内的高频次周期性脉冲攻击。这样的攻击方式使得DNS系统在短时间内承受巨大的流量压力,导致网络资源的严重消耗和服务的中断。这种高频次周期性脉冲攻击可以同时瘫痪目标系统,导致丢包或严重的服务降级,影响包括TCP、UDP和QUIC在内的各种连接类型。
研究人员在10款主流DNS软件、46个公共DNS服务和约180万个开放DNS解析器上广泛评估了DNSBomb。结果令人震惊:所有测试的DNS解析器都可以被利用来进行比以往脉冲DoS攻击更实用且更强大的DNSBomb攻击。小规模实验表明,峰值脉冲幅度可接近8.7Gb/s,带宽放大倍数超过20,000倍。
6.域名抢注
域名抢注也称为域名抢夺,个人或公司在域名到期后未被重新注册之前,抢先注册该域名。域名抢注者通常会将注册来的域名转售给原域名所有者,从中获利。不同后缀的域名在到期后的可抢注时间上有所不同,到期被删除后,任何人都可以进行抢注。
每个顶级域名都可以注册相关品牌词汇的域名,而企业需要全方位保证上千个顶级域名的品牌词汇没有被抢注和滥用。目前,中国品牌部分顶级域名已流失海外。错失顶级域名机会,很多企业将资金投入在既符合企业品牌特点,又简洁易记的二级域名上,如京东3000万收购JD.com、小米2243万收购mi.com。
面对全球上千类顶级域名带来的域名抢注、滥用问题,企业可采取提前注册重点品牌域名、利用全球域名商标锁工具预防抢注、常态化监控域名侵权情况、积极进行域名回购和侵权争议维权等形式,全方位保护自己的知识产权和数字品牌。针对于此,大型企业可以申请自身顶级域名并进行广泛宣传,对旗下业务进行域名层面的顶层设计。
7.相似域名欺诈
数字营销、网络推广已经成为常用的推广方式,攻击者注册与热门网站相似的域名,希望用户误输入URL,从而进入他们的虚假网站。这些网站可能用于网络钓鱼攻击、分发恶意软件,甚至窃取敏感信息。
钓鱼网站的网址通常以下列五种形式出现,通常都与被仿造的网址类似:
1.相似域名搭配相似页面进行误导,
如www.example.com与www.examplelocal.com。
2.使用相似的字母或数字混淆视听,如字母“o”和数字“0”、字母“i”和数字“1”等;
3.采用不同的顶级域名,如.co也是顶级域名的一种,用户在手打域名时如果“手滑”没打完.com域名,却发现网站可以正常进入,则会认为网站为真。
4.www.example.com与www.example.com。
第一个“a”不是英文字母“a”,是西里尔文。注册域名不限制其他国家语言,比如阿拉伯语、西里尔文等。一些其它国家的语言字符跟英文外形完全一致,却拥有者完全不同的内容。
互联网域名系统国家工程研究中心(ZDNS),基于自主域名系统红枫(maple),不断增强深度DNS协议防护能力及网络恶意攻击防护能力,突破传统DNS协议设计缺陷,并结合大数据分析,构建下一代DNS完整体系,保证服务安全与数据安全,阻断/出击双重加持,构建安全韧性的网络根基。
同时,面向新一轮顶级域名申请将于2026年开放机遇,ZDNS积极参与顶级域名开放进程,深度参与顶级域名开放申请政策制定,已助力全球22个顶级域名成功申请及资质认证。并拥有亚洲第一大顶级域名服务平台,为全球27个注册管理机构、60个顶级域名提供服务,托管顶级域名的全球域名总量超过1800万。
ZDNS
了解更多详细解决方案
往期推荐 ·
