在“网络”的早期阶段，只有通过知道其唯一的32位IP地址才能访问参与网络的每个计算机系统。随着网络成长为我们今天所知的互联网，必须进行一些改变以允许这种互连的计算机系统相互通信并让其操作员了解这些地址。
1983年，Paul Mockpetris，Jon Postel和Zaw-Sing Su提出了DNS（域名服务器）的概念，通过将简单的DNS域名翻译成相应的IP地址来寻找网站的新命名法。 30多年来，DNS一直是一种透明的机制，可以将互联网的全球现象融入我们现代生活的方方面面。您可能会问为什么攻击者会使用此系统来攻击我们？答案比你想象的复杂得多，但问题在增加。我们的建议继续使用古老的技术，不应用于保护我们的安全升级。
DNS
以下是攻击者使用DNS作为攻击管道和攻击工具本身的关键技术。您可以在您的环境中执行三项操作，以帮助保护自己免受这些攻击并帮助保护Internet。
攻击1：洪水和漏水龙头
2014年初，Akamai在亚太地区的垂直游戏中发现了对其中一位客户的攻击。攻击在峰值时达到320 gbps，每秒产生超过7150万个数据包。但是，此攻击的独特之处在于，攻击者还为组织的DNS服务器每秒产生了前所未有的210万次合法DNS查询请求。
DNS的三种武器化攻击
DNS弹性始终处于任何在线系统可靠服务的最前沿，但现代商业生态系统中的其他故障也开始出现。即使DNS提供商保持在线并且可以响应所有这些DNS查询，现代“云服务”计费模型也无法从正常服务中抽象出此查询泛滥。因此，受害组织负责所有成功响应的查询。我将这种类型的攻击称为“泄漏的水龙头”，因为它利用了现代“即用即付”云计费结构的可变性。获取CDN客户“英雄”等的种子（法律要求）。如果CDN完成其工作并提供此流量，请猜猜是什么？你得付钱！这也是必须管理的风险。但是让我们回到DNS。攻击2：劫持域名的关键
许多头条新闻中的攻击是DNS劫持。这不是什么新鲜事，但我将简要解释它是如何发生的。由于域/托管服务提供商管理访问权限以更改DNS托管设置中的操作缺陷，因此攻击者使用众所周知的社交工程方法来“欺骗”提供商，以允许对组织的DNS记录进行未经授权的更改。以下是一个网上诱骗电子邮件，欺骗域名所有者使用其注册商更改其DNS记录所需的确切信息来响应攻击者。
一个常见的变化是获取域的“A”记录并将其指向攻击者拥有的所有不同IP地址，包括叠加在公司网站副本上的“你已经PWND”消息。在过去几年中，这种情况发生在许多不同的组织中，从所有美国政府网站到豪华汽车制造商的网站。
DNS的三种武器化攻击
降低此次攻击风险的关键是以两种方式进行更改。第一种方法是通过设置客户端和注册商设置来更改DNS，以防止未经授权的更改。第二个问题与您允许通过注册商更改DNS区域的过程有关。正如获得EVSSL（扩展验证）SSL/TLS证书需要“更严格”的一系列流程和文书工作一样，您也可以在对更改进行任何更改之前向注册商查询流程和控制：设置。
攻击3：攻击APEX域
APEX记录类似于TLD（顶级域），它指的是紧跟在“点”符号后面的部分。主要区别在于TLD是指.COM/.NET的域名，其中只有请求DNS区域记录的TOP才能找到域名的APEX记录。它通常也称为根域，因为它不包含子域部分。因此，通常请求www.xyz [。] com的域的APEX域只是xyz [。] com。
攻击者利用另一方的数字攻击来攻击组织并使用云服务来增强其域名服务。一个例子是为自己的数据中心托管xyz.com自己的权威服务器的组织。他们知道他们需要使用云提供商来保护他们免受基于DNS的攻击，他们使用Cloudy-DNS（虚构公司）作为其辅助名称服务器，但将权威名称服务器配置为保留在他们自己的数据中心中。
当攻击者使用一些简单的侦察来实现对该域的权威响应时，问题就出现了，该域必须来自在其数据中心内组织的现场DNS服务器。
DNS的三种武器化攻击
原因是根据IETF RFC 1035 SOA（特权开始）记录，来自委派的DNS名称服务器的响应被强制回到管理这些顶级响应的域字段的权威名称服务器。这意味着www.yz [。] com的查询泛洪攻击将由Cloudy-DNS域名服务器处理，但xyz [。] com上对区域APEX的攻击将被强制回数据中心的DNS服务器充斥这些有限的资源并暴露IP空间。在相应的IP空间上执行反向查找现在可以向攻击者显示更多攻击面。虽然这不是一个全面的列表，但我希望这清楚地说明了与dns相关的攻击。值得注意的是要查看自己的设置和操作程序，并准备好应对此类攻击。

• 上一篇: 蓝盟IT外包，元宇宙：四梁八柱是什么
  下一篇: 网络趋势在2019年引起了很多关注

• 分享到：