2019年2月下旬，负责管理网络上使用的IP地址和域名的组织互联网名称与号码分配机构(ICANN)发布了一份关于系统性互联网攻击风险的警告。这是你需要了解的风险。

什么是DNS？

域名服务(DNS)将域名(例如，法国健康保险的域名ameli.fr)链接到IP(互联网协议)地址，在本例中为“31.15.27.86”。现在，这是一项必不可少的服务，因为它可以轻松记住数字服务的标识符，而无需提供其地址。然而，像许多以前的协议类型一样，它被设计为健壮但不安全。

DNS定义了权威机构可以自由创建域名和与外界通信的区域。这种机制的优点是严格管理IP地址和域名之间的关联。缺点是有时需要多次查询才能解析一个名称，换句话说，就是将它与一个地址相关联。

许多提供互联网服务的组织有一个或几个域名，这些域名已经在此注册服务的提供商处注册。这些服务提供商直接或间接在ICANN(一个负责组织互联网的美国组织)注册。在法国，参考组织是AFNIC，它管理着”。fr "域。

我们通常指完全合格的域名或FQDN。实际上，互联网被划分为顶级域名。最初的美国领域使得按组织类型(商业、大学、政府等)划分领域成为可能。).然后，国家域名如”。”fr很快出现了。最近，ICANN授权注册各种顶级域名。与这些顶级域相关的信息存储在分布在世界各地的13台服务器中，以确保响应的可靠性和速度。

域名系统协议在用户机器和域名服务器之间建立通信。这种通信允许查询名称服务器来解析域名，换句话说，获得与域名相关联的IP地址。这种通信还允许获得其他信息，例如找到与地址相关联的域名或找到与域名相关联的消息服务器，以便发送电子消息。例如，当我们在浏览器中加载页面时，浏览器会执行DNS解析来找到正确的地址。

由于数据库的分布式特性，通常联系的第一个服务器不知道域名和地址之间的关联。然后，它将通过迭代或递归过程联系其他服务器以获得响应，直到它查询13个根服务器中的一个。这些服务器构成了DNS系统的根级别。

为了防止查询数量激增，每个域名系统服务器将与域名和地址相关的响应存储在本地几秒钟。如果在短时间间隔内发出相同的请求，该缓存可以更快地响应。

易受攻击的协议

DNS是一种常见的协议，尤其是在公司网络中。因此，它可以使攻击者绕过其保护机制与受感染的计算机通信。例如，这可能允许攻击者控制机器人的网络(僵尸网络)。防御响应依赖于更具体的通信过滤，例如，它需要系统地使用由受害组织控制的DNS中继。包含在与黑名单或白名单相关联的DNS查询中的域名分析用于识别和阻止异常查询。

DNS协议也使得拒绝服务攻击成为可能。事实上，任何人都可以通过接管IP地址向服务发送DNS查询。DNS服务器自然会对错误的地址做出响应。这个地址实际上是攻击的受害者，因为它接收了不必要的流量。DNS协议也可以进行放大攻击，这意味着从DNS服务器发送给受害者的流量要比攻击者发送给DNS服务器的流量大得多。因此，受害者的网络链接更容易饱和。

DNS服务本身也可能成为拒绝服务攻击的受害者，就像2016年的DynDNS一样。这会触发级联故障，因为一些服务依赖于DNS的可用性才能运行。

防止拒绝服务攻击可以采取多种形式。如今，最常见的方法是过滤网络流量，以消除冗余流量。如果需要，任播也是一种不断发展的复制被攻击服务的解决方案。

缓存中毒

过去广泛使用的第三个漏洞是攻击域名和IP地址之间的链接。这使得攻击者能够窃取服务器的地址并吸引流量本身。因此可以“克隆”合法服务，获取误导用户的敏感信息：用户名、密码、信用卡信息等。这个过程相对难以察觉。

如前所述，域名系统服务器能够存储对其发送的几分钟查询的响应，并可以使用这些信息直接响应后续查询。所谓的缓存中毒攻击使攻击者能够在合法服务器的缓存中伪造关联。例如，攻击者可以向中间DNS服务器发送查询，服务器将接受与其请求相对应的第一个响应。

结果只会持续很短的时间，对受感染服务器的查询将被转移到攻击者控制的地址。由于初始协议不包含任何验证域地址关联的方法，客户无法保护自己免受攻击。

这通常会导致互联网的碎片化。与受感染的DNS服务器通信的客户将被转移到恶意站点，而与其他DNS服务器通信的客户将被发送到原始站点。对于原站点来说，这种攻击除了流量减少外，几乎检测不到。流量的减少可能会对受损系统造成重大财务影响。

安全证书

安全域名系统(域名系统安全扩展，DNSSEC)的目的是通过允许用户或中间服务器验证域名和地址之间的关联来防止此类攻击。它基于证书的使用，例如用于验证网站有效性的证书(浏览器的网页栏中显示的小挂锁)。从理论上讲

但是，这种保护并不完美。“域IP地址”关联的验证过程仍未完成。部分原因是许多寄存器尚未实现必要的基础结构。尽管标准本身是在15年前发布的，但我们仍在等待必要的技术和结构的部署。诸如“让我们加密”之类的服务的出现有助于推广证书的使用，这是安全导航和DNS保护所必需的。但是，注册机构和服务提供商对这些技术的使用仍然不平衡。一些国家比其他国家先进。

尽管确实存在残留漏洞(例如对注册器的直接攻击以获取域和有效证书)，但DNSSEC为ICANN最近谴责的攻击类型提供了一种解决方案。这些攻击依赖于DNS欺诈。更准确地说，它们依赖于伪造的寄存器数据库中的DNS记录，这意味着这些寄存器遭到破坏，或者它们可以渗透虚假信息。如果攻击者已计划这样做，则对寄存器数据库的这种修改可以伴随证书的注入。在最坏的情况下，这有可能规避DNSSEC。

DNS数据的这种修改意味着域-IP地址关联数据的波动。可以观察到这种波动，并可能触发警报。因此，攻击者很难完全不被注意。但是由于这些波动可能会定期发生，例如，当客户更换其提供者时，主管必须保持高度警惕，以便做出正确的诊断。

目标机构

对于ICANN谴责的攻击，有两个重要特征。首先，他们活跃了几个月，这表明战略攻击者已经确定并且装备精良。其次，他们有效地瞄准了机构场所，这表明攻击者具有强烈的动机。因此，重要的是仔细研究这些攻击并了解攻击者为纠正漏洞而实施的机制(可能通过加强良好实践来纠正)。

ICANN对DNSSEC协议的推广引起了疑问。显然，它必须变得更加普遍。但是，不能保证这些攻击将被DNSSEC阻止，甚至不能更加难以实施。需要进行其他分析才能更新协议和DNS数据库的安全威胁的状态。

版权说明： 本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。

标签：