行业内出现了新的威胁,被称为“SAD DNS”,其允许攻击者重新定向流量,使公司面临网络钓鱼、数据泄露、声誉受损及收入损失的威胁。
什么是 SAD DNS?
不,其并不是域名系统 (DNS) 的变体,而是研究人员发现的新威胁——“侧通道攻击 DNS”的首字母缩略词,它可以让 DNS 缓存中毒攻击死灰复燃。
什么是 DNS 缓存中毒,其为什么会构成威胁?
DNS 的操作方式就像互联网的电话簿,可将域名转换成 IP 地址,因此,用户可以轻松使用网站名称、而非一串数字来查找网站。
- 用户在浏览器中输入域名时,浏览器会将查询发送到递归域名服务器,例如由互联网服务提供商(ISP)或公共 DNS(如咖啡馆的无线路由器)托管的服务器。
- 在第一个实例中,这一域名服务器或解析器触发了一系列对各域名服务器(根 DNS、注册局以及最终的权威 DNS)的查询。
- 最终,域名服务器接收到 IP 地址中的响应,以在浏览器上显示网站。
为了提高效率,IP 地址现存储在解析器中,以便在下次接收到相同查询时返回相同的地址,这称为缓存。存储此数据意味着下次有人请求域名的 IP 地址时,其可以根据自身记录迅速做出应答。缓存保留时间由区域文件中详细说明的生存时间 (TTL) 决定。 
正是这种数据缓存可能会受到侵袭。在 DNS 缓存中毒中,解析器(在本例中为 ISP)遭攻击者破坏,返回伪造的 IP 地址,将用户导向至错误网站(例如欺诈性网站),而非预期的合法网站。因此,用户键入合法域名后可能会无意中登陆钓鱼网站,或是充斥着恶意软件的网站。利用重新路由流量的能力,攻击者可以窃听、窃取数据和篡改通信。 
DNS 缓存中毒是否属于新攻击?
不是,安全研究人员 Dan Kaminsky 在 2008 年就发现了 DNS 协议中的这一漏洞。他注意到 DNS 架构存在一个缺陷,即每个用于验证的 DNS 查询仅存在 65,536 个不同的事务 ID组合。因此,攻击者能够使用带有事务 ID 的假冒 DNS 响应来淹没解析器,通过蛮力法猜测 DNS 查询的正确事务 ID,并在 DNS 响应中插入其自己的恶意伪造 IP 地址。
如何缓解 DNS 缓存中毒?
此类攻击可以通过两种缓解措施来阻止:
-
域名安全扩展 (DNSSEC)
DNSSEC 使用基于公钥加密的数字签名来验证 DNS 数据的真实性 。
-
源端口随机选择
DNS 解析器需要使用事务 ID(有限)和源端口号来验证请求。可以将源端口号随机化,使得可用于验证的排列数无穷大,因而让攻击者无法破解。
DNS 缓存中毒卷土重来
加利福尼亚大学和清华大学的研究人员最近发现 DNS 解析器中存在漏洞,攻击者可向 DNS 解析器发送数据(UDP 数据包),并根据解析器在此侧通道中的(ICMP)响应,通过蛮力法猜测正确的源端口。源端口已知,事务 ID 组合数量有限,再加上 DNSSEC 的全球采用率较低 ,因此,攻击者现在可以再次发起 DNS 缓存中毒攻击。
CSC 的 DNS 是否面临威胁?
只有递归 DNS 域名服务器面临此类攻击的威胁。CSC 的 DNS 域名服务器是权威服务器,不容易受到 DNS 缓存中毒的攻击。但是,基于 DNS 的工作原理,如果 ISP 等递归域名服务器中毒,则公司仍然容易遭受此类攻击。
那公司如何才能保护自身不受 DNS 缓存中毒的攻击呢?
人们提供了各种建议,但自 2000 年以来,一个有效的缓解措施长期为人所忽视——DNSSEC。
在过去几十年中,DNSSEC 的采用率并未显著提高。在我们的 2020 域名安全报告中,福布斯全球企业 2000 强的 DNSSEC 采用率仅为 3%! 
“互联网之父”Vint Cerf 说到:“业界还需要推动加速采用域名系统安全扩展(或称为 DNSSEC),以消除 DNS 系统的欺骗行为。这种方法可验证在域名查询过程中获得的域名和 IP 地址组合是否来自可识别的源,且已进行数字签名,确保浏览器使用正确的目标互联网地址,访问预期网站。域名注册和托管提供商应让网站所有者一步即可轻松为其网站启用 DNSSEC 。”
SAD DNS 对于全球各地的公司而言属于真实且紧迫的威胁,各大公司现在应该与其 DNS 提供商一起实施 DNSSEC。
如果您担心贵司的 DNS安全控制并不充分,请联系我们进行免费咨询。 >>
来源:freebuf.com 2020-12-15 15:35:20 by: CSCDigitalBrandServices
请登录后发表评论
注册